各有关单位：

为进一步帮助各单位相关人员深入了解信息安全测试技术及渗透测试技巧，提升各相关单位的应变能力，培养软件应用管理高级人才，提供高效、优质的系统测试方法。增强国内行政、企事业单位等在信息安全软件测试方面的基础能力，从源头上减少系统运行可能存在的各种问题。中国电子质量管理协会软件与信息技术服务专业委员会定于8月上旬线上举办《信息安全测试技术应用实践》暨《信息安全工程师》（高级）职业能力网络专题培训班。学习结束后，可参加考核，合格者由工业和信息化部教育与考试中心统一颁发《信息安全工程师》（高级）职业能力证书。具体安排如下:

一、培训内容

（一）信息安全测试基础应用

1．网络安全

1.1TCP/IP、OSI网络体系结构

1.2常见网络安全攻击原理及攻击演示（ARP攻击、DDos攻击等）

2.信息安全保障基础

2.1信息安全定义         

2.2信息安全问题的根源及特征

2.3威胁情报与态势感知   

2.4信息安全的关键要素

2.5信息安全的视角      

2.6工业控制系统基本架构、安全威胁、安全架构等

3.密码及应用技术基础

3.1保密通信模型  

3.2对称密码体制和非对称密码体制

3.3哈希加密     

3.4国密算法（SM2、SM3和SM4）

3.5消息认证      

3.6数字签名

4.安全的软件开发生命周期

4.1安全原则、规则及规章       

4.2安全需求

4.3架构、设计评审和威胁建模  

4.4安全的编码规则

4.5软件测试                 

4.6判定可用性

5.信息安全管理体系

5.1信息安全管理体系控制类型  

5.2信息安全管理体系控制措施结构

6.配置管理与风险分析

6.1系统安全配置基础          

6.2安全配置核查方法

6.3安全风险分析与评估方法

（二）安全测试技术

1.软件安全测试概念、目的

1.1软件安全测试定义         

1.2软件安全测试目的

1.3安全测试相关概念

2.软件安全测试方法分类

2.1按照不同视角分类（基于安全需求的测试，基于攻击者的渗透测试）

2.2按照执行方式分类       

2.3根据渗透测试方法分类

2.4根据攻击目标分类       

2.5模糊测试

3.代码审计

3.1代码审计概念            

3.2正向代码审计和逆向代码审计   

3.3代码审计常用工具

4.渗透测试的流程

4.1明确目标               

4.2分析风险并获得授权   

4.3信息收集                

4.4漏洞扫描及验证

4.5漏洞利用及信息整理      

4.6系统状态恢复    

4.7测试评估和总结

5.信息收集方法及运用

5.1识别主机                

5.2查看打开端口  

5.3系统指纹识别            

5.4服务指纹识别

6.威胁建模方法

6.1确定对象                

6.2识别威胁     

6.3评估威胁               

6.4削减威胁

7．漏洞扫描及分析

8．漏洞利用

9．代码审计shiro反序列化攻击

（三）安全测试工具与环境建设

1．常用的渗透测试工具介绍

1.1 Appscan           1.2 Burpsuite      1.3 Sqlmap  

1.4 Wireshark         1.5 Kali工具集

2.测试环境、测试工具、测试靶机的安装与部署；

3.渗透测试实践（按照实验大纲，完成常见漏洞的攻防演练）

二、时间地点

培训周期：2024年8月1日-5日（注：其中线上集中学习时间：2日-3日，线下练习复习时间：1日、4日、5日）

考试时间：8月5日

三、参加对象

大型软件用户单位信息中心技术主管或分管领导，软件需求方技术负责人或主管领导，软件升级项目负责人、技术主管等；软件开发企业技术主管、项目经理、测试经理等；其他对软件性能设计与测评感兴趣人员。从事质量管理相关工作人员；项目经理；分析人员、设计人员、开发人员和测试人员等软件工程师；外包管理工作人员；企业项目管理部门工作人员。

四、证书颁发

参加培训，考试合格者，由工业和信息化部教育与考试中心统一颁发《信息安全工程师》（高级）工业和信息化职业能力证书。

五、报名须知

请参加培训的学员认真填写报名回执表，以电话、传真及邮件的方式反馈至我中心。此次培训会务工作将由北京中标服检验技术研究院有限公司与北京技考帮教育科技有限公司联合承办。

联系电话：010-68699678

联 系 人：张老师