一、CISAW安全软件是什么

中国网络安全审查技术与认证中心(英文缩写为:CCRC,原为中国信息安全认证中心)于2006年由中央机构编制委员会办公室批准成立,为国家市场监督管理总局直属正司局级事业单位。依据《网络安全法》《网络安全审查办法》及国家有关强制性产品认证法律法规,承担网络安全审查技术支撑和认证工作;在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训等工作;同时设有国家信息安全产品质量监督检验中心(北京)。

信息安全保障人员认证(CISAW)安全软件方向的人员认证是对认证申请人员的知识结构、能力水平、项目整体实践能力的综合考查,该课程结合真实的项目案列,对软件开发全生命周期的安全策略和应对措施进行系统讲解,让学员有针对性的掌握软件安全开发方向应要具备的各大知识域,了解其中重点和难点,掌握软件安全开发、测试的工具和操作方法。
 

二、CISAW安全软件适合谁学?

政府机关、各行业及企事业单位从事软件项目管理的人员;企业各部门的设计、开发、测试、技术服务等管理和技术人员;有兴趣致力于在软件安全开发方向发展的人员。
 

三、CISAW安全软件方向认证级别划分

CISAW安全软件方向认证分为基础级、专业级,认证申请人员在通过基础专业级考试后,可依据工作经历和项目经历要求申请基础级或专业级认证,具体级别工作经历要求见下:

基础级认证工作经历要求

获证人员应通过CISAW安全软件方向考试,同时至少满足下面一项要求:
a) 本科(含)以上学历, 1 年以上从事信息安全有关工作经历;
b) 专科毕业,3 年以上从事信息安全有关的工作经历;
c) 5 年以上从事信息安全有关的工作经历;
d) 具有信息技术相关专业的初级技术职称,并且至少 1 年以上从事信息安全保障相关工作经历。
 

专业级认证工作经历要求

获证人员应通过信息安全保障人员认证(CISAW)安全软件方向考试,同时至少满足下面一项要求:
a) 硕士研究生(含)以上学历,2 年以上从事信息安全有关工作经历,并且至少 1 年从事与安全软件专业方向相关的工作经历;
b) 本科毕业,4 年以上从事信息安全有关工作经历,并且至少 2 年以上从事安全软件专业方向相关的工作经历;
c) 专科毕业,6 年以上从事信息安全有关工作经历,并且至少 2 年以上从事安全软件专业方向相关的工作经历;
d) 7 年以上从事信息安全有关工作经历,并且至少 2 年以上从事与安全软件专业方向相关的工作经历;
e) 具有信息技术相关专业的中级技术职称,并且从事至少 2 年以上安全软件专业方向相关的工作经历。
 

四、CISAW安全软件课程内容大纲

序号

课程名称

课程内容

课时

1

软件安全概述
  1. 了解软件安全的相关概念,了解软件安全的范畴及软件存在的安全问题。

3

2

软件安全开发模型
  1. 介绍三种软件开发模型和常用的软件开发方法,了解典型的软件安全开发模型,掌握CISAW软件安全开发模型。

3

安全漏洞的管理
  1. 了解漏洞的相关概念,介绍安全自动化协议,介绍典型的安全漏洞。

3

4

常见的安全问题
  1. 分别从整型、字符串、数组、指针、函数、多线程、文件、内存、面向对象和web等方面介绍软件开发过程中常见的安全问题,并给出解决方案。

6

5

软件安全测试
  1. 介绍软件安全测试的方法和过程,掌握软件安全测试的组织过程,结合例子介绍几种常见的测试工具。

3

6

安全功能设计
  1. 了解安全审计、安全通信、密码支持、用户数据保护、标识与识别(身份认证)、安全管理、隐私保护、安全功能的保护、资源利用、系统/子系统的访问记忆可信路径/信道等安全功能。

3

7

软件安全编码实践
  1. 介绍软件开发过程中常见的安全漏洞,包括输入输出验证和数据合法性校验、声明和初始化、表达式、多线程编程和序列化等。

6

8

考前辅导

  1. 全面复习所学习的内容,梳理知识点。

3

9

考试
  1. 认证考试

3

 

五、培训考试安排

学习方式:面授或在线直播;
培训时间: 5天
 

六、师资力量

樊老师

信息安全资深顾问、中国网络安全审查技术与认证中心 CISAW-HSP 教材编写组成员及CISAW授权讲师、中国信息安全测评中心 CISP 认证讲师、中国关键信息基础设施技术创新联盟智库专家、;OWASP 中国区高级会员国家认证认可监督管理委员会检查机构资质认定内审员/实验室资质认定内审员,ISO/IEC 27001:2005 内审员,国内早期司法机关认证声响资料司法鉴定员,广东信息安全自由技术论坛发起人。熟悉网络安全架构设计、安全体系建设、网络故障排查和信息安全攻防演练。