收藏
下载资源 加入VIP,省得不是一点点

注册软件安全专业人员CWASPCSSP.DOC

上传人:天*** 文档编号:680111 上传时间:2018-10-27 格式:DOC 页数:16 大小:279.50KB
下载 相关 举报
注册软件安全专业人员CWASPCSSP.DOC_第1页
第1页 / 共16页
注册软件安全专业人员CWASPCSSP.DOC_第2页
第2页 / 共16页
注册软件安全专业人员CWASPCSSP.DOC_第3页
第3页 / 共16页
注册软件安全专业人员CWASPCSSP.DOC_第4页
第4页 / 共16页
注册软件安全专业人员CWASPCSSP.DOC_第5页
第5页 / 共16页
点击查看更多>>
资源描述

1、注册软件安全专业人员(CWASP CSSP)学员培训手册发布日期 2017 年 4 月版本:1.0中国信息安全测评中心深圳开源互联网安全技术有限公司- I -CWASP CSSP 学员培训指南咨询及索取关于中国信息安全测评中心 CWASP CSSP 培训相关的更多信息,请与CWASP CSSP 运营中心联系。CWASP CSSP 运营中心联系方式:【联系地址】深圳市龙华清祥路宝能科技园 7 栋 B 座 6J-2【邮政编码】518000【电 话】0755-32880880【传 真】0755-32880880【电子邮件】【官方网站】深圳开源互联网安全技术有限公司(简称 SecZone),致力于软件

2、安全开发生命周期(S-SDLC:Secure Software Development Life Cycle)的技术研究、推广等。公司是中国信息安全测评中心授权的注册软件安全专业人员(CWASP CSSP)及注册软件安全开发人员(CWASP CSSD)运营机构,负责注册软件安全专业人员(CWASP CSSP)业务的推广、市场宣传、授权培训机构管理及持证人员的服务。 CWASP CSSP 专注于培养高级应用安全人才,是业界首个理论与实践相结合的认证培训体系。- II -目 录目 录 .II第 1 章 CWASP CSSP 介绍 .11.1 引言 .11.2 谁管理 CWASP CSSP.11.3

3、 什么是 CWASP CSSP.11.4 成为 CWASP CSSP 的基本要求 .21.5 CWASP CSSP 专业培训 .21.5.1 CWASP CSSP 专业培训适用人员 .21.5.2 CWASP CSSP 培训特点 .31.5.3 CWASP CSSD 培训考试范围 .31.5.4 CWASP CSSP 培训考试范围 .31.5.5 CWASP CSSD 培训课程安排 .41.5.6 CWASP CSSP 培训课程安排 .51.6 CWASP CSSP 注册流程 .61.7 CWASP CSSP 职业准则 .6第 2 章 CWASP CSSP 培训 .82.1 学员申请资料要求

4、.82.2 培训报名 .82.3 学员培训纪律要求 .8第 3 章 考试应考人员考场守则及考试违纪、作弊处罚规则 .93.1 考试应考人员考场守则 .93.2 考试违纪、作弊处罚规则 .9附录 1 CWASP CSSP 培训报名表 .121.个人信息 .122.工作经历 .133.CWASP CSSP 运营中心联系方式: .13注册软件安全专业人员(CWASP CSSP)学员培训手册中国信息安全测评中心 / 深圳开源互联网安全技术有限公司 第 1 页,共 13 页第 1 章 CWASP CSSP 介 绍1.1 引言随着信息技术的快速发展,软件为人们的日常工作与生活带来了便利,并成为日常工作与生

5、活中不可或缺的部分。而随着信息安全意识的普及,国家和公众也意识到软件同样面临着越来越多的安全威胁。因此,保证软件在其开发生命周期中的开发安全,对于提高软件的安全性有着积极意义。为了进一步提升国内软件行业的安全竞争力,加强国内软件开发领域从业人员的安全意识及专业水平,中国信息安全测评中心与深圳开源互联网安全技术有限公司(以下简称“SecZone”)共建软件安全专业人员认证体系。该体系基于软件安全开发生命周期(S-SDLC:Secure Software Development Life Cycle),整理出一套适用于广大软件开发人员的知识体系,从 2017 年开始启动注册软件安全开发专业人员(C

6、WASP CSSP)资质。此项认证的目的在于提高我国软件开发人员的整体安全意识及安全开发技能,加快我国软件安全专业人员的系统性培养;并通过不断开拓创新,为广大软件开发人员提供优质、专业的软件安全服务。1.2 谁管理 CWASP CSSP中国信息安全测评中心负责 CWASP CSSP 的咨询和管理工作, 包括负责CWASP CSSP 的培训管理、考试、注册,深圳开源互联网安全技术有限公司(简称“SecZone”)负责 CWASP CSSP 的教材编写、市场宣传与推广等工作。1.3 什么是 CWASP CSSPCWASP CSSP (Certified Secure Software Profes

7、sional)系经中国信息安全测评中心认定的软件安全专业人员,是对我国网络信息系统软件开发人员安全开发能力实施的一种资质评定。 CWASP CSSP 主要从事网络信息系统软件开发的相关工作,其具备一定的软件安全开发知识和技术,能在软件开发生命周期中提供必要的安全保障。根据认证者的基础不同, CWASP CSSP 共分为两种: 注册软件安全开发人员(Certified Secure Software Developer,简称CWASP CSSD)。证书持有人员主要从事软件开发领域的工作。 注册软件安全专业人员(Certified Secure Software Professional,简称CW

8、ASP CSSP)。证书持有人员主要从事软件开发领域的技术与管理工作。注册软件安全专业人员(CWASP CSSP)学员培训手册中国信息安全测评中心 / 深圳开源互联网安全技术有限公司 第 2 页,共 13 页1.4 成为 CWASP CSSP 的基本要求1.申请成为注册软件安全开发人员(CWASP CSSD),具备一定软件开发基础,或有意向从事软件开发的人员,包含软件开发相关专业高校生;申请成为注册软件安全专业人员(CWASP CSSP)应该具备 3 年从事软件安全开发有关的工作经历;2.参加并完成由中国信息安全测评中心授权培训机构组织的 CWASP CSSP 专业培训;3.通过中国信息安全测

9、评中心组织的 CWASP CSSP 考试;4.同意并遵守 CWASP CSSP 职业准则;5.满足 CWASP CSSP 注册要求并成功通过 CWASP CSSP 审核;6.获得注册软件安全专业人员资质证书后,遵守和满足 CWASP CSSP 注册维持要求,并缴付年费;7.不满足 CWASP CSSP 工作经验要求的人员,也可以先参加 CWASP CSSP 培训和考试,在完成培训并通过考试后,获得 CWASP CSSP 培训结业证书;在获得CWASP CSSP 培训结业证书后的 3 年内累积并满足注 CWASP CSSP 的教育和工作经验要求,经过注册软件安 CWASP CSSP 注册审核后获

10、得 CWASP CSSP 注册资质。1.5 CWASP CSSP 专业培训1.5.1 CWASP CSSP 专业培训适用人员CWASP CSSP 专业培训是由中国信息安全测评中心统一管理和规范并授权培训机构组织实施的信息安全专业培训。CWASP CSSP 专业培训适用于以下人员: 所有软件开发人员; 团队领导和项目经理、信息安全经理、软件项目经理、IT 总监/ 经理; 软件架构师、软件工程师、软件开发工程师; 应用程序安全专家、渗透测试人员; 软件采购分析员、质量保证测试员; 其他从事软件安全开发工作的有关人员。CWASP CSSD 和 CWASP CSSP 两者之间无认证先后顺序。 CWAS

11、P CSSD 是 CWASP CSSP 的基础,适合于软件开发基础人员。注册软件安全专业人员(CWASP CSSP)学员培训手册中国信息安全测评中心 / 深圳开源互联网安全技术有限公司 第 3 页,共 13 页1.5.2 CWASP CSSP 培训特点1.体系完善、视野开阔CWASP CSSP 认证体系涵盖安全威胁、S-SDLC、软件安全架构设计、软件安全开发、软件安全测试和软件安全部署等知识领域,并注重实践,能有效拓宽参培者的视野与技能。2.贴近实际,案例详实CWASP CSSP 结合了软件开发全生命周期中软件安全保障工作的实际需要,构建了一个全面实用的软件安全开发人员知识体系。同时重视不同

12、行业的软件开发安全实践经验传承,并不断创新,达到与时俱进。3.知识全面,技能并重CWASP CSSP 不仅有全面的知识体系,更加重视学员的技能训练,使之成为能满足软件开发机构实际需要的专业技术型人才。 4.目标明确,持续发展通过科学严格的考试和认证,为用人单位选拔软件安全高端人才提供权威依据;通过证后服务持续提升获证人员的知识和技能,使之适应软件安全工作不断发展的要求。1.5.3 CWASP CSSD 培训考试范围在整个“注册软件安全开发人员(CWASP CSSD)”的知识体系结构中,共包括应用安全威胁、S-SDLC 流程和安全开发基本知识这三个知识体,每个知识体根据其逻辑划分为多个知识域,每

13、个知识域由一个或多个知识子域组成。CWASP CSSD 知识体系结构共包含三个知识体,分别为: 应用安全威胁:主要介绍以“OWASP Top 10”为核心的应用安全威胁及应用安全威胁实例。 S-SDLC 流程:主要介绍软件安全开发全生命周期的主要流程及安全管控措施。 软件安全开发:主要介绍软件开发过程中参数化查询、输出编码、输入验证、身份验证、访问控制等方面的技术知识和实践。这些是注册软件安全专业人员需要掌握的核心知识。1.5.4 CWASP CSSP 培训考试范围在整个“注册软件安全专业人员(CWASP CSSP)”的知识体系结构中,共包括应用安全威胁、S-SDLC、软件安全架构设计、软件安

14、全开发、软件安全测试和软件安全部署这六个知识体,每个知识体根据其逻辑划分为多个知识域,每个知识域由一个或多个知识子域组成。 注册软件安全专业人员(CWASP CSSP)学员培训手册中国信息安全测评中心 / 深圳开源互联网安全技术有限公司 第 4 页,共 13 页CWASP CSSP 知识体系结构共包含六个知识体,分别为: 应用安全威胁:主要介绍以“OWASP Top 10”为核心的应用安全威胁及应用安全威胁实例。 S-SDLC:主要介绍软件开发过程中有关 S-SDLC 流程、实施和成熟的模型的知识。 软件安全架构设计:主要介绍软件架构设计过程中有关设计安全和威胁分析的安全知识。 软件安全开发:

15、主要介绍软件开发过程中有关参数化查询、输出编码、输入验证、身份验证、访问控制等方面的安全知识。 软件安全测试:主要介绍软件测试过程中的有关安全测试的基本知识、流程和渗透测试的知识。 软件安全部署:主要介绍软件安全部署过程中有关软件部署过程、软件自身安全和基础环境安全的知识。1.5.5 CWASP CSSD 培训课程安排知识体 知识域 天数OWASP TOP 10 应用安全威胁应用安全威胁实例剖析 1S-SDLC 需求阶段关键要素S-SDLC 设计阶段关键要素S-SDLC 实施阶段关键要素S-SDLC 验证阶段关键要素S-SDLC 流程S-SDLC 发布与响应阶段关键要素0.5输入验证输出编码正

16、确的实现访问控制建立身份验证机制保护数据和隐私实现正确的日志和错误处理软件安全开发利用框架的安全性和安全类库0.5注册软件安全专业人员(CWASP CSSP)学员培训手册中国信息安全测评中心 / 深圳开源互联网安全技术有限公司 第 5 页,共 13 页1.5.6 CWASP CSSP 培训课程安排知识体 知识域 天数OWASP TOP 10 应用安全威胁应用安全威胁实例剖析 1S-SDLC 流程S-SDLC 流程与敏捷开发S-SDLCS-SDLC 流程实施与成熟度模型1设计安全软件安全架构设计威胁分析 0.5输入验证输出编码正确的实现访问控制建立身份验证机制保护数据和隐私实现正确的日志和错误处

17、理软件安全开发利用框架的安全性和安全类库0.5安全测试基本知识安全测试流程软件安全测试渗透测试0.5软件部署过程软件自身安全软件安全部署基础环境安全0.5注册软件安全专业人员(CWASP CSSP)学员培训手册中国信息安全测评中心 / 深圳开源互联网安全技术有限公司 第 6 页,共 13 页1.6 CWASP CSSP 注册流程1.7 CWASP CSSP 职业准则在中国信息安全测评中心注册的 CWASP CSSP 必须保证严格履行职责并承诺完全遵守以下道德准则:1. 必须诚实,公正,负责,守法;2. 必须勤奋和胜任工作,提高专业能力和水平;注册软件安全专业人员(CWASP CSSP)学员培训手册中国信息安全测评中心 / 深圳开源互联网安全技术有限公司 第 7 页,共 13 页3. 必须保护信息系统、应用程序和系统的价值。4. 必须接受中国信息安全测评中心的监督,在任何情况下,不损坏中国信息安全测评中心或注册过程的声誉,对中国信息安全测评中心针对 CWASP CSSP而进行的调查应给予充分的合作;5. 必须按规定向中国信息安全测评中心交纳费用。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 重点行业资料库 > 1

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。