ISSP \ Домен 09. Безопасность приложений. Содержание

Домен 09. Безопасность приложений


1. Важность программного обеспечения

2. Где нужно размещать безопасность?

3. Различные среды имеют различные потребности в обеспечении безопасности

4. Среда и приложения

5. Безопасность и функциональность

6. Типы, форматы и размер данных

7. Проблемы внедрения приложений и использования настроек «по умолчанию»

8. Сбои и ошибки в приложениях

9. Управление базами данных

• 9.1. Программное обеспечение для управления базами данных
• 9.2. Модели баз данных
• 9.3. Интерфейсы программирования баз данных
• 9.4. Компоненты реляционной базы данных
• Словарь данных
• Первичные и внешние ключи
• 9.5. Целостность
• 9.6. Вопросы безопасности баз данных
• Представления базы данных
• Многоэкземплярность
• Обработка транзакций в режиме реального времени
• 9.7. Хранилища и интеллектуальный анализ данных

10. Разработка систем

• 10.1. Управление разработкой
• 10.2. Этапы жизненного цикла
• Инициирование проекта
• Управление рисками
• Анализ рисков
• Функциональное проектирование и планирование
• Техническое задание на разработку системы
• Разработка программного обеспечения
• Установка и внедрение
• Эксплуатация и сопровождение
• Удаление
• Виды тестирования
• Анализ завершенного проекта
• 10.3. Методы разработки программного обеспечения
• 10.4. Средства автоматизированной разработки программного обеспечения (CASE-средства)
• 10.5. Разработка прототипов
• 10.6. Методология безопасного проектирования
• 10.7. Методология безопасной разработки
• 10.8. Проверка на защищенность
• 10.9. Управление изменениями
• 10.10. Модель зрелости процессов разработки программного обеспечения (CMM)
• 10.11. Передача исходного кода программного обеспечения на хранение независимой третьей стороне

11. Методология разработки программного обеспечения

• 11.1. Концепции объектно-ориентированного программирования
• 11.2. Моделирование данных
• 11.3. Архитектура программного обеспечения
• 11.4. Структуры данных
• 11.5. Связность и связанность

12. Распределенные вычисления

• 12.1. CORBA и ORB
• 12.2. COM и DCOM
• 12.3. EJB
• 12.4. OLE
• 12.5. Распределенная вычислительная среда

13. Экспертные системы

14. Искусственные нейронные сети

15. Безопасность веб-приложений

• 15.1. Вандализм
• 15.2. Финансовое мошенничество
• 15.3. Привилегированный доступ
• 15.4. Кража информации о транзакциях
• 15.5. Кража интеллектуальной собственности
• 15.6. Атаки «отказ в обслуживании»
• 15.7. Организация процесса обеспечения качества
• 15.8. Межсетевые экраны для веб-приложений
• 15.9. Системы предотвращения вторжений
• 15.10. Реализация SYN-прокси на межсетевом экране
• 15.11. Специфические угрозы веб-среде
• Сбор информации
• Административные интерфейсы
• Аутентификация и управление доступом
• Управление конфигурациями
• Проверка входных данных
• Провека параметров
• Управление сеансами

16. Мобильный код

• 16.1. Java-апплеты
• 16.2. Элементы управления ActiveX
• 16.3. Вредоносное программное обеспечение
• Вирусы
• Черви
• Троянские программы
• Логические бомбы
• Ботсети
• 16.4. Антивирусное программное обеспечение
• 16.5. Выявление спама
• 16.6. Противодействие вредоносному коду

17. Управление патчами

• 17.1. Методология управления патчами
• 17.2. Проблемы при установке патчей
• 17.3. Лучшие практики
• 17.4. Атаки
• Отказ в обслуживании
• Smurf
• Fraggle
• SYN-флуд
• Teardrop
• Распределенная атака отказ в обслуживании

18. Резюме

19. Тест