信息系统安全开发培训方案
值是不可变的 军规F12:不要使用finalize()
军规G0:不要抑制或忽略异常 军规G1:不要让异常暴露了敏感信息 军规G2:在记录log时防范异常 军规G3:方法失败时恢复先前对象的状态 军规G4:不要在finally语句中任意退出 军规G5:不要让异常从finally语异常处理系列军规 句中溜走 军规G6:不要抛出没有声明的异常 军规G7:不要抛出RuntimeException, Exception, 第二天 上午 (9:00 -- 12:00) or Throwable 军规G8:不要去捕获NullPointerException和他的任何父异常类 军规G9:不要让非受信代码停止JVM 军规H0:访问初级类型共享变量时保证可见性 军规H1:保证不可变对象共享参考指针的可见性 军规H2:确保对共享变量的复合可见性与原子性系列军规 操作具有原子性 军规H3:不要假定一组相互独立的原子性方法的调用在整体上具有原子性 军规H4:确保链状方法调用的原子性 军规H5:读写64位值时保证原子性 了解共享变量访问和复合操作原子性相关的安全问题及其防范方法 了解异常处理中的安全问题及防范方法 Copyright ? 2011 谷安天下科技 版权所有 6 http://www.gooann.com
信息系统安全开发培训方案
军规I0:对与非信任代码交互的类进行同步要使用私有不变对象锁 军规I1:不要对可重用对象进行同步加锁 军规I2:不要对通过getClass返回的Class对象进行同步加锁 军规I3:不要在高并发访问对象的内在锁上同步 军规I4:如果底层集合可访问就不要对集合视图进行同步加锁 军规I5:非信任代码可以修改对同步系列军规 静态属性的同步访问 军规I6:不要对实例对象加锁去保护静态数据 军规I7:以同样的顺序请求和释放锁以避免死锁 军规I8:确保在异常情况下的持有锁能够被释放 军规I9:持有锁时不要执行具有阻塞可能的操作 军规I10:不要使用不正确的双重检查锁定机制 军规I11:当使用的类不遵循既有锁定策略时避免客户端锁定 军规J0:不要调用Thread.run() 军规J1:不要调用ThreadGroup中的方法 军规J2:通知所有等待线程而非单个线程 线程API系列军规 军规J3:总是在循环中调用wait()和await()方法 第二天 下午 (13:30 -- 17:30) 军规J4:确保执行阻塞操作的线程能被终止 军规J5:不要使用Thread.stop()终止线程 军规K0:在请求爆发时用线程池对服务质量进行体面降级 军规K1:不要在有界线程池中执行相互依赖的任务 线程池系列军规 军规K2:保证提交给线程池的任务是可中断的 军规K3:保证提交给线程池的任务是可中断的 军规K4:当使用线程池时确保了解线程池安全相关安全问题及其防范方法 了解序列化过程中的安全问题及防范方法 了解输入输出中安全问题及其防范方法
Copyright ? 2011 谷安天下科技 版权所有 7 http://www.gooann.com
信息系统安全开发培训方案
ThreadLocal变量被重新初始化 军规L0:不要用非线程安全的方法覆盖线程安全的方法 军规L1:对象构造期间不要暴露线程安全附加军规 this指针 军规L2:对象初始化时不要使用守护线程 军规L3:不要发布半初始化对象 培训结束 培训结束 培训总结及疑问解答 了解Java线程相关的其他安全问题及其防范方法
讲师介绍:
危老师
CISSP国际认证信息系统安全专家,CISP注册信息安全专业人员,CISA 国际认证信息系统审计师。
10余年信息安全领域研发经验,主要集中于软件安全架构设计与安全编码,对于身份认证,访问授权,用户管理,SSO实现,安全通信,PKI与加解密技术,web服务安全等有着丰富的应用开发与设计经验。对于软件开发团队管理,软件研发过程有着丰富经验与深刻理解。
目前主要专业领域集中于软件生命周期安全、信息安全等方面,曾服务的主要客户有:国家认监委,深圳国信证券等等。从事CISSP,CISP以及CISA等信息安全培训工作。 工作经历:
?
现任谷安咨询公司咨询经理,为客户提供信息系统生命周期安全,信息安全等咨询服务,谷安IT风险管理学院Jave安全编码、CISP,CISA、CISSP高级讲师。 ?
曾服务于新加坡EPB公司,担任客户经理,负责客户需求采集,跟踪管理,负责产品安全架构。 ?
曾服务于全球著名信息安全解决方案提供商SafeNet,担任高级软件工程师多年,主要负责软件加密技术研发及客户支持。 ?
曾服务于本土著名中间件系统提供商EstarCom,担任产品安全专员,负责产品安全架构设计与实现。
Copyright ? 2011 谷安天下科技 版权所有 8 http://www.gooann.com
信息系统安全开发培训方案
? 曾服务于铁道部信息中心,全面参与铁路信息安全平台的论证,设计,搭建与测评工作,负责平台SSO,PKI方面研发。
培训特点
? ?
以企业切实需求为目的 透彻讲解并辅以充足示例代码
培训收益
具体来说,可以使学员在以下方面有所提高: ?
可以全方位了解Java开发过程中遇到的各种容易忽视的安全问题,及其防范方法。可以在今后的开发过程中有意识的避免各种安全问题,全面提高代码质量。
培训对象
该课程的主要培训对象为: ?
有一定Java开发经验的研发人员
培训与形式
本次培训采用企业内训形式。 ?
由客户提供场地、投影仪、麦克风、白板及其它必要的设施。
课堂要求
? ?
学员需最好有电脑,方便研习示例代码,手机需置于关机或震动状态;
禁止课堂录音、摄像,如有违反讲师可停止授课,相关后果和责任由客户承担。
Copyright ? 2011 谷安天下科技 版权所有 9 http://www.gooann.com
信息系统安全开发培训方案
培训资料
本次培训将为每位学员提供以下资料一套: ?
专为本课程开发的讲义资料(打印版);说明:恕不提供讲义电子版。
培训费用
内训:20000元/天 公开课:4000元/人
培训客户
? 金融行业:中国金融认证中心、中国建设银行、浦发银行、中国银行卡中心、中国农业银
行、中行新疆分行等、长盛基金、瑞泰人寿保险、海康保险等
? 电信行业:中国电信研究院、中国移动、中国电信、中国网通、厦门电信分公司、山东网
通等
? IT企业:IBM、亚美大陆煤炭、西门子、德勤、安永、新东方、奥美、东风汽车、中芯国
际、ABB、埃森哲等
? 政府机构及其他:海关数据、外交部、赛宝认证中心、清华大学、中航信、农业部等
联系我们
联 系 人: 联系电话: 联系地址: 陈龙飞 13671327668 010-51626887-806 电子邮件: 传 真: chenlongfei@gooann.com 010-51626887-816 北京市海淀区中关村南大街2号数码大厦A座806
Copyright ? 2011 谷安天下科技 版权所有 10
http://www.gooann.com