網絡安全知識體系（CyBOK）培訓

此講師指導的 澳門 現場培訓（在線或現場）面向希望使用 389 Directory Server 來配置和管理基於 LDAP 的身份驗證和授權的系統管理員。

在本次培訓結束時，參與者將能夠：

• 安裝並配置 389 Directory Server。
• 瞭解 389 Directory Server 的功能和架構。
• 瞭解如何使用 Web 控制台和 CLI 設定目錄伺服器。
• 設置和監控複製以實現高可用性和負載平衡。
• 使用 SSSD 管理 LDAP 身份驗證以提高性能。
• 將 389 Directory Server 與 Microsoft Active Directory 集成。

此講師指導的現場培訓在 澳門（在線或現場）進行，面向希望使用 Microsoft Active Directory 管理和保護數據訪問的系統管理員。

在本次培訓結束時，參與者將能夠：

• 設置和配置 Active Directory。
• 設置域並定義使用者和設備的訪問許可權。
• 通過組策略管理用戶和計算機。
• 控制對檔案伺服器的訪問。
• 設置證書服務並管理證書。
• 實施和管理加密、證書和身份驗證等服務。

本課程爲期三天，涵蓋C/C++代碼安全的基礎知識，旨在防止惡意用戶利用代碼中的內存管理和輸入處理漏洞。課程將介紹編寫安全代碼的基本原則。

即使是有經驗的 Java 程式師也無法完全掌握 Java 提供的各種安全服務，同樣也不知道與用 Java 編寫的 Web 應用程式相關的不同漏洞。

該課程 - 除了介紹標準 Java 版的安全元件外 - 涉及 Java 企業版 （JEE） 和 Web 服務的安全問題。在討論特定服務之前，先介紹加密和安全通信的基礎。各種練習涉及 JEE 中的聲明式和編程式安全技術，同時討論了 Web 服務的傳輸層和端到端安全性。通過幾個實踐練習來介紹所有元件的使用，參與者可以親自嘗試所討論的 API 和工具。

本課程還介紹並解釋了 Java 語言和平臺最常見和最嚴重的程式設計缺陷以及與Web相關的漏洞。除了 Java 程式師犯下的典型錯誤外，引入的安全漏洞還涵蓋了特定於語言的問題和來自運行時環境的問題。所有漏洞和相關攻擊都通過易於理解的練習進行演示，然後是推薦的編碼指南和可能的緩解技術。

參加本課程的學員將

• 瞭解安全、IT 安全和安全編碼的基本概念
• 瞭解 OWASP Top 10 之後的 Web 漏洞，並知道如何避免它們
• 瞭解 Web 服務的安全概念
• 學習使用 Java 開發環境的各種安全功能
• 對密碼學有實際的瞭解
• 瞭解安全解決方案 Java EE
• 瞭解典型的編碼錯誤以及如何避免這些錯誤
• 獲取有關 Java 框架中一些最新漏洞的資訊
• 獲取有關使用安全測試工具的實用知識
• 獲取有關安全編碼實踐的原始程式碼和進一步閱讀材料

觀眾

開發人員

描述

Java語言和運行時環境（JRE）的設計旨在避免其他語言（如C/C++）中最常見的安全漏洞。然而，軟件開發人員和架構師不僅需要了解如何使用Java環境的各種安全功能（正向安全），還應意識到Java開發中仍然存在的衆多漏洞（負向安全）。

在介紹安全服務之前，課程簡要概述了密碼學的基礎知識，爲理解相關組件的用途和操作提供了共同的基礎。通過多個實踐練習，參與者可以親自嘗試討論的API。

課程還詳細講解並解釋了Java語言和平臺中最常見和最嚴重的編程缺陷，涵蓋了Java程序員常犯的典型錯誤以及語言和環境特定的問題。所有漏洞和相關攻擊都通過易於理解的練習進行演示，隨後提供推薦的編碼指南和可能的緩解技術。

參加本課程的學員將

• 瞭解安全、IT安全和安全編碼的基本概念
• 學習超越OWASP十大漏洞的Web漏洞，並瞭解如何避免它們
• 學習使用Java開發環境的各種安全功能
• 獲得密碼學的實踐經驗
• 瞭解典型的編碼錯誤及其避免方法
• 獲取有關Java框架中一些最新漏洞的信息
• 獲得有關安全編碼實踐的參考資料和進一步閱讀材料

受衆

開發人員

目前有多種編程語言可用於將代碼編譯到 .NET 和 ASP.NET 框架中。該環境爲安全開發提供了強大的工具，但開發人員需要了解如何應用架構和編碼級別的編程技術，以實現所需的安全功能，並避免漏洞或限制其被利用。

本課程旨在通過大量實踐練習，教導開發人員如何防止不受信任的代碼執行特權操作，通過強身份驗證和授權保護資源，提供遠程過程調用，處理會話，引入某些功能的不同實現，以及更多內容。

在介紹不同的漏洞時，首先會展示一些在使用 .NET 時常見的編程問題，而討論 ASP.NET 的漏洞時，還會涉及各種環境設置及其影響。最後，關於 ASP.NET 特有的漏洞，不僅涉及一些常見的 Web 應用安全挑戰，還包括特殊問題和攻擊方法，如攻擊 ViewState 或字符串終止攻擊。

參加本課程的學員將

• 理解安全、IT 安全和安全編碼的基本概念
• 學習超越 OWASP Top Ten 的 Web 漏洞，並瞭解如何避免它們
• 學習使用 .NET 開發環境的各種安全功能
• 獲得使用安全測試工具的實踐經驗
• 瞭解典型的編碼錯誤及其避免方法
• 獲取有關 .NET 和 ASP.NET 中一些最新漏洞的信息
• 獲取有關安全編碼實踐的參考資料和進一步閱讀

目標受衆

開發人員

綜合 SDL 核心培訓通過 Microsoft 安全開發生命週期 (SDL) 深入介紹了安全軟件設計、開發和測試。它提供了 SDL 基礎構建模塊的 100 級概述，隨後介紹了在開發過程的早期階段應用的設計技術，以檢測和修復缺陷。

在處理開發階段時，本課程概述了託管代碼和本機代碼中典型的安全相關編程錯誤。通過一系列實踐練習，參與者可以瞭解所討論漏洞的攻擊方法以及相關的緩解技術，體驗即時黑客攻擊的樂趣。介紹不同的安全測試方法後，演示了各種測試工具的有效性。參與者可以通過將工具應用於已討論的易受攻擊的代碼，瞭解這些工具的操作。

參與者將瞭解

安全、IT 安全和安全編碼的基本概念

熟悉 Microsoft 安全開發生命週期的關鍵步驟

學習安全設計和開發實踐

瞭解安全實施原則

理解安全測試方法論

• 獲取安全編碼實踐的來源和進一步閱讀材料

受衆

開發人員、經理

在熟悉漏洞和攻擊方法之後，參與者將瞭解安全測試的一般方法和方法，以及可用於揭示特定漏洞的技術。安全測試應從收集有關系統的資訊（ToC，即評估目標）開始，然後進行徹底的威脅建模，揭示所有威脅並對其進行評級，從而得出最合適的風險分析驅動測試計劃。

安全評估可以在 SDLC 的各個步驟進行，因此我們討論了設計審查、代碼審查、偵察和有關系統的資訊收集、測試實施以及測試和強化環境以實現安全部署。詳細介紹了許多安全測試技術，例如污點分析和基於啟發式的代碼審查、靜態代碼分析、動態 Web 漏洞測試或模糊測試。介紹了各種類型的工具，這些工具可用於自動對軟體產品進行安全評估，這也得到了許多練習的支援，我們在其中執行這些工具來分析已經討論過的易受攻擊的代碼。許多現實生活中的案例研究支援更好地瞭解各種脆弱性。

本課程使測試人員和QA人員能夠充分規劃和精確執行安全測試，選擇並使用最合適的工具和技術來發現隱藏的安全漏洞，從而提供可在第二天工作日應用的基本實踐技能。

參加本課程的學員將

• 瞭解安全、IT 安全和安全編碼的基本概念
• 瞭解 OWASP Top Ten 之後的 Web 漏洞，並知道如何避免它們
• 瞭解用戶端漏洞和安全編碼實踐
• 瞭解安全測試方法和方法
• 獲取有關使用安全測試技術和工具的實用知識
• 獲取有關安全編碼實踐的原始程式碼和進一步閱讀材料

觀眾

開發人員、測試人員

保護可通過Web訪問的應用程序，需要時刻了解當前攻擊方法和趨勢的安全專業人員。存在多種技術和環境，可以舒適地開發Web應用程序。不僅要了解這些平臺相關的安全問題，還要了解所有適用於各種開發工具的通用漏洞。

本課程概述了Web應用程序中的適用安全解決方案，特別關注最重要的加密解決方案。各種Web應用程序漏洞在服務器端（遵循OWASP Top Ten）和客戶端都有所展示，通過相關攻擊進行演示，並隨後介紹推薦的編碼技術和緩解方法，以避免相關問題。安全編碼的主題通過討論輸入驗證、安全功能的不當使用和代碼質量等典型安全相關編程錯誤來總結。

測試在確保Web應用程序的安全性和穩健性方面起着非常重要的作用。可以應用各種方法——從高級審計到滲透測試再到道德黑客——來發現不同類型的漏洞。然而，如果想超越容易發現的問題，安全測試應精心計劃並正確執行。請記住：安全測試人員應儘可能發現所有漏洞以保護系統，而攻擊者只需找到一個可利用的漏洞即可滲透系統。

實踐練習將幫助理解Web應用程序漏洞、編程錯誤以及最重要的緩解技術，同時通過動手試用各種測試工具，從安全掃描器、嗅探器、代理服務器、模糊測試工具到靜態源代碼分析器，本課程提供了第二天即可在工作場所應用的必備實踐技能。

參加本課程的學員將

• 瞭解安全、IT安全和安全編碼的基本概念
• 學習超越OWASP Top Ten的Web漏洞，並瞭解如何避免它們
• 學習客戶端漏洞和安全編碼實踐
• 對密碼學有實際的理解
• 瞭解安全測試方法和方法論
• 獲得使用安全測試技術和工具的實踐經驗
• 瞭解各種平臺、框架和庫中的最新漏洞
• 獲取安全編碼實踐的來源和進一步閱讀材料

受衆

開發人員、測試人員

此講師指導的 澳門 現場培訓（在線或現場）面向希望使用 FreeIPA 集中其組織使用者、組和計算機的身份驗證、授權和帳戶資訊的系統管理員。

在本次培訓結束時，參與者將能夠：

• 安裝並配置 FreeIPA。
• 從單個中心位置管理Linux 使用者和用戶端。
• 使用 FreeIPA 的 CLI、Web UI 和 RPC 介面來設置和管理許可權。
• 在所有系統、服務和應用程式中啟用單點登錄身份驗證。
• 將 FreeIPA 與 Windows Active Directory 集成。
• 備份、複製和遷移 FreeIPA 伺服器。

此講師指導的 澳門 現場培訓（在線或現場）面向希望使用 Okta 進行身份和訪問管理的系統管理員。

在本次培訓結束時，參與者將能夠：

• 配置、集成和管理 Okta。
• 將 Okta 集成到現有應用程式中。
• 通過多重身份驗證實施安全性。

本次由講師指導的培訓在澳門（線上或線下）進行，面向中級系統管理員和IT專業人員，他們希望使用OpenLDAP安裝、配置、管理和保護LDAP目錄。

培訓結束後，參與者將能夠：

• 理解LDAP目錄的結構和操作。
• 在各種部署環境中安裝和配置OpenLDAP。
• 實施訪問控制、認證和複製機制。
• 將OpenLDAP與第三方服務和應用程序結合使用。

這種講師指導的現場培訓在 澳門（在線或現場）面向希望使用 OpenAM 來管理 Web 應用程式的身份和訪問控制的系統管理員。

在本次培訓結束時，參與者將能夠：

• 設置必要的伺服器環境以開始使用 OpenAM 配置身份驗證和存取控制。
• 為 Web 應用程式實施單點登錄 （SSO）、多重身份驗證 （MFA） 和使用者自助服務功能。
• 使用聯合身份驗證服務（OAuth 2.0、OpenID、SAML v2.0 等）跨不同系統或應用程式安全地擴展身份管理。
• Access 並通過 REST API 管理身份驗證、授權和身份服務。

此講師指導的現場培訓澳門（在線或現場）面向希望在生產環境中使用 OpenDJ 管理其組織使用者憑據的系統管理員。

在本次培訓結束時，參與者將能夠：

• 安裝並配置 OpenDJ。
• 維護 OpenDJ 伺服器，包括監控、故障排除和性能優化。
• 創建和管理多個 OpenDJ 資料庫。
• 備份和遷移 OpenDJ 伺服器。