آموزش دوره Crash Certified Secure Software Lifecycle Pro (CSSLP).

سرفصل ها و درس ها

معرفی Introduction

• معرفی Introduction

• الزامات دوره Course Requirements

• CSSLP چیست؟ What is a CSSLP?

• چرا گواهینامه CSSLP اهمیت دارد؟ Why a CSSLP Certification Matters

• وزارت دفاع 8570 گواهینامه پایه را تایید کرد DoD Approved 8570 Baseline Certifications

• بررسی اجمالی لجستیک امتحان Exam Logistics Overview

• شرایط آزمون Exam Requirements

• دانلود مطالب دوره Course Material Download

پوشش هدف - مفاهیم نرم افزار ایمن 13% Objective Coverage - Secure Software Concepts 13%

• نمای کلی بخش Section Overview

• 1.1 مفاهیم اصلی 1.1 Core Concepts

• محرمانه بودن، یکپارچگی و در دسترس بودن (سیا) Confidentiality, integrity and Availability (CIA)

• عدم انکار Non Repudiation

• AAA AAA

• 1.2 اصول طراحی امنیتی 1.2 Security Design Principles

• کمترین حریم خصوصی Least Privalage

• تفکیک وظایف Separation of duties

• دفاع در عمق Defense in Depth

• تخته سفید - دفاع در عمق Whiteboard - Defense in Depth

• Fail Safe Fail Safe

• اقتصاد مکانیزم Economy of Mechanism

• اصلاح کامل Complete Remediation

• طراحی را باز کنید Open Design

• کمترین مکانیسم رایج Least Common Mechanism

• مقبولیت روانی Psychological acceptability

• استفاده از اجزای موجود Leveraging existing components

• یک نقطه شکست را حذف کنید Eliminate single point of failure

• درهم سازی نسخه ی نمایشی Hashing Demo

• نکات تست بخش 1 Test Tips Section 1

• بخش 1 سؤالات مروری Section 1 Review Questions

• آزمون بخش 1 Section 1 Quiz

2. الزامات نرم افزار ایمن 2. Secure Software Requirements

• نمای کلی بخش Section Overview

• 2.1 الزامات امنیتی را شناسایی کنید 2.1 Identify Security Requirements

• الزامات عملکردی و غیر عملکردی Functional and Non Functional Requirements

• اصطلاحات برای دانستن قسمت 1 Terminology To Know Part 1

• تخته وایت برد Whiteboard

• اصطلاحات دانستن قسمت 2 Terminology to Know Part 2

• Owasp Owasp

• اصطلاحات دانستن قسمت 3 Terminology to Know Part 3

• تجزیه سیاست Policy decomposition

• اصطلاحات حقوقی برای دانستن Legal Terminology to Know

• الزامات حریم خصوصی Privacy Requirements

• اصول کنترل Control Basics

• 2.2 تفسیر الزامات طبقه بندی داده ها 2.2 Interpret Data Classification Requirements

• بررسی اجمالی طبقه بندی داده ها - مالکیت، برچسب گذاری، انواع داده ها، چرخه عمر داده ها Data Classification overview- Ownership, Labeling, Data Types, Data Lifecycle

• 2.3 شناسایی الزامات حریم خصوصی 2.3 Identify Privacy Requirements

• ناشناس سازی داده ها Data Anonymization

• 2.4 توسعه موارد سوء استفاده و سوء استفاده 2.4 Develop Misuse and Abuse Cases

• موارد سوء استفاده Abuse Cases

• 2.5 گنجاندن امنیت در مشخصات مورد نیاز نرم افزار 2.5 Include Security in Software Requirement Specifications

• مدل بلوغ Maturity Model

• تهدیدات Threats

• مدل سازی تهدید Threat Modeling

• سازمان هایی که باید بدانید Orgs to Know

• 2.6 توسعه ماتریس ردیابی الزامات امنیتی 2.6 Develop Security Requirement Traceability Matrix

• SRTM SRTM

• کد ایمن Safecode

• نکات تست Test Tips

• بخش بررسی سوالات Section Review Questions

• آزمون بخش 2 Section 2 Quiz

3. طراحی نرم افزار ایمن 16% 3. Secure Software Design 16%

• 3. طراحی نرم افزار ایمن 16% 3. Secure Software Design 16%

• 3.1 مدل سازی تهدید را انجام دهید 3.1 Perform Threat Modeling

• تهدیدات رایج Common Threats

• تهدیدها و مدل سازی تهدید Threats and Threat Modeling

• مدل های تهدید Threat Models

• درخت تهدید چیست؟ What is a Threat Tree?

• تخته سفید - درخت تهدید Whiteboard - Threat Tree

• ارزیابی سطح حمله Attack surface evaluation

• اصطلاحات برای دانستن Terminology to know

• 3.2 معماری امنیتی را تعریف کنید 3.2 Define the Security Architecture

• شناسایی و اولویت بندی را کنترل کنید Control identification and prioritization

• تخته سفید - کنترل Whiteboard - Controls

• محاسبات توزیع شده Distributed computing

• معماری سرویس گرا Service-oriented architecture

• تخته وایت برد SOA Whiteboard SOA

• برنامه های غنی اینترنتی Rich Internet Apps

• دستگاه های جاسازی شده Embedded Devices

• پردازش ابری Cloud Computing

• تخته سفید - رایانش ابری Whiteboard - Cloud Computing

• بهترین روش های امنیت ابری - AWS Cloud Security Best Practices - AWS

• بهترین روش‌های امنیت ابری - GCP Cloud Security Best Practices - GCP

• برنامه های موبایل Mobile Apps

• تخته سفید - موبایل و SSO Whiteboard - Mobile and SSO

• نگرانی های پلت فرم سخت افزاری Hardware Platform Concerns

• 3.3 انجام طراحی رابط امن 3.3 Performing Secure Interface Design

• رابط های مدیریت امنیت، مدیریت خارج از باند، رابط های ورود Security management interfaces, out-of-band management, log interfaces

• تخته سفید - مدیریت باند و خارج از باند Whiteboard - In Band and Out of Band Management

• تخته سفید - رابط ها Whiteboard - Interfaces

• انتخاب های طراحی پروتکل شبکه Network Protocol design choices

• تخته سفید SSH Whiteboard SSH

• انتخاب های طراحی API API Design Choices

• 3.4 انجام ارزیابی ریسک معماری 3.4 Performing Architectural Risk Assessment

• ارزیابی ریسک معماری Architectural Risk Assement

• تخته سفید - ارزیابی ریسک Whiteboard - Risk Assessment

• ثبت ریسک Risk Registers

• تخته سفید - ثبت ریسک Whiteboard - Risk Registers

• برنامه های مدیریت ریسک Risk Management Plans

• کاهش خطر Risk Mitigation

• اصطلاحات برای دانستن Terminology to Know

• 3.5 مدل سازی (غیر عملکردی) ویژگی ها و محدودیت های امنیتی 3.5 Modeling (Non-Functional) Security Properties and Constraints

• 3.6 مدل سازی و طبقه بندی داده ها 3.6 Model and Classify Data

• داده های مدل Model Data

• طبقه بندی داده ها Classify Data

• طبقه بندی داده های رایج Common Data Classifications

• 3.7 طراحی ایمن قابل استفاده مجدد را ارزیابی و انتخاب کنید 3.7 Evaluate and Select Reusable Secure Design

• مدیریت اعتبار بخش 1 Credential Management Part 1

• مدیریت اعتبار بخش 2 Credential Management Part 2

• مجازی سازی Virtualization

• کنترل جریان Flow Control

• پیشگیری از از دست دادن داده (DLP) Data Loss Prevention (DLP)

• نسخه ی نمایشی DLP در GCP DLP Demo on GCP

• کد استفاده مجدد Resuse Code

• محاسبات مورد اعتماد Trusted Computing

• کنترل سیستم عامل و خدمات Operating system control and services

• 3.8 بررسی امنیت طراحی را انجام دهید 3.8 Perform Design Security Review

• بررسی طراحی امنیتی Security Design Reviews

• 3.9 طراحی معماری مونتاژ ایمن برای سیستم های مبتنی بر مولفه 3.9 Design Secure Assembly Architecture for Component-Based Systems

• ذخیره سازی اطلاعات سمت مشتری Client side data storage

• 3.10 از ابزارهای معماری و طراحی تقویت کننده امنیت استفاده کنید 3.10 Use Security Enhancing Architecture and Design Tools

• معماری امنیتی Security Architecture

• ابزار و منابع طراحی Design Tools and Resources

• 3.11 از اصول و الگوهای طراحی امن استفاده کنید 3.11 Use Secure Design Principles and Patterns

• اصول طراحی امن Secure Design Principles

• ایمن با طراحی Secure by Design

• نکات تست Test Tips

• بخش بررسی سوالات Section Review Questions

• آزمون بخش سوم Section Three Quiz