软件开源网店系统

注册软件安全专业人员(CWASPCSSP)学员培训手册发布日期2017年4月版本:1.
0中国信息安全测评中心深圳开源互联网安全技术有限公司CWASPCSSP学员培训指南咨询及索取关于中国信息安全测评中心CWASPCSSP培训相关的更多信息,请与CWASPCSSP运营中心联系.
CWASPCSSP运营中心联系方式:【联系地址】深圳市龙华清祥路宝能科技园7栋B座6J-2【邮政编码】518000【电话】0755-32880880【传真】0755-32880880【电子邮件】cwasp@seczone.
cn【官方网站】www.
seczone.
cn深圳开源互联网安全技术有限公司(简称SecZone),致力于软件安全开发生命周期(S-SDLC:SecureSoftwareDevelopmentLifeCycle)的技术研究、推广等.
公司是中国信息安全测评中心授权的注册软件安全专业人员(CWASPCSSP)及注册软件安全开发人员(CWASPCSSD)运营机构,负责注册软件安全专业人员(CWASPCSSP)业务的推广、市场宣传、授权培训机构管理及持证人员的服务.
CWASPCSSP专注于培养高级应用安全人才,是业界首个理论与实践相结合的认证培训体系.
目录目录II第1章CWASPCSSP介绍11.
1引言11.
2谁管理CWASPCSSP11.
3什么是CWASPCSSP11.
4成为CWASPCSSP的基本要求21.
5CWASPCSSP专业培训21.
5.
1CWASPCSSP专业培训适用人员21.
5.
2CWASPCSSP培训特点31.
5.
3CWASPCSSD培训考试范围31.
5.
4CWASPCSSP培训考试范围31.
5.
5CWASPCSSD培训课程安排41.
5.
6CWASPCSSP培训课程安排51.
6CWASPCSSP注册流程61.
7CWASPCSSP职业准则6第2章CWASPCSSP培训82.
1学员申请资料要求82.
2培训报名82.
3学员培训纪律要求8第3章考试应考人员考场守则及考试违纪、作弊处罚规则93.
1考试应考人员考场守则93.
2考试违纪、作弊处罚规则9附录1CWASPCSSP培训报名表121.
个人信息122.
工作经历133.
CWASPCSSP运营中心联系方式:13CWASPCSSP介绍引言随着信息技术的快速发展,软件为人们的日常工作与生活带来了便利,并成为日常工作与生活中不可或缺的部分.
而随着信息安全意识的普及,国家和公众也意识到软件同样面临着越来越多的安全威胁.
因此,保证软件在其开发生命周期中的开发安全,对于提高软件的安全性有着积极意义.

为了进一步提升国内软件行业的安全竞争力,加强国内软件开发领域从业人员的安全意识及专业水平,中国信息安全测评中心与深圳开源互联网安全技术有限公司(以下简称"SecZone")共建软件安全专业人员认证体系.
该体系基于软件安全开发生命周期(S-SDLC:SecureSoftwareDevelopmentLifeCycle),整理出一套适用于广大软件开发人员的知识体系,从2017年开始启动注册软件安全开发专业人员(CWASPCSSP)资质.
此项认证的目的在于提高我国软件开发人员的整体安全意识及安全开发技能,加快我国软件安全专业人员的系统性培养;并通过不断开拓创新,为广大软件开发人员提供优质、专业的软件安全服务.
谁管理CWASPCSSP中国信息安全测评中心负责CWASPCSSP的咨询和管理工作,包括负责CWASPCSSP的培训管理、考试、注册,深圳开源互联网安全技术有限公司(简称"SecZone")负责CWASPCSSP的教材编写、市场宣传与推广等工作.
什么是CWASPCSSPCWASPCSSP(CertifiedSecureSoftwareProfessional)系经中国信息安全测评中心认定的软件安全专业人员,是对我国网络信息系统软件开发人员安全开发能力实施的一种资质评定.
CWASPCSSP主要从事网络信息系统软件开发的相关工作,其具备一定的软件安全开发知识和技术,能在软件开发生命周期中提供必要的安全保障.
根据认证者的基础不同,CWASPCSSP共分为两种:注册软件安全开发人员(CertifiedSecureSoftwareDeveloper,简称CWASPCSSD).
证书持有人员主要从事软件开发领域的工作.
注册软件安全专业人员(CertifiedSecureSoftwareProfessional,简称CWASPCSSP).
证书持有人员主要从事软件开发领域的技术与管理工作.
成为CWASPCSSP的基本要求1.
申请成为注册软件安全开发人员(CWASPCSSD),具备一定软件开发基础,或有意向从事软件开发的人员,包含软件开发相关专业高校生;申请成为注册软件安全专业人员(CWASPCSSP)应该具备3年从事软件安全开发有关的工作经历;2.
参加并完成由中国信息安全测评中心授权培训机构组织的CWASPCSSP专业培训;3.
通过中国信息安全测评中心组织的CWASPCSSP考试;4.
同意并遵守CWASPCSSP职业准则;5.
满足CWASPCSSP注册要求并成功通过CWASPCSSP审核;6.
获得注册软件安全专业人员资质证书后,遵守和满足CWASPCSSP注册维持要求,并缴付年费;7.
不满足CWASPCSSP工作经验要求的人员,也可以先参加CWASPCSSP培训和考试,在完成培训并通过考试后,获得CWASPCSSP培训结业证书;在获得CWASPCSSP培训结业证书后的3年内累积并满足注CWASPCSSP的教育和工作经验要求,经过注册软件安CWASPCSSP注册审核后获得CWASPCSSP注册资质.
CWASPCSSP专业培训CWASPCSSP专业培训适用人员CWASPCSSP专业培训是由中国信息安全测评中心统一管理和规范并授权培训机构组织实施的信息安全专业培训.
CWASPCSSP专业培训适用于以下人员:所有软件开发人员;团队领导和项目经理、信息安全经理、软件项目经理、IT总监/经理;软件架构师、软件工程师、软件开发工程师;应用程序安全专家、渗透测试人员;软件采购分析员、质量保证测试员;其他从事软件安全开发工作的有关人员.
CWASPCSSD和CWASPCSSP两者之间无认证先后顺序.
CWASPCSSD是CWASPCSSP的基础,适合于软件开发基础人员.
CWASPCSSP培训特点1.
体系完善、视野开阔CWASPCSSP认证体系涵盖安全威胁、S-SDLC、软件安全架构设计、软件安全开发、软件安全测试和软件安全部署等知识领域,并注重实践,能有效拓宽参培者的视野与技能.
2.
贴近实际,案例详实CWASPCSSP结合了软件开发全生命周期中软件安全保障工作的实际需要,构建了一个全面实用的软件安全开发人员知识体系.
同时重视不同行业的软件开发安全实践经验传承,并不断创新,达到与时俱进.
3.
知识全面,技能并重CWASPCSSP不仅有全面的知识体系,更加重视学员的技能训练,使之成为能满足软件开发机构实际需要的专业技术型人才.
4.
目标明确,持续发展通过科学严格的考试和认证,为用人单位选拔软件安全高端人才提供权威依据;通过证后服务持续提升获证人员的知识和技能,使之适应软件安全工作不断发展的要求.
CWASPCSSD培训考试范围在整个"注册软件安全开发人员(CWASPCSSD)"的知识体系结构中,共包括应用安全威胁、S-SDLC流程和安全开发基本知识这三个知识体,每个知识体根据其逻辑划分为多个知识域,每个知识域由一个或多个知识子域组成.
CWASPCSSD知识体系结构共包含三个知识体,分别为:应用安全威胁:主要介绍以"OWASPTop10"为核心的应用安全威胁及应用安全威胁实例.
S-SDLC流程:主要介绍软件安全开发全生命周期的主要流程及安全管控措施.
软件安全开发:主要介绍软件开发过程中参数化查询、输出编码、输入验证、身份验证、访问控制等方面的技术知识和实践.
这些是注册软件安全专业人员需要掌握的核心知识.
CWASPCSSP培训考试范围在整个"注册软件安全专业人员(CWASPCSSP)"的知识体系结构中,共包括应用安全威胁、S-SDLC、软件安全架构设计、软件安全开发、软件安全测试和软件安全部署这六个知识体,每个知识体根据其逻辑划分为多个知识域,每个知识域由一个或多个知识子域组成.

CWASPCSSP知识体系结构共包含六个知识体,分别为:应用安全威胁:主要介绍以"OWASPTop10"为核心的应用安全威胁及应用安全威胁实例.
S-SDLC:主要介绍软件开发过程中有关S-SDLC流程、实施和成熟的模型的知识.
软件安全架构设计:主要介绍软件架构设计过程中有关设计安全和威胁分析的安全知识.
软件安全开发:主要介绍软件开发过程中有关参数化查询、输出编码、输入验证、身份验证、访问控制等方面的安全知识.
软件安全测试:主要介绍软件测试过程中的有关安全测试的基本知识、流程和渗透测试的知识.
软件安全部署:主要介绍软件安全部署过程中有关软件部署过程、软件自身安全和基础环境安全的知识.
CWASPCSSD培训课程安排知识体知识域天数应用安全威胁OWASPTOP101应用安全威胁实例剖析S-SDLC流程S-SDLC需求阶段关键要素0.
5S-SDLC设计阶段关键要素S-SDLC实施阶段关键要素S-SDLC验证阶段关键要素S-SDLC发布与响应阶段关键要素软件安全开发输入验证0.
5输出编码正确的实现访问控制建立身份验证机制保护数据和隐私实现正确的日志和错误处理利用框架的安全性和安全类库CWASPCSSP培训课程安排知识体知识域天数应用安全威胁OWASPTOP101应用安全威胁实例剖析S-SDLCS-SDLC流程1S-SDLC流程与敏捷开发S-SDLC流程实施与成熟度模型软件安全架构设计设计安全0.
5威胁分析软件安全开发输入验证0.
5输出编码正确的实现访问控制建立身份验证机制保护数据和隐私实现正确的日志和错误处理利用框架的安全性和安全类库软件安全测试安全测试基本知识0.
5安全测试流程渗透测试软件安全部署软件部署过程0.
5软件自身安全基础环境安全CWASPCSSP注册流程CWASPCSSP职业准则在中国信息安全测评中心注册的CWASPCSSP必须保证严格履行职责并承诺完全遵守以下道德准则:1.
必须诚实,公正,负责,守法;2.
必须勤奋和胜任工作,提高专业能力和水平;3.
必须保护信息系统、应用程序和系统的价值.
4.
必须接受中国信息安全测评中心的监督,在任何情况下,不损坏中国信息安全测评中心或注册过程的声誉,对中国信息安全测评中心针对CWASPCSSP而进行的调查应给予充分的合作;5.
必须按规定向中国信息安全测评中心交纳费用.
CWASPCSSP培训学员申请资料要求1.
学员需要填写如下申请资料:《注册软件安全专业人员(CWASPCSSP)考试及注册申请表》填写申请表格时应注意:申请表格可采用电子模版录入填写,也可手写,填写过程中应确保内容的真实准确,手写申请表格应用正楷字体,字迹要求清晰可辨.
注:填写注册申请表第二部分时,需要由申请人所在单位(部门)领导签字并加盖本单位公章.
2.
申请(CWASPCSSP)注册资质除了填写申请书外,还需要准备以下资料:个人近期免冠2寸彩色白底证件照片3张身份证复印件1份申请人专业工作证明文件;需单位证明;3.
学员应在报名同时将所有资料全部提交.
培训报名学员报名:学员可以通过电话、传真与CWASPCSSP运营中心确认报名,可登录中国信息安全测评中心网站查询开班信息.
培训报名表见附录1学员培训纪律要求1.
上课期间共同维护教学工作的顺利进行,专心学习;学员上课时间应关闭手机或将手机等设置于无声状态,以免干扰其他学员的学习;学员上课时间内应认真听讲,不得从事于听课无关的其他事宜.
2.
学习期间不得迟到、请假,旷课,如学员迟到三次或无故旷课半天以上,取消该学员注册考试资格.
考试应考人员考场守则及考试违纪、作弊处罚规则考试应考人员考场守则第一条为规范CWASPCSSP资质认定考试工作,制定本守则.
第二条应试人员将身份证件放在考桌桌面的右上角.
第三条应考人员应提前20分钟入场,在每期考试开始后迟到30分钟的应考人员不得进入考场考试.
考试开始30分钟后,应考人员可以交卷退出考场.
第四条应考人员不得携带任何书籍、笔记、纸张、具备文字储存和音响功能的计算器、具上网功能的平板电脑、各类通讯工具等进入考场座位.
第五条开考之前,应考人员应在答题卡和答题卷指定的位置用正楷正确填写(填涂)姓名、身份证件号、准考证号.
凡因错填或错涂姓名、身份证件号、准考证号或损坏答题卡造成评卷期间不能登统成绩或出现差错的,责任由应考人员自负.

第六条应考人员在考试中,要严格遵守考场纪律,保持考场肃静,不得相互交谈,不得看他人试卷或相互对答题内容,不得夹带换卷,不得在考场内吸烟、随意站立及走动.
第七条考试结束时间到,应考人员应立即停止答卷,将试卷翻放在桌面上,等候监考人员当众清点回收.
待监考人员宣布退场时,应考人员应立即退出考场.
不得将试题卷、答题卷、答题卡及草稿纸带出考场.
考试违纪、作弊处罚规则为了确保考试的质量,严肃考试纪律,维护考试信誉和应考人员的合法权益,公开、公平、公正地举办考试,特制定本规则.
第一条本规则所指的违纪、作弊行为人包括应考人员和考试监考工作人员,及与违纪、作弊行为有关的其他人员.
第二条对违纪、作弊行为人处罚的基本原则是事实清楚,证据确凿,处罚得当.
第三条中国信息安全测评中心依照本规则对违纪、作弊行为人进行处罚.
第四条违纪、严重违纪及作弊:应考人员在考试期间有下列行为之一,为违纪:将书籍、笔记、带有文字的纸张、具备文字储存和音响功能的计算器、具上网功能的平板电脑、各种通讯工具等夹带至考场座位;考试开始30分钟内仍未在答题卡和答题卷规定的位置填写(填涂)姓名、身份证件号.
应考人员在考试期间有下列行为之一,为严重违纪:有第四条第一款所列行为,经监考人员3次明确警告后仍不改正;考试开始后,手机及平板电脑出现在身边,发生震动或铃声等行为;考试开始30分钟后仍未在试卷和答题卡规定的位置填写(填涂)姓名、身份证件号,经监考人员警告后仍不填写(填涂).
应考人员在考试期间有下列行为之一,为作弊:偷看、抄袭他人答案或其他资料;由他人在考场外协助答题;互相交换试题卷、答题卡、答题卷;协助他人答题,传递有关考试内容的信息,或让他人抄袭答案;由他人冒名代考或代替他人参加考试;不服从监考人员管理,故意扰乱考场秩序.
在考试试卷评阅期间由评阅人员发现的异常答卷,经专家鉴定为互相抄袭的,按作弊处理.
第五条处理办法及程序:凡应考人员或监考人员出现涉及第五条、第六条及第八条所列行为时,应当按照以下程序对其提出警告并责令当事人立即改正;凡应考人员出现严重违纪行为的人员,应停止当事人继续参加考试,并取消当事人的考试资格及成绩;凡应考人员出现作弊行为,应停止当事人继续参加考试,并取消当事人的考试资格及成绩,且自培训之日起半年内不能参加考试.
监考人员应在其答题卷得分栏和答题卡页首空白处签注"严重违纪"或"作弊"字样,并在《注册软件安全专业人员考试监考及评卷记录》中记录当事人的严重违纪、作弊情况.
当试卷评阅期间评阅人员确认答卷异常时,应当填写《注册软件安全专业人员考试监考及评卷记录》,按试卷评阅工作规程核实.
经中国信息安全测评中心委派的专家鉴定为互相抄袭的,提交有关证据,并按本规则以予处罚.

凡应考人员出现作弊行为,除按前款规定进行处罚外,还将作弊情况向其所在工作单位通报.
第六条应考人员违纪、作弊有下列情节之一者,应加重处罚直至移交司法机关处理:销毁、藏匿作弊证据或伪造虚假证据;包庇、串通作弊人员;强迫、唆使他人违纪、作弊或串通作弊;阻止他人揭发检举、提供证据资料;对揭发检举人打击报复;干扰、妨碍考试组织机构调查核实.
第七条应考人员对违纪、作弊行为的处罚有异议的,可向中国信息安全测评中心提出书面复审申请,收到应考人复审申请后,中国信息安全测评中心应对严重违纪、作弊事实进一步予以核实,将复核结果通知至应考人员.