[中字] 信息与网络安全素养 —— 筑牢安全防护意识（中文字

幕英文视频教程） 课程介绍 在数字化技术飞速发展的当下，信息与网络安全已成为保障业务稳定运行、数据安全及产品可靠交付的核心基石。本课程聚焦信息与网络安全领域的关键知识与实践方法，从软件开发生命周期安全和现代产品安全两大维度，系统讲解安全防护的核心逻辑、实用技术与落地策略，帮助学习者建立全面的安全思维，提升安全防御能力，助力个人与组织在数字化环境中有效规避安全风险。 （一）软件开发生命周期安全模块 本模块深入剖析安全与软件开发之间的紧密关联，打破 “安全是开发后期环节” 的传统认知，引导学习者将安全理念贯穿软件开发全流程，从源头降低安全隐患，提升软件产品的安全韧性。 安全意识：安全防护的起点 安全防护的首要前提是建立清晰的安全意识。本部分通过案例与原理讲解，让学习者理解为何安全意识是整个安全工作的基础 —— 只有团队成员普遍具备安全认知，才能在需求分析、代码编写、测试部署等各个环节主动识别潜在风险，避免因意识缺失导致的安全漏洞。同时，课程还会提供实用的安全意识培养方法，帮助学习者将安全思维融入日常工作习惯。 传统 SDLC 与 SSDLC 的对比分析 软件开发过程中，传统软件开发生命周期（SDLC）往往侧重于功能实现与开发效率，安全环节多在后期介入，导致安全缺陷发现时修复成本极高。而安全软件开发生命周期（SSDLC）将安全要求嵌入需求定义、设计、编码、测试、部署及维护的每一个阶段。课程通过直观对比两种模式的流程差异、安全介入时机及最终安全效果，让学习者明确 SSDLC 在降低安全风险、减少修复成本方面的显著优势，掌握 SSDLC 的核心框架与实施要点。 “左移” 策略与缺陷修复成本的关联 “左移” 是 SSDLC 的核心理念之一，指将安全测试与风险评估环节向开发流程的早期阶段转移。课程通过数据与实例展示：在需求设计阶段发现并修复安全缺陷，成本可能仅为生产环境中修复成本的几十分之一；而随着开发进程推进，缺陷修复成本会呈指数级增长。学习者将理解 “左移” 的重要性，并掌握在实际开发中推进 “左移” 的具体方法，如在需求阶段加入安全需求评审、设计阶段开展威胁建模等。 Agile 与 DevOps 模式下的 SSDLC 实践 Agile（敏捷）与 DevOps（开发运维一体化）模式以快速迭代、持续交付为特点，传统安全流程难以直接适配。本部分针对两种模式的特性，讲解如何将 SSDLC 与敏捷迭代、持续集成 / 持续部署（CI/CD）流程融合 —— 例如在敏捷 sprint 计划中纳入安全任务、在 CI/CD pipeline 中集成自动化安全测试工具、建立安全与开发团队的协同机制等，确保快速交付的同时不牺牲安全，实现 “敏捷安全” 与 “DevSecOps” 的落地。 关键角色：软件质量保障经理与安全软件评估师 在软件安全体系中，软件质量保障（QA）经理与安全软件评估师承担着关键职责。课程明确这两个角色的核心任务：QA 经理需将安全指标纳入质量评估体系，推动安全测试与功能测试同步开展；安全软件评估师则负责对软件产品进行全面安全检测，识别漏洞、评估风险，并提供修复建议。通过讲解角色职责与协作流程，帮助学习者理解安全工作需跨角色协同，明确自身在安全体系中的定位与价值。 安全编码：从源头阻断漏洞产生 代码是软件的基础，不安全的编码习惯是导致漏洞的主要原因之一。本部分聚焦安全编码的重要性，分析常见的不安全编码行为（如输入验证缺失、SQL 注入风险代码、缓冲区溢出等）及其引发的安全后果，同时讲解安全编码的核心原则（如最小权限原则、输入输出过滤、代码加密等）与实用技巧。通过案例演示，让学习者掌握如何在编码阶段规避安全风险，从源头提升软件安全性。 安全工具与标准：OWASP Top 10、SAST 与 DAST 面对复杂的软件安全需求，借助专业工具与标准是提升安全防护效率的关键。课程介绍国际通用的 OWASP Top 10（开放式 Web 应用程序安全项目十大安全风险），帮助学习者快速掌握当前最常见、危害最大的 Web 应用安全漏洞类型及防护方法；同时讲解静态应用安全测试（SAST）与动态应用安全测试（DAST）两种核心测试技术 ——SAST 通过分析源代码发现潜在漏洞，适用于开发早期；DAST 通过模拟攻击测试运行中的应用，适用于测试与部署阶段。学习者将了解两种工具的适用场景与操作逻辑，掌握利用工具提升安全测试效率的方法。 DevSecOps 生命周期全流程解析 DevSecOps 强调 “安全融入每一步”，课程通过全流程 walkthrough，展示从需求分析、代码开发、自动化测试（含安全测试）、持续部署到运维监控的每一个环节中，安全工作如何落地 —— 例如需求阶段定义安全基线、开发阶段使用 SAST 工具扫描代码、部署前通过 DAST 进行动态检测、运维阶段实时监控安全事件等。通过流程拆解与案例讲解，让学习者清晰掌握 DevSecOps 的实践路径，能够在实际工作中推动安全与开发、运维的深度融合。 实战案例研讨：安全事件的教训与防护启示 理论学习需结合实战案例才能更好地落地。本部分通过对典型安全事件的深入分析，梳理事件发生的原因（如安全意识不足、流程漏洞、技术缺陷等）、造成的影响，以及后续的应急处置与整改措施。通过案例研讨，让学习者从实际事件中总结经验教训，理解安全防护需 “防患于未然”，同时掌握面对安全事件时的应急响应思路，提升风险应对能力。 （二）现代产品安全模块 随着 5G、物联网（IoT）、工业控制系统（ICS）等新技术与产品的广泛应用，产品安全面临新的挑战与风险。本模块聚焦现代产品的安全特性与防护难点，讲解不同类型产品的安全防护策略，帮助学习者应对新型产品的安全需求。 5G 技术的安全影响与防护策略 5G 技术以高速率、低延迟、广连接为特点，在推动产业升级的同时，也带来了新的安全风险，如网络切片安全、边缘计算安全、终端接入安全等。课程分析 5G 网络架构的安全薄弱环节，讲解 5G 环境下数据传输、设备接入、业务应用的安全风险，同时提供针对性的防护策略 —— 如加强网络切片隔离、采用加密传输技术、建立终端身份认证机制等，帮助学习者理解 5G 安全的核心要点，提升 5G 产品与应用的安全防护能力。 工业控制系统（ICS）与监控和数据采集（SCADA）系统的安全防护 ICS/SCADA 系统广泛应用于能源、制造、交通等关键基础设施领域，其安全直接关系到公共安全与社会稳定。此类系统具有运行周期长、软硬件老旧、协议安全性低等特点，易成为攻击目标。课程讲解 ICS/SCADA 系统的架构与安全风险（如设备劫持、数据篡改、业务中断等），介绍适用于工业环境的安全防护技术（如工业防火墙、入侵检测系统、安全通信协议等），同时强调系统运维中的安全管理措施（如定期漏洞扫描、权限严格管控、应急备份机制等），帮助学习者掌握关键基础设施的安全防护方法。 物联网（IoT）设备的安全防护难点 IoT 设备种类繁多、数量庞大，且普遍存在计算能力弱、存储空间有限、更新维护困难等问题，导致其安全防护难度远高于传统网络设备。课程分析 IoT 设备的安全痛点：如出厂默认密码未修改、缺乏安全更新机制、数据传输未加密、易被批量控制形成僵尸网络等。通过案例讲解这些问题引发的安全事件（如设备被劫持、用户隐私泄露等），让学习者明确 IoT 安全防护的核心难点，为后续学习防护策略奠定基础。 IoT 供应链攻击：风险案例与防御思路 IoT 产品的供应链涉及芯片、操作系统、应用软件、零部件等多个环节，任何一个环节存在安全漏洞，都可能导致整个产品链面临风险。课程通过实际案例，讲解 IoT 供应链攻击的常见方式（如在芯片制造环节植入恶意代码、在软件预装阶段加入后门程序等）及其危害，同时提供供应链安全的防御思路 —— 如建立供应商安全评估体系、对供应链各环节进行安全检测、采用可信计算技术等，帮助学习者从供应链源头降低 IoT 产品的安全风险。 硬件产品安全生命周期与威胁建模 硬件产品的安全贯穿设计、生产、测试、部署、报废全生命周期，与软件安全存在显著差异。课程讲解硬件产品安全生命周期的各个阶段，明确每个阶段的安全重点（如设计阶段考虑硬件加密模块、生产阶段防止硬件被篡改、报废阶段确保数据彻底清除等）；同时介绍硬件威胁建模方法，帮助学习者识别硬件产品在不同生命周期阶段可能面临的安全威胁（如侧信道攻击、硬件克隆、物理破坏等），并制定针对性的防护措施。 现场设备的安全防护策略 现场设备（如 IoT 终端、工业控制设备、智能硬件等）部署环境复杂，易面临物理攻击、网络攻击、恶意篡改等风险。课程讲解现场设备的安全防护要点：如采用物理防护措施（防拆设计、锁定装置）、加强设备身份认证（如采用 USB 密钥、生物识别）、建立设备远程安全管理机制（如加密远程控制通道、定期推送安全更新）、实时监控设备运行状态（及时发现异常行为）等，帮助学习者确保现场设备在复杂环境下的安全稳定运行。 产品团队的安全工作转型：差异化实践方向 面对现代产品的安全挑战，传统产品团队的工作模式已难以满足需求。课程明确产品团队在安全工作中的转型方向：一是将安全需求纳入产品设计初期，而非后期补充；二是建立跨职能安全协作机制，联合开发、测试、运维、法务等团队共同推进安全工作；三是加强产品全生命周期的安全管理，从需求、设计、生产到运维、报废，实现安全闭环；四是提升团队成员的安全素养，定期开展安全培训与演练。通过这些差异化实践，帮助产品团队建立 “安全优先” 的工作理念，打造具备高安全韧性的产品。 三、课程价值 本课程通过理论讲解与实战案例结合，帮助学习者系统掌握信息与网络安全的核心知识与实践技能，无论是软件开发人员、产品经理、运维工程师，还是安全从业者，都能从课程中获得针对性的知识提升。通过学习，学习者不仅能建立全面的安全思维，提升个人安全防御能力，还能为所在组织的安全体系建设提供有力支持，助力组织在数字化转型中筑牢安全防线，有效应对各类信息与网络安全风险。