Dominican University of California

网络安全理学硕士（MSC）

网络安全基础知识

本课程涵盖了网络安全领域和主题的方方面面，例如应用程序、软件、网络、物理/逻辑基础设施和云。学生将了解当代和新兴技术，以及它们如何为应用程序、物联网、（数字）产品和服务提供安全平台。入门概念包括安全和风险管理、威胁形势、资产安全、安全操作和响应、现代计算环境中的硬件、操作系统、网络和应用程序防御、软件漏洞、基本加密、操作系统保护、跨数据、身份和设备的保护概念、网络和云安全、隐私、数据挖掘、计算机犯罪、技术和工具（包括对称和非对称加密算法、散列、公钥基础设施）及其使用方法。

网络安全治理与合规

本课程重点介绍了有效治理的广泛要求、制定网络安全战略所需的要素和行动以及实施相应网络安全计划的行动计划。重点是将安全战略与业务目标、目标和公司治理相结合。学生将学习 IT 和网络安全的有效治理和管理组成部分。主题包括框架、标准、政策、程序、组织结构、企业架构、风险管理、资产保护、成熟度模型、法律、法规、IT 资源管理、IT 服务采购和管理、质量管理和绩效管理。本课程将涵盖有效的 AI 和 GenAI 治理，以确保透明度、问责制和合规性，需要强有力的政策、道德准则和监管监督来降低风险并促进负责任的 AI 部署。本课程还将介绍董事会 (BOD) 的作用、如何与 BOD 沟通、各种角色的客观性和独立性，例如网络安全应在组织中的位置。

网络安全运营

本课程以基础课程为基础，涵盖网络安全的日常运营方面。它提供了对各种操作的作用和重要性的理解：从漏洞和补丁管理、身份和访问管理、配置和变更管理、日志管理、应用程序安全、数据保护和隐私、数据加密、网络安全、资产管理、端点安全、物理安全、事件管理、网络威胁情报、数字取证、灾难恢复和业务连续性规划 (DRP/BCP)，到所有其他安全运营中心 (SOC) 功能、自动化、人工智能、威胁情报、威胁管理。在本课程中，学生还可以学习和讨论相关数据的捕获以及运营数据分析的使用，包括网络安全仪表板。本课程将涵盖角色、技能、预算和其他运营问题。

信息安全风险管理

本课程重点介绍信息安全风险管理作为满足业务需求和制定信息安全管理计划以支持这些需求的工具的重要性，同时将信息风险管理到可接受的水平以满足组织的业务和合规性要求。特别强调基于风险偏好和容忍度的业务协调。本课程的学生将学习风险识别、IT 风险评估、风险应对和缓解以及风险和控制监控和报告的技能。主题包括：信息安全和风险框架和标准、数据分类、信息资产分类和所有权、风险评估流程、第三方风险管理、威胁和漏洞识别、供应链风险、不合规风险、差距分析、安全控制和措施、投资回报和成本论证、信息风险报告、与如何就网络风险向高管和董事会提供建议相关的业务技能。本课程还探讨了人工智能和 GenAI 在风险管理中的作用，包括人工智能驱动的风险建模、自动威胁分析、预测风险评估以及人工智能在监管合规监控中的使用。此外，学生将探索如何利用人工智能数据分析来增强风险管理生命周期中的决策能力，从而确保主动和自适应的安全策略。

管理人力风险：建立以安全为基础的文化

在本课程中，学生将面对这样一个现实：人往往是安全链中最薄弱的环节，是社会工程和网络钓鱼攻击的主要目标。本课程提供必要的课程和路线图，为组织和员工构建成熟的意识计划，产生可衡量的影响。学生将获得关键概念和技能，通过强大的意识安全计划培养安全文化，该计划超越单纯的合规性，注重切实的行为改变。该课程全面了解组织中的人为因素及其对网络安全的深远影响。讨论将探讨相关的挑战和机遇，解决各种
技术团体，包括用户、开发人员、支持者和管理员。主题涵盖人为风险、内部威胁、成熟度模型和级别、意识、教育、培训以及当今人为攻击中普遍采用的策略、技术和程序。

安全编码和应用程序安全

本课程提供全面的指导和见解，涉及安全软件编码、开发和整体应用程序安全，重点关注网络安全。学生将获得基础原则和最佳实践，重点是安全编程技术。本课程还将涵盖威胁建模、风险评估和架构方法，以加强 (Web) 应用程序的安全态势。本课程将引导安全性集成到 DevOps 管道 (DevSecOps) 中，利用持续集成和持续开发 (CI/CD) 工作流、敏捷开发和 API 来实现流程自动化。认识到编码在网络安全中的关键作用，课程不仅限于熟练掌握安全编码实践，还培养了扩展精益和敏捷方法的能力。学生将能够熟练应对整个软件开发生命周期 (SDLC) 中不断变化的网络安全挑战。

网络安全战略、领导力和管理能力

本课程让学生了解和应对基本的领导力挑战，并通过专注于领导组织、领导自己和领导他人从这些能力中受益。主题包括战略、项目开发、领导力和管理、激励因素、软技能、领导风格、创造
并领导有效的团队、团队动态、团队参与和绩效管理、战略沟通流程、使用模型和框架领导和管理变革以及了解变革心理学。在本课程中，学生将提高成为一名称职且成功的网络安全领导者和专业人士所需的业务和人际交往技能，同时致力于制定网络战略。

防御者与攻击者——沟通观点

本课程的学生将开始动态探索网络安全，防御者和攻击者会聚在一起。本课程提供对黑客和防御者思维方式的全面了解，涵盖 MITRE - ATT&CK（对抗战术、技术和常识）框架、渗透测试、威胁搜寻以及攻击和对策。将强调使用 NIST 网络安全框架。学生与红队、蓝队和紫队一起进行动手模拟，强调协作和信息共享。课程包括主动威胁搜寻、防御解决方案中的自动化以及增强安全态势的协作努力。本课程还研究了 AI 和 GenAI 在进攻和防御网络安全策略中的作用。学生将探索 AI 如何用于自动渗透测试和发现漏洞、AI 驱动的威胁检测、对抗 AI 技术和 AI 驱动的欺骗技术。通过了解攻击者和防御者如何利用 AI，学生可以更深入地了解新兴的网络安全挑战以及如何构建更具适应性和弹性的安全态势。

IT/IS 和网络安全审计

确定信息系统是否受到保护、控制并为组织提供价值是审计过程的重要组成部分。本课程重点介绍审计员用于规划、执行、评估和审查业务或信息系统及相关流程的标准、原则、方法、指南、实践和技术，这些标准、原则、方法、指南、实践和技术也影响网络安全。本课程将介绍各种形式和级别的保证，例如评估、认证、持续监控和审计。学生将学习内部审计、网络安全管理和外部第三方等实体的不同角色，如何根据 IS 审计标准和基于风险的 IS 审计策略进行审计，传达进度、发现、结果和建议，并进行内部和外部审计跟进，以评估风险是否得到充分解决。本课程还介绍了如何确定组织政策和实践中流程改进的机会。

道德、法律和专业问题

数字化的普及正在深刻改变人类活动的各个方面。本课程概述了网络安全和隐私交叉领域的关键问题，并作为法律、法规和专业方法的参考，同时通过政策解决道德和合规问题。学生将学习区分法律和道德，了解道德行为和遵守法规、行业标准或内部政策，以及文化在网络安全道德中的作用。本课程将分析管理网络安全的法律框架，重点关注国际、国家和行业特定的法律法规。本课程将采用案例研究和现实场景来激发批判性思维和道德决策技能。此外，本课程还将涵盖与隐私、数据完整性、负责任地使用技术、新兴趋势（如人工智能的道德影响和网络安全漏洞的全球影响）相关的困境。

网络安全新兴技术和专题

本课程全面介绍了网络安全领域新兴技术的基本概念、应用和挑战。它使学生掌握必要的基本知识和技能，以应对网络安全和尖端技术的复杂交汇，为他们应对不断发展的数字环境做好准备。本课程从防御和进攻两个角度探索变革领域，例如人工智能 (AI)、机器学习 (ML) 和零信任架构。学生将研究最新云技术的实际应用及其对网络安全策略的深远影响。课程涵盖了广泛的主题，包括区块链、物联网 (IoT)、加密货币、量子计算、关键基础设施、无人机、机器人和可穿戴设备，强调了它们在保护数字生态系统方面的重要性。学生将获得有关这些技术在各个行业中的集成的宝贵见解，并积极参与长期战略思考，以广泛采用这些技术并保护组织资产。

实习

在本顶点课程中，学生将以个人或团队形式工作，并使用在整个课程中获得的各种技能、技术和概念进行董事会演示。他们将设计、执行和展示一家在过去 5 年中存在重大安全问题的选定公司的网络安全项目/计划。利用公开信息，学生将经历安全生命周期，评估他们当前的策略、识别差距并制定新策略，主张进行大量投资、重组网络安全并做出一些艰难的选择/权衡。项目将涵盖战略、政策、技术、人员、最佳实践和框架以及合规性要求的管理。对学生的评估基于他们的工作质量、他们以书面和口头形式协作开发和交流的能力以及问答环节。建议学生在课程早期选择他们的案例研究，以便他们可以在学习课程的过程中应用他们在每门课程中学到的知识。

• 首席信息安全官（CISO）
• 副首席信息安全官 (DCISO)
• 信息安全官（ISO）
• 商业信息安全官 (BISO)
• 网络安全项目经理/总监
• 网络安全经理/总监
• 基础设施和网络安全经理/总监
• 治理、风险、合规 (GRC) 经理/主管
• GRC 经理/总监
• 安全与风险服务经理/总监
• 信息安全治理经理/总监
• IT 安全经理/总监
• 信息安全经理/总监
• 技术项目经理/总监
• 网络安全项目/计划经理/主管
• 客户成功经理/总监（网络安全）
• 网络安全顾问
• 网络安全、治理和咨询经理/总监
• IT审计员