新形勢下應急響應的人才需求.pdf

1、中國信息安全測評中心新形勢下應急響應的人才需求目錄一、背景與需求二、人才培養現狀三、實戰型人才培養四、攻防領域專家考試重大網絡安全事件頻發烏克蘭電力系統遭受攻擊事件2015年12月23日，烏克蘭電力部門遭受到惡意代碼攻擊，“至少有三個電力區域被攻擊，并于當地時間15時左右導致了數小時的停電事故”；“攻擊者入侵了監控管理系統，超過一半的地區斷電幾個小時?！毕＠镟]件門事件希拉里被曝擔任國務卿期間使用私人電子郵箱與他人通信,涉嫌違反美國聯邦檔案法。在希拉里的大量郵件中，其中有十多封郵件涉及到“最高機密”。希拉里郵件門事件影響甚大，假如郵件遭到泄露，將對國家安全造成非常嚴重的破壞。郵件門事件本身也直

2、接影響了美國大選的最終結果。WannaCry勒索事件病毒WannaCry勒索（永恒之藍）事件病毒，已波及100多個國家和地區10萬臺電腦被感染，已經有100多個國家遭受了攻擊，其中包括英國、美國、中國、俄羅斯、西班牙和意大利。迅速向全球擴散的勒索病毒網絡攻擊受害者還會繼續增加，因為黑客可以輕松進入那些幾個月沒有更新微軟公司“視窗”操作系統的電腦中。面對安全事件我們該如何應對？面對安全威脅如何建立快速、有效、完備的安全事件處置機制 網站掛馬降低公眾信譽度，影響客戶行業公眾形象，掛馬使網站成為木馬傳播的幫兇。計算機病毒入侵造成客戶信息業務系統數據外泄、篡改、刪除破壞嚴重安全威脅。網絡攻擊造成客戶信

3、息業務系統中斷，給客戶業務運轉造成嚴重經濟業損失。引入專業應急響應團隊存在不足專業人才少、對人員技能要求高，很難完全應對日益復雜的網絡安全需求。提高自身安全團隊的能力來面對越來越多的網絡攻擊。以應急服務的形式邀請專業安全團隊處理突發的安全事件安全應急響應發展過程安全應急組織的成立FIRSTCCERT源于莫里斯蠕蟲案件，1989年，美國國防部、國家安全局及國防通信局相繼成立了安全應急組織。于1990年11月成立了國際“計算機事件響應與安全工作論壇”(FIRST)組織。1999年中國第一個應急響應組織在清華大學成立。2002年，CNCERT/CC加入FIRST。CNCERT/CC應急響應處理機制建

4、立應急處理機制或體系。制定最高當局主導、全社會參與的應急法律或規章。確立應急處理預警等級。建立應急處理隊伍，實行7天24小時值勤。1234應急響應服務的關鍵檢查安全事件來源?；謴拖到y正常工作。安全事件深度分析。發布安全事件通告。提供系統風險評估。人是安全的尺度加強專業應急安全人才隊伍的建設是應對頻發安全事件的關鍵要素。應急響應服務的主要內容應急響應服務的關鍵數據分析能力通過安全審計和日志數據來分析和發現網絡存在的未知或者未發現的攻擊。安全逆向能力有較好的逆向思維能力，熟練使用各種分析工具和滲透測試工具。安全實踐能力熟悉常見網絡攻擊手段及驗證方法，如：Web安全、移動安全、系統網絡。網絡基礎知識

5、掌握扎實的安全基礎知識，包括網絡、系統、應用等領域。目錄一、背景與需求二、人才培養現狀三、實戰型人才培養四、攻防領域專家考試國內企業安全團隊建設情況24%30%40%24%的企業沒有信息安全團隊。30%的企業每年基本上沒有信息安全預算。40%的小微企業(100人以下)沒有信息安全團隊和資金預算。50%超過50%的金融企業沒有安全團隊建設的投入。安全人才缺口巨大5%國內安全人才缺口高達95%近年我國高校教育培養的信息安全專業人才僅3萬余人，而網絡安全人才總需求量則超過70萬人，缺口高達95%安全人才缺口巨大全球性問題專業保險商Hiscox Insurance最新發布的報告顯示，美國、英國和德國只

6、有不足半數的企業做好了應對網絡攻擊的準備。網絡安全形勢日益嚴峻，如何彌合人才的巨大缺口，成為國家和安全產業面臨的一大難題。人才培養政策中網辦（2016）4號文01加快網絡安全學科專業和院系建設。02創新網絡安全人才培養機制。07加強全民網絡安全意識與技能培養。08完善網絡安全人才培養配套措施。人才培養過程中遇到的問題課程落后截至2016年，教育部批準全國共109所高校設置信息安全類相關本科專業，培養信息安全類專業本科畢業生超過1萬人/年，信息安全專業的課程大部分為高等數學、線性代數、計算方法、概率論與數理統計、計算機與算法初步、C+語言程序設計、數據結構與算法等傳統計算機專業教程。缺乏實戰無論

7、是高校信息安全專業的畢業生，還是專業培訓機構學員大多數缺乏安全攻防實戰的經驗。目錄一、背景與需求二、人才培養現狀三、實戰型人才培養四、攻防領域專家考試沙場才能點兵安全需要實戰型人才應急響應人才培育模式建立安全人才生態圈實戰能力是關鍵政府、企業和教育機構深度合作企業需求為根本1選擇有社會責任感的安全企業深度參與安全應急響應人才的培養，并參與人才資質認證考試。2教育理念創新，編寫新的課程培養專業技術人才。3國家相關機構發揮的帶頭作用，制定專業安全人才培養方向，并對人才進行標準化的能力認證。4提高學生的安全應急響應實踐技術能力。人才培養生態圈政府負責調研統計安全人才缺口、專業技能需求，制定人才培養方

8、向、職業技能的認證。高校（專業培訓機構）負責知識的傳遞、專業技能的培訓。企業參與人才的選拔、技能的認證，并給合格的人才提供就業的崗位。生態圈緊耦合良性循環能力認證的發放實戰能力的考察專業技能的培養應急響應人才培養國測360企業安全教育機構目錄一、背景與需求二、人才培養現狀三、實戰型人才培養四、攻防領域專家考試攻防領域專家注冊考試考試是為了鍛煉考生實際解決網絡安全問題的能力，有效增強我國網絡安全防御能力，促進國家企事業單位網絡防御能力不斷提高，以發現人才，選拔優秀人才而設立的技能水平考試?？荚噧热輳亩鄠€角度出發，客觀題與實操題相結合的形式，來考核考生的能力，通過多個得分點，對考生全面的考核，考生

9、需要了解最新的網絡安全技術，跟蹤最新的網絡安全動態，能夠在真實的網絡環境中發現問題和解決問題。也可以為網絡安全專業的學生提高自身價值，提高自身影響力，提供更好學習素材?？荚嚭喗楣シ李I域專家注冊考試考試方向中間件安全基礎包括Apache,IIS,Tomcat,以及JAVA開發的中間件Weblogic,Jboss,Websphere等。了解中間件的特性以及安全加固的方法，避免在安全設置上產生安全問題影響整個安全體系，了解最新的安全漏洞，能夠對最新的漏洞做出響應，提高整體安全標準。01020304數據庫安全基礎以Mssql,Mysql,Oracle,Redis數據庫為主，了解數據庫的使用方法和語法結

10、構，掌握數據庫的安全設置以及權限，角色的分配。了解常用的利用數據庫來進行文件操作和權限提升的方法以及應對措施，控制數據庫運行權限，保證數據庫中的數據完整和安全運營。Web安全基礎了解HTTP協議基礎，以及一些常見的web安全漏洞包括注入漏洞，XSS漏洞，CSRF漏洞，SSRF漏洞，文件處理漏洞，訪問控制漏洞，會話管理漏洞?？忌鷳撃軌蚶斫夂桶l現這些漏洞，并且學會修復這些漏洞的方法，掌握更多的安全技術。服務器安全基礎包括Windows,Linux操作系統賬戶的分配與安全設置，文件系統權限的管理，日志審計的基本方法，以及第三方應用安全。由此可以加強考生對操作系統安全的理解，了解常見的攻擊手段，以及

11、操作系統安全加固的基礎知識，通過日志審計進行安全事件分析，掌握最新的系統內核漏信息，能夠及時修復漏洞，提高操作系統的安全性能。攻防領域專家注冊考試增加個人優勢由于CISP-PTE是技能水平證書，表明了通過考試的學員擁有在職場中直接上崗獨當一面工作的能力。因此在求職時有自己的優勢。增加薪資由于CISP-PTE考試形式主要以實操為主，充分考核了考生的在企業安全中遇到的網絡安全問題，因此證書含金量頗高，是薪資談判時的重要砝碼。人力資源專家和獵頭們普遍認為，證書的取得的目標在于要不斷充實自己。在這個知識更新越來越快的終身學習時代，可以向企業表明自己具有學習能力，而且有意識地在不斷充實自己?？忌找鎸W習

12、能力攻防領域專家注冊考試考試形式安全加固與防御答題與實操日志與數據分析實操考試滲透測試實操考試Web安全基礎答題攻防領域專家注冊考試考試內容與考核要求知識類章節考核標準內容WEB安全基礎HTTP協議HTTP協議基礎知識注入漏洞SQL注入的基礎知識XML實體注入基礎知識RFI遠程文件包含漏洞的原理和修復方法LFI 本地文件包含漏洞的原理和修復方法RCE遠程代碼執行漏洞的原理和修復方法XSS漏洞存儲型XSS漏洞發現與防范反射型XSS漏洞發現與防范Dom型XSS漏洞發現與防范CSRF漏洞CSRF跨站請求偽造漏洞的分析與利用SSRF漏洞SSRF服務端請求偽造漏洞的分析與利用文件處理漏洞任意文件上傳漏洞

13、產生的原因與修復方法任意文件讀取漏洞產生的原因與修復方法訪問控制漏洞垂直越權漏洞的分析與利用水平越權漏洞的分析與利用會話管理漏洞會話固定漏洞的產生原因和防范會話劫持漏洞的產生原因和防范Cookie欺騙漏洞的產生原因和防范知識類章節考核標準內容中間件安全ApacheApache 服務器權限配置Apache 服務器文件解析漏洞Apache 服務器日志審計方法Apache 服務器Web目錄權限的設置IISIIS6文件解析漏洞利用IIS6寫權限漏洞的利用IIS6短文件名漏洞IIS7 FastCGI方式調用PHP存在的解析漏洞IIS日志審計方法TomcatTomcat 管理賬號密碼修改方法Tomcat

14、通過后臺獲取權限的方法Tomcat 服務器啟動權限設置Tomcat 日志審計方法WeblogicWeblogic 反序列化漏洞Weblogic 管理后臺弱口令風險Weblogic 服務端請求偽造漏洞Weblogic 日志審計方法JBossJBoss 反序列化漏洞JBoss jmx-console/web-console 未授權訪問JBoss jmx Invoker 遠程命令執行JBoss 日志審計方法WebsphereWebsphere 賬號管理授權Websphere 反序列化漏洞Websphere 管理后臺弱口令風險Websphere 日志審計方法攻防領域專家注冊考試考試內容與考核要求知識類

15、章節考核標準內容操作系統安全Windows系統安全賬戶密碼弱口令風險賬戶的分組和權限NTFS 文件系統權限的設置Windows日志的種類和審計方法第三方應用和服務存在的漏洞Windows權限提升方法Linux系統安全檢查用戶空口令的方法設置賬戶認證失敗鎖定次數和時間檢查除root以外的UID為0的用戶查找系統中存在的SUID和SGID程序查找任何人都有寫權限的目錄和文件第三方應用和服務可能存在的漏洞Linux權限提升方法系統日志的分類和審計方法知識類章節考核標準內容數據庫安全Mssql數據庫安全Mssql數據庫的查詢語法Mssql數據庫賬戶密碼存在弱口令的風險Mssql數據庫服務器啟動權限的設置Mssql數據庫的角色與權限的分配Mssql數據庫中常用的存儲過程Mssql數據庫備份和日志備份方法Mssql存儲過程提權的方法Mysql數據庫安全Mysql數據庫的查詢語法Mysql賬戶密碼弱口令風險Mysql創建用戶并指定數據庫授權Mysql讀取文件和導出文件的方法Mysql提權的方法Oracle數據庫安全Oracle數據庫的查詢語法Oracle數據庫執行系統命令的方法Oracle數據庫賬號權限的分配Oracle數據庫賬號密碼策略配置Oracle數據庫日志審計Redis數據庫安全Redis 數據庫未授權訪問的危害Redis 數據庫啟動權限的設置Redis 寫入文件的方法謝謝!