注册信息安全专业人员应急响应工程师知识体系大纲docWord下载.docx

1、是知识类中由属于同一技术领域的知识内容构成的相对独立、成体系的知识集合；知识子域：是对知识域进一步分解细化形成的完整的知识组件；知识点：是构成知识子域的基本模块，每个知识子域由一至多个具体的知识点构成。本大纲规定了知识子域中每一个知识点的内容和深度要求，分为“了解”、“理解”和“掌握”三类。了解：是最低深度要求，学员需要正确认识该知识点的基本概念和原理；理解：是中等深度要求，学员需要在正确认识该知识点的基本概念和原理的基础上，深入理解其内容，并可以进一步的判断和推理；掌握：是最高深度要求，学员需要正确认识该知识点的概念、原理，并在深入理解的基础上灵活运用。图 2-1 描述了知识体系的结构图 2

2、-1：知识体系的组件模块结构在整个知识体系结构中，共包括应急响应概况、应急响应基础、应急响应事件监测、应急响应事件分析与处置、企业应急响应典型事件五个知识域，每个知识域根据其逻辑划分为多个知识子域，每个知识子域由一个或多个知识点组成。CISP-IRE知识体系结构所包含的五个知识域，分别为：应急响应概况：主要包括应急响应介绍、应急事件分类、应急响应启动条件、应急响应目标、应急响应预案制定与一般处置流程相关的技术知识。应急响应基础：主要包括Windows应急、Linux应急、日志分析、应急响应工具配备和介绍相关的技术知识。应急响应事件监测：主要包括威胁情报运营、安全监控相关技术知识和实践。应急响应

3、事件分析与处置：主要包括事件分析、制定应急响应计划、响应处置工作流程、应急响应报告编写、事件跟踪总结相关技术知识和实践。企业应急响应典型事件：主要包括有害程序事件、网络攻击事件、信息破坏事件、其它网络安全事件相关技术知识和实践。图2-2 描述了CISP-IRE的知识体系结构框架：图 2-2：CISP-IRE知识体系结构框架2.2考试试题结构CISP-IRE考试题型为选择题与实操题,总分共100分，其中选择题20分，实操题80分，得到70分以上（含70分）为通过。证书类别知识类别CISP-IRE应急响应概述10%30%应急响应分析与处置20%企业应急响应典型事件表 2-1：CISP-IRE 试题

4、结构第3章知识域：即使是最好的信息安全基础设施也无法保证不会发生入侵或其它恶意行为。当信息安全事件发生时，相关组织必须拥有有效的计划和流程以及准备好应急的合格人员。而一个合格的应急人员需要具备以下的知识和技能：掌握应急响应概况掌握应急响应基础知识掌握应急响应事件监测掌握应急响应事件分析与响应处置掌握企业应急响应典型事件图 3-1：知识域：3.1 知识子域：应急响应介绍信息安全事件和应急响应概念了解常见的安全事件。理解应急响应基础概念以及了解应急响应的重要性。国际和国内信息安全应急响应组织了解国际和国内信息安全应急响应组织。国家相关法规政策了解国家和网络安全应急响应相关的法规政策。3.2 知识子

5、域：安全事件分类安全事件分类原则了解常见安全分类并能够对安全事件进行分类。安全事件分类方法掌握常见安全事件不同维度的分类方法。3.3 知识子域：应急响应启动条件了解应急响应不同的启动条件并根据不同的响应条件制定相应的响应级别。3.4 知识子域：应急响应目标理解应急响应目标并能为目标制定切实有效的应急响应计划。3.5 知识子域：应急响应预案制定应急响应预案制定原则掌握应急响应预案制定的原则与方法论。应急响应预案制定方法掌握针对不同应急响应情况下的应急响应预案制定的方法。3.6 知识子域：应急响应一般处置流程掌握应急响应一般处置流程并对流程进行深入理解。第4章知识域：图 4-1：4.1 知识子域：

6、Windows应急Windows服务器一直是挖矿木马、勒索病毒等安全事件的重灾区，攻击者将目光集中于Windows服务器的主要原因是服务器无论在性能上或者是在用户接触频率上对于攻击者而言都是极度友好的服务器的性能大部分要远高于个人电脑，并且服务器大多是“疏于看管”的，挖矿木马可以长期潜伏，此外针对PC的一些安全事件也有很多，例如PC的挖矿木马家族OnesystemCareMiner、HiddenPowerShellMiner、飞熊矿业等家族仍然在活跃中，其中网页挂马和破解软件是这类挖矿木马最为常见的传播渠道。所以掌握Windows操作系统下的应急响应知识和技巧尤为重要。Windows下的应急响

7、应需要掌握以下的知识和技能。系统信息排查掌握Windows下系统信息排查的方法。掌握Windows下系统信息排查常用命令使用。文件排查掌握Windows下文件排查的方法。掌握Windows下文件排查常用命令使用。进程排查掌握Windows下进程排查的方法。掌握Windows下进程排查常用命令使用。网络排查掌握Windows下网络排查的方法。掌握Windows下网络排查常用命令使用。工具排查掌握Windows工具常用工具的使用。后门排查了解Windows常见后门原理。掌握Windows下常见后门排查方法。应急溯源掌握Windows下应急溯源知识和技巧。掌握Windows下常见的攻击手法。4.2

8、知识子域：Linux应急Linux是一套免费使用和自由传播的类Unix操作系统，目前在服务器市场占有率超过80%。通过长期分析发现目前针对Linux主机的攻击目的，主要集中在捕获肉鸡进行挖矿与DDoS攻击上。掌握Linux平台下的知识和技能也是对每个应急响应人员来说是不可或缺的。Linux下的应急响应需要掌握以下的知识和技能。掌握Linux下系统信息排查的方法。掌握Linux下系统信息排查常用命令使用。掌握Linux下文件排查的方法。掌握Linux下文件排查常用命令使用。掌握Linux下进程排查的方法。掌握Linux下进程排查常用命令使用。掌握Linux下网络排查的方法。掌握Linux下网络排

9、查常用命令使用。掌握Linux工具常用工具的使用。了解Linux常见后门原理。掌握Linux下常见后门排查方法。掌握Linux下应急溯源知识和技巧。掌握Linux下常见的攻击手法。4.3 知识子域：日志分析简单地说，日志就是计算机系统、设备、软件等在某种情况下记录的信息。具体的内容取决于日志的来源。例如，Unix操作系统会记录用户登录和注销的消息，防火墙将记录ACL通过和拒绝的消息，磁盘存储系统在故障发生或者在某些系统认为将会发生故障的情况下生成日志信息。日志中有大量信息，这些信息告诉你为什么需要生成日志，系统已经发生了什么。例如，Web服务器一般会在有人访问Web页面请求资源（图片、文件等等

10、）的时候记录日志。如果用户访问的页面需要通过认证，日志消息将会包含用户名。这就是日志数据的一个例子：可以使用用户名来判断谁访问过一个资源。通过日志，IT管理人员可以了解系统的运行状况，安全状况，甚至是运营的状况。同样在发生安全事件的时候，日志对攻击溯源以及定位入侵原因尤为重要。Web服务器日志分析掌握常见Web服务器（如Apache、Nginx）日志种类、位置以及排查方法。掌握常见Web服务器各种日志中各个字段的含义。数据库服务器日志分析掌握常见数据库（Mysql、Sqlserver、Oracle、Redis等）日志种类、位置以及排查方法。掌握常见数据库各种日志中各个字段的含义。中间件服务器掌

11、握常见中间件服务器（Weblogic、WebSphere、Jboss等）日志种类、位置以及排查方法。掌握常见中间件服务器各种日志中各个字段的含义。操作系统日志分析理解Windows和Linux下各种日志各个字段含义。掌握Windows和Linux下日志种类、位置以及排查方法。安全产品日志分析理解常见安全产品下各种日志各个字段含义。掌握常见安全产品（常见软防、硬防）日志种类、位置以及排查方法。4.4 知识子域：应急响应工具配备和使用掌握应急响应工具配备和使用。了解常见应急响应工具原理。第5章知识域：在网络安全领域的知识是有所界定的。在互联网上发生不同的安全事件的解决方法也不一样。针对不同的安全需

12、求,需要建立不同的问题模型,针对不同的分析对象需要采取不同的分析方法。企业安全技术人员要基于对可以获得的数据源（内部和外部）的理解,有针对性的确定分析逻辑。通过挖掘数据间的关系,总结规律,形成知识，及时发现和处理威胁。图 5-1：5.1 知识子域：威胁情报运营常见威胁情报源订阅了解有哪些威胁情报源。了解各个威胁情报源的特点。常见威胁情报、黑客社区关注了解和关注常见威胁情报、黑客社区等。IOC收集和运营了解常见IOC种类。了解IOC收集和运营。5.2 知识子域：安全监控 安全产品告警日志运营理解常见安全产品（WAF、IDS、IPS等）使用。理解常见安全产品日志查看。网络扫描掌握常见网络扫描工具的

13、使用。了解常见网络扫描工具原理。流量分析掌握常见抓包工具（wireshark、tcpdump）的使用。了解各个数据包的具体含义。第6章知识域：当安全事件已经发生的时候，作为安全人员需要对事件进行有效的分析，针对事件制定应急响应处置计划，并能够有效的去执行应急响应计划，后续完成应急响应报告并深刻反思发生安全事件的原因，防止类似的事件再次发生。图 6-1：应急响应事件分析与响应处置6.1 知识子域：事件分析了解现状了解事件发生的时间、事件发生的环境、事件症状等。知识点: 初步判定事件类型掌握安全事件分类的原则和方法。 预估事件影响范围和严重程度了解事件影响范围和严重程度的判定。事件分级了解基本的事

14、件分级（I级特别重大、II级重大、III较大、IV一般）。6.2 知识子域：制定应急响应计划制定应急响应计划原则理解应急响应计划的制定原则。制定应急响应计划方法理解应急响应计划的制定方法论，能够根据不同的安全事件制定相应的应急响应方法。6.3 知识子域：响应处置工作流程应急响应流程规范掌握应急响应处置工作流程规范。掌握准备阶段的方式方法。掌握检测阶段的事件检测方法和步骤。掌握抑制阶段对应的处置方式方法和步骤。掌握根除阶段对应的处置方式方法和步骤。掌握恢复阶段对应的处置方式方法和步骤。掌握跟进阶段对应的处置方式方法和步骤。6.4 知识子域：应急响应报告编写应急响应报告规范掌握应急响应报告规范。应

15、急响应报告编写方法掌握应急响应报告编写方法。6.5 知识子域：事件跟踪总结建立事件跟踪机制掌握建立事件跟踪机制的方法并能够不断去完善。事件跟踪总结方法掌握建立事件跟踪总结的方法。第7章 知识域：参考国家网络安全事件应急预案，这里将网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、其它网络安全事件。图 7-1：7.1 知识子域：有害程序事件挖矿事件理解计算机挖矿原理。掌握计算机挖矿事件处置方法。计算机病毒事件理解计算机病毒原理。掌握计算机病毒事件处置方法。蠕虫事件理解蠕虫事件原理。掌握蠕虫事件处置方法。特洛伊木马事件理解常见木马原理。掌握木马事件处置方法。僵尸网络事件理解僵尸网络原理。掌

16、握僵尸网络事件处置方法。混合攻击事件理解混合攻击事件原理。掌握混合事件处置方法。网页内嵌恶意代码事件理解常见网页内嵌恶意代码原理。掌握常见网页内嵌恶意代码事件处置方法。7.2 知识子域：网络攻击事件拒绝服务攻击事件理解拒绝服务攻击原理。理解拒绝服务攻击事件处置方法。后门攻击事件理解常见后门原理。掌握常见后门事件处置方法。漏洞攻击事件理解常见漏洞（不限系统漏洞和Web漏洞）原理。掌握漏洞攻击事件处置方法。网络扫描窃听事件理解常见扫描和网络窃听原理。掌握常见扫描和网络窃听处置方法。网络钓鱼事件理解网络钓鱼事件原理。掌握钓鱼事件处置方法。7.3 知识子域：信息破坏事件勒索事件理解常见勒索软件原理。掌握勒索事件处置方法。信息篡改事件理解常见信息篡改方式方法。掌握常见信息篡改事件处置方法。信息假冒事件理解信息假冒事件原理。掌握信息假冒事件处置方法。信息泄露事件掌握常见信息泄露方法手段。掌握信息泄露事件处置方法。信息丢失事件了解常见信息丢失事件原理。掌握信息丢失事件处置方法。7.4 知识子域：其它安全事件网络传播法律法规禁止信息掌握网络传播法律法规禁止信息。设备设施故障了解设备设施故障原理。掌握设备设施故障处置方法。灾害性事件了解灾害性事件处置方法。