網(wǎng)絡(luò)空間安全工程技術(shù)人才培養(yǎng)體系指南

網(wǎng)絡(luò)空間安全工程技術(shù)人才培養(yǎng)體系指南（綜合版）二〇二四年八月引言網(wǎng)絡(luò)空間作為人類社會(huì)生存和發(fā)展的新空間，成為了“陸、海、空、天、網(wǎng)”中的第五維新疆域，網(wǎng)絡(luò)空間安全進(jìn)入到國家戰(zhàn)略強(qiáng)勢介入的全新階段。面對我國目前對有實(shí)踐經(jīng)歷和實(shí)戰(zhàn)能力的網(wǎng)絡(luò)空間安全工程技術(shù)人才（以下及正文簡稱“網(wǎng)安人才”）需求缺口巨大、需求增速不斷加快的現(xiàn)實(shí)，中國網(wǎng)絡(luò)空間安全人才教育論壇匯聚成員單位提出了我國網(wǎng)安人才知識及能力框架并持續(xù)改進(jìn)，在《網(wǎng)絡(luò)空間安全工程技術(shù)人才培養(yǎng)體系指南》（以下簡稱“指南”）中對框架的網(wǎng)安人才層次化體系、知識技能體系、培養(yǎng)體系等主體部分進(jìn)行了論述。其中的“知識技能體系”，按照從業(yè)人員業(yè)務(wù)標(biāo)簽這一全新角度，參考學(xué)科專業(yè)體系，對網(wǎng)安人才的知識技能進(jìn)行了梳理，突出以“人”為核心、以“業(yè)務(wù)內(nèi)容”為標(biāo)簽、以“知識技能”為內(nèi)容，為網(wǎng)安人才培養(yǎng)、考核、認(rèn)證以及招聘等提供參考。4個(gè)版本共14個(gè)一級標(biāo)簽的知識技能體系的梳理。本次“綜合版”是在前序版本（1.0、2.03.0、4.0）14個(gè)一15個(gè)一級標(biāo)簽、本指南（綜合版）的設(shè)計(jì)和編寫是由中國網(wǎng)絡(luò)空間安全人才教育論壇發(fā)起，廣州大學(xué)受托組織統(tǒng)編。目錄引言 I第一章網(wǎng)絡(luò)空間安全人才培養(yǎng)的特殊性 1網(wǎng)絡(luò)空間安全特性 1網(wǎng)安人才培養(yǎng)的特殊性 2網(wǎng)安工程技術(shù)人才培養(yǎng)體系 4第二章網(wǎng)絡(luò)安全工程技術(shù)人才分類與評價(jià)體系 5網(wǎng)安人才評價(jià)機(jī)制的目的和需求現(xiàn)狀 5網(wǎng)安人才層次化分類體系 6構(gòu)建層次化的網(wǎng)安人才分類評價(jià)體系 9第三章網(wǎng)絡(luò)安全工程技術(shù)人才知識技能體系 12體系分類方法 12標(biāo)簽化知識技能體系 13體系展開實(shí)例 14第四章網(wǎng)絡(luò)安全工程技術(shù)人才培養(yǎng)路線 65網(wǎng)安人才層次化培養(yǎng)必要性 65一線安全運(yùn)營人員培養(yǎng) 66工程技術(shù)開發(fā)人員培養(yǎng) 67安全研究創(chuàng)新人員培養(yǎng) 68安全規(guī)劃治理人員培養(yǎng) 69第五章網(wǎng)絡(luò)安全工程技術(shù)人才培養(yǎng)實(shí)例 71實(shí)例背景 71方班概況 71模式舉措 73致謝 75附中國網(wǎng)絡(luò)空間安全人才教育論壇 77第一章網(wǎng)絡(luò)空間安全人才培養(yǎng)的特殊性網(wǎng)絡(luò)空間安全特性網(wǎng)絡(luò)空間安全涉及在網(wǎng)絡(luò)空間中電磁設(shè)備、信息通信系統(tǒng)、運(yùn)行數(shù)據(jù)、系統(tǒng)應(yīng)用中所存在的安全問題，即設(shè)備層安全、系統(tǒng)層安全、數(shù)據(jù)層安全和應(yīng)用層安全。其中，設(shè)備層安全需應(yīng)對網(wǎng)絡(luò)空間中信息系統(tǒng)設(shè)備所面對的安全問題，包括物理安全、環(huán)境安全、設(shè)備安全等；系統(tǒng)層安全需應(yīng)對網(wǎng)絡(luò)空間中信息系統(tǒng)自身所面對的安全問題，包括網(wǎng)絡(luò)安全、軟件安全等；數(shù)據(jù)層安全需應(yīng)對在網(wǎng)絡(luò)空間中處理數(shù)據(jù)的同時(shí)所帶來的安全問題，包括數(shù)據(jù)安全、身份安全、隱私保護(hù)等；應(yīng)用層安全需應(yīng)對在信息應(yīng)用的過程中所形成的安全問題，包括內(nèi)容安全、應(yīng)用安全等。由于網(wǎng)絡(luò)信息技術(shù)所具有的支撐和工具特性，以及安全問題的伴隨本性，網(wǎng)絡(luò)空間安全具有與生俱來的伴生性。一項(xiàng)網(wǎng)絡(luò)信息技術(shù)的誕生之日，就無法避免地催生出其可能存在的安全問題，隨著技術(shù)的發(fā)展和應(yīng)用，其安全問題也會(huì)逐漸引起人們關(guān)注、得到研究和重視。因此，伴生性是網(wǎng)絡(luò)空間安全的本質(zhì)性特征之一。網(wǎng)絡(luò)空間本身涉及到物理空間的電磁信號、信息設(shè)備、運(yùn)行環(huán)境，邏輯空間的軟件、數(shù)據(jù)、信息，虛擬空間的身份、隱私、行為等不同空間維度的不同層次類型的對象；不同對象的安全問題及安全技術(shù)之間，具有復(fù)雜交錯(cuò)的關(guān)聯(lián)關(guān)系。因此，交叉性是網(wǎng)絡(luò)空間安全的另一個(gè)本質(zhì)特征。安全問題本質(zhì)上是一種博弈關(guān)系，存在于人與人、人與自然乃至自然事物之間。網(wǎng)絡(luò)空間的安全也符合這一客觀規(guī)律，并且由于網(wǎng)絡(luò)空間是人類基于網(wǎng)絡(luò)信息技術(shù)構(gòu)建的集物理、邏輯、虛擬于一體的復(fù)合空間，其所展現(xiàn)的博弈關(guān)系更多體現(xiàn)在人與人之間，以及人所基于的網(wǎng)絡(luò)信息技術(shù)或工具而進(jìn)行的“人+技術(shù)”的對抗，包括行為對抗和認(rèn)知對抗。因此，對抗性也是網(wǎng)絡(luò)空間安全的本質(zhì)特征之一。綜上，網(wǎng)絡(luò)空間安全是伴隨著網(wǎng)絡(luò)信息技術(shù)的出現(xiàn)、發(fā)展和應(yīng)用而出現(xiàn)和發(fā)展的，新的網(wǎng)絡(luò)信息技術(shù)必然會(huì)豐富網(wǎng)絡(luò)空間安全的內(nèi)涵、拓展其外延；而網(wǎng)絡(luò)空間安全在內(nèi)容邏輯上，具有極強(qiáng)的交叉關(guān)聯(lián)關(guān)系，強(qiáng)化了其技術(shù)范疇的交錯(cuò)關(guān)聯(lián)性；由人類的構(gòu)建和交互行為打造的網(wǎng)絡(luò)空間，其安全問題在本源上形成于人與人之間的行為和認(rèn)知對抗，需要用博弈對抗的視角審視和應(yīng)對。網(wǎng)安人才培養(yǎng)的特殊性安全保障強(qiáng)技能物理世界中的安保人員追求身強(qiáng)力壯，拼的是體力，物理世界的軍人首先要求具備過硬的身體素質(zhì)。網(wǎng)絡(luò)空間的安保人員追求IT技能高超，拼的是智力，網(wǎng)安工程技術(shù)人才作為網(wǎng)絡(luò)空間的“捍衛(wèi)者”，首先要求具備嫻熟的網(wǎng)絡(luò)攻防技能。這種斷崖式的安保人才門檻，導(dǎo)致了網(wǎng)絡(luò)安全人員的緊缺。攻易防難非對稱物理世界的攻擊者和攻擊手段具有鮮明的局域特點(diǎn)，單點(diǎn)攻擊只引發(fā)局部防范，區(qū)域戒備就可以解決問題。網(wǎng)絡(luò)空間攻擊可以直接掃描國際互聯(lián)網(wǎng)或間接觸及任何“物理隔離”的目標(biāo)網(wǎng)絡(luò)，單點(diǎn)攻擊會(huì)引發(fā)全球防范，防御人員的需求規(guī)模與系統(tǒng)規(guī)模成比例關(guān)系，攻擊者則與規(guī)模無關(guān)。網(wǎng)絡(luò)攻擊者的培養(yǎng)相對簡單，重在實(shí)踐；網(wǎng)絡(luò)防御者的培養(yǎng)過程復(fù)雜，需要理論與實(shí)踐結(jié)合。攻易防難的非對稱性，加重了網(wǎng)安工程技術(shù)人才尤其是高層次防御人員培養(yǎng)的難度。觸及法律高風(fēng)險(xiǎn)網(wǎng)絡(luò)攻擊技能的培養(yǎng)如同武術(shù)技能的傳授，受訓(xùn)者的自律程度成為造福人類還是危及社會(huì)的分水嶺。與武術(shù)技能的提高相同，網(wǎng)絡(luò)攻防的技術(shù)能力建立在不斷實(shí)踐的基礎(chǔ)之上，閉門造車無法真正提高實(shí)戰(zhàn)能力。如何在不斷“挑戰(zhàn)高手”的同時(shí)避免觸及法律紅線是難以兩全的問題。技能學(xué)術(shù)弱關(guān)聯(lián)攻擊技能可以通過經(jīng)驗(yàn)的積累而迅速提高，但防范能力則需要深厚的理論積累，尤其是對利用非配置漏洞而發(fā)起的攻擊的防范，簡單的實(shí)踐不能掌握其要領(lǐng)。因此，技能型人才不一定依賴學(xué)術(shù)水平，技能與學(xué)術(shù)沒有直接的強(qiáng)相關(guān)性。攻擊能力往往呈現(xiàn)實(shí)踐性，防御人才往往首先呈現(xiàn)學(xué)術(shù)性，兩種人才培養(yǎng)不盡相同。宿主技術(shù)后伴生任何新興的網(wǎng)絡(luò)空間技術(shù)所對應(yīng)的安全技術(shù)一定是與相應(yīng)的網(wǎng)絡(luò)空間技術(shù)相伴生的，新興網(wǎng)絡(luò)空間安全技術(shù)本質(zhì)上是寄生在新興宿主網(wǎng)絡(luò)空間技術(shù)之上，不了解所要保護(hù)的網(wǎng)絡(luò)空間技術(shù)，就不可能了解相應(yīng)的網(wǎng)絡(luò)空間安全技術(shù)。任何新興網(wǎng)絡(luò)空間安全技術(shù)出現(xiàn)之后，一定會(huì)存在相應(yīng)的安全問題，因此，也一定會(huì)伴生出現(xiàn)相應(yīng)的新型網(wǎng)絡(luò)空間安全技術(shù)。技能水平難鑒別由于社會(huì)上對安全人才需求與供給關(guān)系嚴(yán)重失衡，因此存在大量的轉(zhuǎn)行人才。網(wǎng)絡(luò)安全技能缺少顯式的展現(xiàn)方法，一般機(jī)構(gòu)難以通過簡單的卷面測試、短時(shí)的面試考核等方法判斷出一名網(wǎng)安人員的技能水平，使得急需網(wǎng)安人才的機(jī)構(gòu)面臨兩難的境地。網(wǎng)安工程技術(shù)人才培養(yǎng)體系目前，國內(nèi)網(wǎng)安人才成長主要包括院校教育、職業(yè)培訓(xùn)、自學(xué)成才三種渠道。其中，院校教育包括普通大學(xué)、高職高專、民辦高校等以學(xué)校為單位組織的網(wǎng)安人才培養(yǎng)形式，內(nèi)涵上包括其培養(yǎng)目標(biāo)、課程體系和培養(yǎng)模式等。院校培養(yǎng)體系在人才培養(yǎng)路線上一般具有系統(tǒng)化、理論化和學(xué)術(shù)化等特點(diǎn)，需著重根據(jù)網(wǎng)安人才的特殊性和人才需求特點(diǎn)，結(jié)合培養(yǎng)機(jī)構(gòu)人才出口、去向等個(gè)性情況，強(qiáng)化層次化、方向化的實(shí)踐教學(xué)和實(shí)戰(zhàn)能力培養(yǎng)。職業(yè)培訓(xùn)和自學(xué)成才包括用人單位組織的有計(jì)劃的定制化在崗培訓(xùn)、網(wǎng)安職業(yè)培訓(xùn)機(jī)構(gòu)面向社會(huì)個(gè)體人員的方向性、層次化的網(wǎng)絡(luò)安全工程技術(shù)和技能的培訓(xùn)，以及社會(huì)個(gè)體參照方向性的考核認(rèn)證內(nèi)容、自學(xué)實(shí)訓(xùn)計(jì)劃、實(shí)訓(xùn)實(shí)踐指南等進(jìn)行的層次化分級、興趣型分類自學(xué)實(shí)踐。這些培訓(xùn)或自學(xué)具有目標(biāo)性強(qiáng)但系統(tǒng)性不足、短期內(nèi)見效但成長性不足等特點(diǎn)，需要根據(jù)國家網(wǎng)絡(luò)空間安全戰(zhàn)略規(guī)劃、網(wǎng)絡(luò)空間安全學(xué)科內(nèi)容、網(wǎng)安知識技能體系等客觀性和科學(xué)性要求，進(jìn)行層次化、體系化規(guī)范和指導(dǎo)。根據(jù)上述分析，通過不同渠道成長的網(wǎng)安人才，其在學(xué)習(xí)的方式、路線、周期、手段等方面，有較大的差異；另外，國家和社會(huì)的行業(yè)、單位、崗位的分工不同，對網(wǎng)絡(luò)安全工程技術(shù)人才的知識技能需求在內(nèi)容上會(huì)各有側(cè)重，在層次上體現(xiàn)不同。因此，面向適應(yīng)網(wǎng)安人才特殊性和滿足國家網(wǎng)安人才需求，參考網(wǎng)絡(luò)空間安全學(xué)科知識體系，以“人”為核心，以行業(yè)對從業(yè)人員知識、技能、素質(zhì)等的要求為出發(fā)點(diǎn)，研究梳理網(wǎng)絡(luò)安全工程技術(shù)人才的分類分層體系，以及網(wǎng)絡(luò)安全知識技能體系，從而銜接人才培養(yǎng)與行業(yè)需求間的紐帶，為不同渠道網(wǎng)安工程技術(shù)人才培養(yǎng)、能力考核評估、求職招聘和崗位設(shè)置等提供技術(shù)參考。第二章網(wǎng)絡(luò)安全工程技術(shù)人才分類與評價(jià)體系網(wǎng)安人才評價(jià)機(jī)制的目的和需求現(xiàn)狀對網(wǎng)絡(luò)空間安全人才評價(jià)的目的是評判從業(yè)人員是否達(dá)到網(wǎng)絡(luò)空間安全專業(yè)技術(shù)人員獨(dú)立從事某種網(wǎng)絡(luò)空間安全專業(yè)技術(shù)工作知識、技術(shù)和能力的要求。建立網(wǎng)絡(luò)空間安全人才評價(jià)體系有利于加快網(wǎng)安人才培養(yǎng)，指導(dǎo)院校培養(yǎng)體系、社會(huì)培訓(xùn)、自學(xué)成才等多渠道人才培養(yǎng)和成長活動(dòng)，促進(jìn)專業(yè)人才隊(duì)伍素質(zhì)和業(yè)務(wù)水平的提高，有利于引導(dǎo)用人單位設(shè)置合理、務(wù)實(shí)的招聘、考核，完善人才隊(duì)伍。發(fā)達(dá)國家高度重視網(wǎng)絡(luò)空間安全評價(jià)，在國家層面上不斷地出臺相應(yīng)的戰(zhàn)略計(jì)劃，以完善其評價(jià)體系，從而支撐和推動(dòng)培訓(xùn)體系發(fā)展。2012NICEDHS負(fù)責(zé)統(tǒng)一領(lǐng)導(dǎo)制定網(wǎng)安人才框架，以評估工作人員的專業(yè)化水平，為預(yù)測未來網(wǎng)絡(luò)空間安全需求推薦最佳的實(shí)踐活動(dòng)，為招募和挽留人才制定國家策略。該計(jì)劃的目的是建立和維護(hù)一個(gè)具有全球競爭力的網(wǎng)安人才隊(duì)伍。2014NICE網(wǎng)絡(luò)安全人才框架》，目前該框架仍在持續(xù)更新。我國網(wǎng)安人才需求迫切，數(shù)量奇缺，但目前以高校培養(yǎng)、社會(huì)培訓(xùn)、自學(xué)成才三種方式成長起來的網(wǎng)安人才，在知識技能水平上，與社會(huì)現(xiàn)實(shí)需求間的匹配度還很低。高校網(wǎng)絡(luò)空間安全畢業(yè)生無法快速適應(yīng)崗位實(shí)際工作需求，往往需要用人單位進(jìn)行一年甚至更長時(shí)間的二次培訓(xùn)才能滿足實(shí)際工作需求；社會(huì)培訓(xùn)結(jié)業(yè)人員，在職業(yè)發(fā)展、業(yè)務(wù)能力提升方面，存在知識儲(chǔ)備不足、缺少系統(tǒng)性理論能力支撐等問題；自學(xué)成才的“奇才”，在職業(yè)早期進(jìn)步很快，但在后期業(yè)務(wù)拓展、體系性實(shí)戰(zhàn)能力提升，特別是團(tuán)隊(duì)協(xié)作、團(tuán)隊(duì)管理等方面，存在明顯“力不從心”。綜上，迫切需要通過制定規(guī)范統(tǒng)一的評價(jià)機(jī)制，發(fā)揮認(rèn)證評價(jià)指揮棒作用，明確網(wǎng)安人才出口標(biāo)準(zhǔn)，解決缺人才、缺合適的人才、缺可持續(xù)發(fā)展的復(fù)合型人才問題。網(wǎng)安人才層次化分類體系一線安全運(yùn)營人員網(wǎng)絡(luò)空間安全的一線安全運(yùn)營人員通常包括安全分析師、安全運(yùn)維工程師、威脅狩獵人員、安全響應(yīng)團(tuán)隊(duì)成員等。其中，安全分析師負(fù)責(zé)監(jiān)視和分析網(wǎng)絡(luò)安全事件，以便及時(shí)檢測和應(yīng)對潛在的安全威脅，主要工作內(nèi)容包括分析日志數(shù)據(jù)、網(wǎng)絡(luò)流量和其他安全事件數(shù)據(jù)，調(diào)查潛在的安全漏洞或攻擊行為，提供應(yīng)對建議和解決方案；安全運(yùn)維工程師負(fù)責(zé)維護(hù)安全設(shè)備和系統(tǒng)，確保網(wǎng)絡(luò)安全措施的有效性和可靠性，主要工作內(nèi)容包括配置和管理安全設(shè)備（如防火墻、入侵檢測系統(tǒng)等）、執(zhí)行安全補(bǔ)丁管理、協(xié)助應(yīng)急響應(yīng)等工作；威脅狩獵人員負(fù)責(zé)主動(dòng)尋找網(wǎng)絡(luò)中的未知威脅，發(fā)現(xiàn)潛在的安全漏洞和攻擊活動(dòng)，主要工作內(nèi)容包括利用安全工具和技術(shù)進(jìn)行系統(tǒng)審查和分析，識別異常行為和潛在的威脅，提供安全建議和改進(jìn)方案；安全響應(yīng)團(tuán)隊(duì)成員負(fù)責(zé)應(yīng)對網(wǎng)絡(luò)安全事件和緊急情況，迅速采取行動(dòng)限制損失并恢復(fù)正常運(yùn)行，主要工作內(nèi)容包括制定和執(zhí)行應(yīng)急響應(yīng)計(jì)劃，收集證據(jù)、分析攻擊手法、修復(fù)受影響系統(tǒng)等工作。這些一線安全運(yùn)營人員通常需要具備網(wǎng)絡(luò)安全相關(guān)的技術(shù)知識和技能，熟悉常見的安全工具和技術(shù)，具備良好的問題解決能力和團(tuán)隊(duì)合作精神。他們需要密切關(guān)注網(wǎng)絡(luò)安全威脅的動(dòng)態(tài)變化，及時(shí)做出反應(yīng)并保護(hù)組織的信息資產(chǎn)安全。工程技術(shù)開發(fā)人員網(wǎng)絡(luò)空間安全的工程技術(shù)開發(fā)人員主要包括安全工程師、安全研究員、加密工程師、安全測試工程師等。其中，安全工程師負(fù)責(zé)設(shè)計(jì)、開發(fā)和維護(hù)安全解決方案和系統(tǒng)，保障系統(tǒng)和數(shù)據(jù)的安全性，主要工作內(nèi)容包括開發(fā)安全工具和軟件，設(shè)計(jì)安全架構(gòu)，評估系統(tǒng)漏洞和風(fēng)險(xiǎn)，制定安全策略和標(biāo)準(zhǔn)；安全研究員負(fù)責(zé)研究最新的安全漏洞、攻擊技術(shù)和威脅情報(bào)，為安全產(chǎn)品和解決方案提供技術(shù)支持，主要工作內(nèi)容包括分析惡意代碼、漏洞利用技術(shù)，進(jìn)行安全漏洞挖掘和利用研究，撰寫安全報(bào)告和建議；加密工程師負(fù)責(zé)設(shè)計(jì)和實(shí)現(xiàn)加密算法、協(xié)議和安全通信系統(tǒng)，保障數(shù)據(jù)的機(jī)密性和完整性，工作內(nèi)容包括開發(fā)和優(yōu)化加密算法、實(shí)現(xiàn)安全協(xié)議，評估加密方案的安全性和性能等；安全測試工程師負(fù)責(zé)進(jìn)行安全測試和滲透測試，評估系統(tǒng)和應(yīng)用程序的安全性，發(fā)現(xiàn)潛在的漏洞和弱點(diǎn)，工作內(nèi)容包括進(jìn)行滲透測試、代碼審計(jì)、漏洞掃描等活動(dòng)，提供漏洞修復(fù)建議和安全加固方案。這些工程技術(shù)開發(fā)人員通常需要具備扎實(shí)的計(jì)算機(jī)科學(xué)和網(wǎng)絡(luò)安全知識，熟練掌握編程語言和安全工具，具有創(chuàng)新思維和問題解決能力。他們致力于提升系統(tǒng)的安全性和防御能力，對抗不斷演進(jìn)的網(wǎng)絡(luò)安全威脅，為組織和用戶提供可靠的安全保障。安全研究創(chuàng)新人員網(wǎng)絡(luò)空間安全的安全研究創(chuàng)新人員包括高級安全研究員、安全顧問、安全架構(gòu)師、安全創(chuàng)新專家等。其中，高級安全研究員負(fù)責(zé)探索網(wǎng)絡(luò)安全領(lǐng)域的新技術(shù)、新方法和新思路，發(fā)現(xiàn)并分析最新的安全漏洞和攻擊手法，工作內(nèi)容包括研究安全漏洞、惡意軟件、漏洞利用技術(shù)等，開展安全研究項(xiàng)目，發(fā)表研究成果和安全報(bào)告；安全顧問負(fù)責(zé)為組織和企業(yè)提供安全咨詢服務(wù)，評估安全風(fēng)險(xiǎn)、制定安全策略和解決方案，工作內(nèi)容包括安全評估、風(fēng)險(xiǎn)分析和安全咨詢，幫助客戶建立健全的安全體系和應(yīng)對安全挑戰(zhàn)；安全架構(gòu)師負(fù)責(zé)設(shè)計(jì)和規(guī)劃安全架構(gòu)，確保系統(tǒng)和應(yīng)用程序在設(shè)計(jì)階段就具備安全性，工作內(nèi)容包括制定安全架構(gòu)設(shè)計(jì)方案，評估安全需求和風(fēng)險(xiǎn)，指導(dǎo)開發(fā)團(tuán)隊(duì)實(shí)施安全設(shè)計(jì)和實(shí)施；安全創(chuàng)新專家負(fù)責(zé)推動(dòng)網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新發(fā)展，探索新的安全技術(shù)和解決方案，工作內(nèi)容包括研究和開發(fā)新的安全技術(shù)、工具和方法，參與安全創(chuàng)新項(xiàng)目，推動(dòng)安全領(lǐng)域的技術(shù)前沿。這些安全研究創(chuàng)新人員通常需要具備扎實(shí)的網(wǎng)絡(luò)安全和計(jì)算機(jī)科學(xué)知識，具有創(chuàng)新意識和研究能力，能夠跟蹤和理解安全技術(shù)的最新發(fā)展趨勢，為解決網(wǎng)絡(luò)安全挑戰(zhàn)提供創(chuàng)新的思路和解決方案。他們的工作對于推動(dòng)網(wǎng)絡(luò)安全領(lǐng)域的進(jìn)步和發(fā)展至關(guān)重要。安全規(guī)劃治理人員網(wǎng)絡(luò)空間安全的安全規(guī)劃治理人員主要涉及制定網(wǎng)絡(luò)安全規(guī)劃、策略和政策，監(jiān)督和管理網(wǎng)絡(luò)安全實(shí)施，確保組織網(wǎng)絡(luò)資產(chǎn)的安全和持續(xù)運(yùn)營。他們是高層次的管理或治理人員，是政策、制度、規(guī)范的制定者和監(jiān)督實(shí)施人員，包括安全項(xiàng)目經(jīng)理、首席安全官、安全規(guī)劃師、安全治理專家、安全風(fēng)險(xiǎn)管理專家等。其中，安全項(xiàng)目經(jīng)理負(fù)責(zé)管理和協(xié)調(diào)網(wǎng)絡(luò)安全項(xiàng)目，確保項(xiàng)目按時(shí)完成、符合預(yù)期目標(biāo)，工作內(nèi)容包括制定項(xiàng)目計(jì)劃和進(jìn)度，分配資源，協(xié)調(diào)團(tuán)隊(duì)工作，監(jiān)督項(xiàng)目執(zhí)行過程，報(bào)告項(xiàng)目進(jìn)展和風(fēng)險(xiǎn)；首席安全官負(fù)責(zé)整體網(wǎng)絡(luò)安全戰(zhàn)略的制定和實(shí)施，監(jiān)督組織的網(wǎng)絡(luò)安全管理和治理工作，工作內(nèi)容包括領(lǐng)導(dǎo)網(wǎng)絡(luò)安全團(tuán)隊(duì)，制定安全戰(zhàn)略和政策，監(jiān)督安全控制措施的實(shí)施和維護(hù)，應(yīng)對安全事件和威脅；安全規(guī)劃師負(fù)責(zé)制定組織的網(wǎng)絡(luò)安全規(guī)劃和戰(zhàn)略，評估安全風(fēng)險(xiǎn)和需求，規(guī)劃安全措施和應(yīng)對策略，工作內(nèi)容包括制定安全規(guī)劃和策略文件，分析安全需求和風(fēng)險(xiǎn)，協(xié)調(diào)安全實(shí)施計(jì)劃，監(jiān)督安全項(xiàng)目的執(zhí)行；安全治理專家負(fù)責(zé)制定組織的網(wǎng)絡(luò)安全政策、標(biāo)準(zhǔn)和流程，研究制定法規(guī)和行業(yè)標(biāo)準(zhǔn)，并確保組織符合這些法規(guī)標(biāo)準(zhǔn)，工作內(nèi)容包括制定安全政策文件，指導(dǎo)員工遵守安全政策，監(jiān)督政策執(zhí)行情況，對政策進(jìn)行定期評估和更新；風(fēng)險(xiǎn)管理專家負(fù)責(zé)評估和管理組織的安全風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)管理策略，確保組織的網(wǎng)絡(luò)資產(chǎn)受到有效保護(hù)，工作內(nèi)容包括評估和分析風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)管理計(jì)劃，建立風(fēng)險(xiǎn)控制措施，監(jiān)督風(fēng)險(xiǎn)管理的執(zhí)行和監(jiān)控。這些安全規(guī)劃治理人員需要具備網(wǎng)絡(luò)安全、風(fēng)險(xiǎn)管理、合規(guī)和治理等領(lǐng)域的專業(yè)知識和技能，能夠全面考慮組織的安全需求和挑戰(zhàn)，制定有效的安全規(guī)劃和管理策略，監(jiān)督安全控制措施的實(shí)施，確保網(wǎng)絡(luò)安全工作的持續(xù)改進(jìn)和有效實(shí)施。他們在保障組織網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面發(fā)揮著關(guān)鍵作用。構(gòu)建層次化的網(wǎng)安人才分類評價(jià)體系結(jié)合網(wǎng)絡(luò)空間安全人才崗位、領(lǐng)域和層次，建立分類化評價(jià)指標(biāo)體系，在指標(biāo)體系的構(gòu)成或權(quán)重上，應(yīng)體現(xiàn)崗位和層次的區(qū)別。綜合分析，考評指標(biāo)應(yīng)該包括技術(shù)能力、問題解決能力、溝通能力、主動(dòng)性與效率、團(tuán)隊(duì)合作或組織管理能力、勝任力等六個(gè)方面。技術(shù)能力對一線安全運(yùn)營人員，重點(diǎn)考查熟練使用工具的種類水平、應(yīng)急響應(yīng)方法和效率；對工程技術(shù)開發(fā)人員，重點(diǎn)考查安全編碼、安全規(guī)則實(shí)現(xiàn)和安全架構(gòu)設(shè)計(jì)等方面達(dá)到的認(rèn)知與實(shí)踐水平；對安全研究創(chuàng)新人員，考查其學(xué)術(shù)背景和專業(yè)知識水平，以及安全理論、技術(shù)創(chuàng)新和新技術(shù)開發(fā)成果，轉(zhuǎn)化效果等；對安全規(guī)劃治理人員，重點(diǎn)考查其制定戰(zhàn)略和規(guī)范的合理性、有效性和效率，以及相關(guān)驗(yàn)證、檢驗(yàn)、評測等工具和技術(shù)的熟練應(yīng)用能力。問題解決能力對一線安全運(yùn)營人員，重點(diǎn)考查其解決網(wǎng)絡(luò)安全問題和故障的能力，以及分析和評估網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)的能力；對工程技術(shù)開發(fā)人員，重點(diǎn)考查解決方案的設(shè)計(jì)與實(shí)現(xiàn)能力，以及漏洞發(fā)現(xiàn)、分析和修復(fù)能力，兼顧新的安全工具、自動(dòng)化工具的設(shè)計(jì)與實(shí)現(xiàn)能力；對安全研究創(chuàng)新人員，考查其發(fā)現(xiàn)安全問題、建立問題求解模型、提出新理論、新技術(shù)及成果轉(zhuǎn)化能力等；對安全規(guī)劃治理人員，重點(diǎn)考查其發(fā)現(xiàn)系統(tǒng)性風(fēng)險(xiǎn)、聚焦核心性問題、提出全局性解決方案能力，以及溯源組織和管理問題并建立針對性規(guī)則制定能力。溝通能力對一線安全運(yùn)營人員，重點(diǎn)考查評估其撰寫事件報(bào)告、風(fēng)險(xiǎn)分析報(bào)告等文檔的表達(dá)能力，以及評估其與團(tuán)隊(duì)成員和其他部門進(jìn)行有效溝通和協(xié)作的能力；對工程技術(shù)開發(fā)人員，重點(diǎn)考查評估其與其他技術(shù)團(tuán)隊(duì)或非技術(shù)團(tuán)隊(duì)之間有效溝通和協(xié)作的能力，以及編寫技術(shù)文檔、設(shè)計(jì)文檔和開發(fā)文檔的能力；對安全研究創(chuàng)新人員，考查評估其在學(xué)術(shù)期刊、會(huì)議上發(fā)表論文的能力，以及在學(xué)術(shù)或行業(yè)會(huì)議上進(jìn)行有效交流和分享研究成果的能力；對安全規(guī)劃治理人員，重點(diǎn)考查評估其向高層管理層傳達(dá)安全風(fēng)險(xiǎn)和建議的能力，以及評估其與團(tuán)隊(duì)成員和其他部門有效溝通和協(xié)作的能力。主動(dòng)性與效率對一線安全運(yùn)營人員，重點(diǎn)考查評估其持續(xù)學(xué)習(xí)新技術(shù)和工具，保持對網(wǎng)絡(luò)安全領(lǐng)域的更新認(rèn)識，以及高效完成任務(wù)和處理工作事務(wù)的能力，包括時(shí)間管理和優(yōu)先級處理能力；對工程技術(shù)開發(fā)人員，重點(diǎn)考查評估其自主學(xué)習(xí)新技術(shù)和工具的意愿和行動(dòng)力，以及在開發(fā)項(xiàng)目中的時(shí)間管理和任務(wù)分配能力；對安全研究創(chuàng)新人員，考查評估其制定和執(zhí)行研究計(jì)劃的能力，包括時(shí)間管理和資源規(guī)劃，以及持續(xù)學(xué)習(xí)新技術(shù)和理論知識的主動(dòng)性和效率；對安全規(guī)劃治理人員，重點(diǎn)考查其了解新技術(shù)能力，以及調(diào)研發(fā)現(xiàn)新問題新需求并付諸決策的效率。團(tuán)隊(duì)合作或組織管理能力對一線安全運(yùn)營人員，重點(diǎn)考查評估其在團(tuán)隊(duì)中積極參與、協(xié)作和支持他人的團(tuán)隊(duì)合作精神，以及在日常安全運(yùn)營工作中的組織協(xié)調(diào)和管理能力；對工程技術(shù)開發(fā)人員，重點(diǎn)考查評估其在團(tuán)隊(duì)中積極參與、協(xié)作和支持他人的團(tuán)隊(duì)合作精神，以及在項(xiàng)目中的組織協(xié)調(diào)和管理能力，包括進(jìn)度管理和風(fēng)險(xiǎn)控制；對安全研究創(chuàng)新人員，考查評估其與團(tuán)隊(duì)成員合作開展研究的能力，以及在多人合作項(xiàng)目中的組織管理和任務(wù)協(xié)調(diào)能力；對安全規(guī)劃治理人員，重點(diǎn)考查評估其在不同團(tuán)隊(duì)間協(xié)調(diào)和合作的能力，以及領(lǐng)導(dǎo)團(tuán)隊(duì)實(shí)施安全規(guī)劃和治理的能力。勝任力對一線安全運(yùn)營人員，重點(diǎn)考查評估其解決實(shí)際網(wǎng)絡(luò)安全問題的能力和成效；對工程技術(shù)開發(fā)人員，重點(diǎn)考查評估其在項(xiàng)目中的貢獻(xiàn)和成果，包括項(xiàng)目交付質(zhì)量和效率；對安全研究創(chuàng)新人員，考查評估其研究成果的影響力和貢獻(xiàn)度；對安全規(guī)劃治理人員，重點(diǎn)考查評估其安全規(guī)劃和治理成果對組織安全的影響和貢獻(xiàn)。第三章網(wǎng)絡(luò)安全工程技術(shù)人才知識技能體系體系分類方法網(wǎng)安人才知識技能分類方法在國際上一直沒有公認(rèn)標(biāo)準(zhǔn)?？蓞⒖嫉南嚓P(guān)工作有美國發(fā)布的《NICE網(wǎng)絡(luò)安全人才框架》、美國國家安全局和國土安全部聯(lián)合主持成立的國家信息保障/網(wǎng)絡(luò)防御學(xué)術(shù)卓越中心（CAE）發(fā)布的“基于知識單元的課程體系”、Gartner近年發(fā)布的新興技術(shù)成熟度曲線和信息安全技術(shù)列表，以及國內(nèi)如智聯(lián)招聘、360互聯(lián)網(wǎng)安全中心、安恒信息等單位組織發(fā)布的網(wǎng)絡(luò)安全人才相關(guān)市場狀況研究報(bào)告等。鑒于網(wǎng)絡(luò)空間安全工程技術(shù)人才培養(yǎng)的特殊性，在借鑒國內(nèi)外相關(guān)工作的基礎(chǔ)上，延續(xù)了本指南前序版本所提出的以“網(wǎng)安人才標(biāo)簽”為主維度的分類法及知識技能體系，以滿足聚焦實(shí)戰(zhàn)能力的網(wǎng)安人才培養(yǎng)需求。之所以沒有將“網(wǎng)安崗位”作為分類主維度，是因?yàn)閷γ總€(gè)崗位的理解，因人而異、因培養(yǎng)單位而異、因用人單位而異、因認(rèn)證機(jī)構(gòu)而異，存在很大的個(gè)體差異性。同時(shí)，我們注意到一個(gè)現(xiàn)象，當(dāng)談及網(wǎng)安從業(yè)人員“做什么方向的工作？”，得到的回答往往既不是自己所在網(wǎng)安崗位，也不是工作所需核心技術(shù)，而是從業(yè)人員給自己打上的一個(gè)標(biāo)簽（如“因此，設(shè)計(jì)一個(gè)面向網(wǎng)絡(luò)空間安全工程技術(shù)人才的知識技能體系，為學(xué)校授課、網(wǎng)安培訓(xùn)、人才認(rèn)證、崗位招聘以及個(gè)人自學(xué)成才等提供參考依據(jù)，為相關(guān)方提供公共可理解的概念、分類體系，成為本指南的初衷之一。此外，鑒于知識技能體系所服務(wù)的對象、涵蓋的內(nèi)容是圍繞“網(wǎng)安人才培養(yǎng)”，所以，與信息安全管理相關(guān)的政策和法律等內(nèi)容未列入到體系內(nèi)。標(biāo)簽化知識技能體系15個(gè)子體系安人才標(biāo)簽或一級節(jié)點(diǎn)），分別為密碼學(xué)應(yīng)用、安全、網(wǎng)絡(luò)滲透、逆向分析、漏洞挖掘與利用、惡意代碼、溯源取證、端點(diǎn)與邊界防護(hù)、網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全、安全運(yùn)維、移動(dòng)安全、云安全、物聯(lián)網(wǎng)安全、區(qū)塊鏈安全、人工智能安全。其中，密碼學(xué)是網(wǎng)絡(luò)安全的重要基礎(chǔ)，“密碼學(xué)應(yīng)用”關(guān)注網(wǎng)絡(luò)安全中常用的密碼算法實(shí)現(xiàn)、加解密技術(shù)應(yīng)用等，不包括與密碼學(xué)自身緊密相關(guān)的如數(shù)學(xué)理論、加解密算法設(shè)計(jì)、密碼算法安全等；安全屬于應(yīng)用安全且與“網(wǎng)絡(luò)滲透”等一級節(jié)點(diǎn)有交集，但因其重要性和標(biāo)志性而自成一類；“網(wǎng)絡(luò)滲透”關(guān)注攻擊者綜合運(yùn)用社工和技術(shù)手段對特定目標(biāo)實(shí)施滲透以獲得遠(yuǎn)程目標(biāo)上的代碼執(zhí)行權(quán)的行為過程；“逆向分析”是網(wǎng)絡(luò)攻防中“變未知為已知”的有效手段，涵蓋了文件格式、動(dòng)態(tài)分析、脫殼和相關(guān)工具運(yùn)用等技術(shù)；漏洞是網(wǎng)絡(luò)安全中最受關(guān)注的技術(shù)之一，也常常是攻擊者的“先遣部隊(duì)”，“漏洞挖掘與利用”關(guān)注匯編語言、符號執(zhí)行、二進(jìn)制插樁和相關(guān)工具運(yùn)用等技術(shù)；“惡意代碼”關(guān)注從自動(dòng)傳播到規(guī)避對抗的全生命周期關(guān)鍵技術(shù)；“溯源取證”關(guān)注APT攻擊追蹤溯源和網(wǎng)絡(luò)犯罪取證；“端點(diǎn)與邊界防護(hù)”關(guān)注終端防護(hù)平臺、端點(diǎn)檢測和響應(yīng)等端點(diǎn)安全技術(shù)，入侵檢測與防御系統(tǒng)、安全審計(jì)系統(tǒng)等邊界安全技術(shù)，以及威脅獵殺、數(shù)據(jù)防泄漏等相關(guān)防護(hù)技術(shù)與產(chǎn)品；“網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全”關(guān)注芯片、操作系統(tǒng)、核心應(yīng)用軟件、域名系統(tǒng)等的安全；“安全運(yùn)維”是信息安全建設(shè)不可或缺的一部分，通過安全運(yùn)維力保IT信息系統(tǒng)安全、穩(wěn)定和可靠運(yùn)行；“移動(dòng)安全”關(guān)注移動(dòng)設(shè)備、移動(dòng)無線網(wǎng)絡(luò)安全；“云安全”關(guān)注數(shù)據(jù)丟失與泄露、虛擬化安全等云計(jì)算平臺面臨的主要威脅和常用防御手段；“物聯(lián)網(wǎng)安全”關(guān)注IoT設(shè)備安全、通信協(xié)議安全和隱私泄露等；“區(qū)塊鏈安全”關(guān)注礦機(jī)與礦池、智能合約和數(shù)字錢包等安全技術(shù)；“人工智能安全”關(guān)注人工智能技術(shù)內(nèi)生安全及人工智能應(yīng)用業(yè)務(wù)安全。每個(gè)子體系（一級節(jié)點(diǎn)）又分為多個(gè)二級節(jié)點(diǎn)，二級節(jié)點(diǎn)分類為多個(gè)三級節(jié)點(diǎn)，最多不超過四級節(jié)點(diǎn)。體系展開實(shí)例15前序版本基礎(chǔ)上，主體依托國內(nèi)網(wǎng)絡(luò)空間安全行業(yè)某一規(guī)模性公司資深專家提出框架和建議內(nèi)容，邀請國內(nèi)知名網(wǎng)安高校資深學(xué)科專家提供修訂意見，最終統(tǒng)稿成文。密碼學(xué)應(yīng)用知識技能體系密碼技術(shù)是目前世界上公認(rèn)的、保障網(wǎng)絡(luò)和信息安全最高效、最可靠、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)，在信息化、網(wǎng)絡(luò)化、數(shù)字化高度發(fā)展的今天，密碼技術(shù)的應(yīng)用已經(jīng)滲透到社會(huì)生產(chǎn)生活的各個(gè)方面，政府、金融、醫(yī)療、運(yùn)營商等各行業(yè)均積極推動(dòng)密碼應(yīng)用相關(guān)建設(shè)。本指南聚焦密碼學(xué)常見的應(yīng)用領(lǐng)域，密碼學(xué)應(yīng)用知識技能包括密碼算法原理、密碼算法實(shí)現(xiàn)、密碼硬件設(shè)計(jì)制造、商用密碼應(yīng)用安全性評估、密碼技術(shù)典型應(yīng)用等。密碼算法原理。密碼算法是用于加密和解密的數(shù)學(xué)函數(shù)，密碼算法是密碼協(xié)議的基礎(chǔ)?，F(xiàn)行的密碼算法主要包括序列密碼、分組密碼、公鑰密碼、散列函數(shù)等，用于保證信息的安全，提供機(jī)密性、完整性、不可否認(rèn)性等能力。序列密碼是一種基于密鑰和明文流逐位異或的加密方式，常見的序列密碼算法包括RC4、Salsa20、Serpent、ZUC（祖沖之算法）等，其密鑰空間相對較小，安全性相對較低，但實(shí)現(xiàn)簡單、加解密速度快，適用于對速度要求高、安全性要求較低的場景；分組密碼是一種將明文數(shù)據(jù)分成固定長度的塊進(jìn)行加密的密碼算法，也稱為塊密碼，常見的算法包括DES、3DESAES、SM1、SM4等，其對每個(gè)密碼塊獨(dú)立進(jìn)行加密和解密操作，具有較高的安全性和較強(qiáng)的適應(yīng)性；公鑰密碼是一種基于非對稱加密的密碼算法，其中加密和解密使用不同的密鑰，常見算法包括RSA、EllipticCurveCryptography（ECC）、SM2等，其應(yīng)用范圍涵蓋了網(wǎng)絡(luò)通信、電子郵件、數(shù)字簽名、電子支付等領(lǐng)域；散列算法主要作用是將任意長度的消息映射為固定長度的消息，常見算法包括SHA-2、SHA-3、SHA-256、SM3等；散列消息認(rèn)證碼（HMAC）是一種常用的消息認(rèn)證碼，它將散列函數(shù)和密鑰結(jié)合起來，從而保證消息的完整性和真實(shí)性。密碼算法實(shí)現(xiàn)。密碼算法的實(shí)現(xiàn)方式可以分為密鑰生成、加密、解密、密鑰管理等幾個(gè)步驟。密鑰生成方式可以是由隨機(jī)數(shù)生成器生成一個(gè)隨機(jī)密鑰，也可以是由用戶設(shè)置一個(gè)密鑰；加密是根據(jù)密鑰，將明文數(shù)據(jù)使用密碼算法進(jìn)行轉(zhuǎn)換，生成密文數(shù)據(jù)；解密是使用與加密密鑰相同或相關(guān)的解密密鑰，將密文數(shù)據(jù)轉(zhuǎn)換為對應(yīng)或相同的明文數(shù)據(jù)；密鑰管理包括密鑰的存儲(chǔ)、備份和使用，保證密鑰的安全性，避免密鑰泄露、丟失、損壞。商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用安全性評估是指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)，對其商用密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評估。商用密碼應(yīng)用合規(guī)性評估是指判定信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理是否符合法律法規(guī)的規(guī)定和相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求，使用的密碼產(chǎn)品和密碼服務(wù)是否經(jīng)過國家密碼管理部門核準(zhǔn)或由具備資格的機(jī)構(gòu)認(rèn)證合格；商用密碼應(yīng)用正確性評估是指判定密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用是否正確，即系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和密鑰管理機(jī)制是否按照相應(yīng)的密碼國家和行業(yè)標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計(jì)和實(shí)現(xiàn)，自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)是否正確，安全性是否滿足要求，密碼保障系統(tǒng)建設(shè)或改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用是否正確；商用密碼應(yīng)用有效性評估是指判定信息系統(tǒng)中實(shí)現(xiàn)的密碼保障系統(tǒng)是否在信息系統(tǒng)運(yùn)行過程中發(fā)揮了實(shí)際效用，是否滿足了信息系統(tǒng)的安全需求，是否切實(shí)解決了信息系統(tǒng)面臨的安全問題。密碼硬件設(shè)計(jì)制造。密碼硬件設(shè)計(jì)與制造涵蓋密碼芯片、密碼卡和密碼機(jī)。密碼芯片集成了多種密碼算法，提供高速、高效、可靠的密碼能力，是密碼應(yīng)用的重要組成部分。其設(shè)計(jì)和制造要求掌握電路設(shè)計(jì)、芯片設(shè)計(jì)流程、物理設(shè)計(jì)、器件選型等技能。密碼卡是一種支持多種密碼算法的計(jì)算機(jī)外圍設(shè)備，提供數(shù)據(jù)加解密、數(shù)字簽名和驗(yàn)證等安全服務(wù)，確保信息傳輸安全。其設(shè)計(jì)和制造需掌握計(jì)算機(jī)體系結(jié)構(gòu)、PCI-E總線規(guī)范、硬件設(shè)計(jì)、軟件開發(fā)、安全設(shè)計(jì)與測試等技術(shù)。密碼機(jī)則具備加解密、數(shù)字簽名、身份認(rèn)證和隨機(jī)數(shù)生成等功能，其設(shè)計(jì)和制造要求掌握密碼學(xué)、計(jì)算機(jī)科學(xué)、電子電路設(shè)計(jì)、嵌入式系統(tǒng)、硬件和軟件開發(fā)、安全設(shè)計(jì)與測試等方面的綜合技能。密碼技術(shù)典型應(yīng)用。密碼技術(shù)主要應(yīng)用在物理安全場景、網(wǎng)絡(luò)和通信安全場景、設(shè)備和計(jì)算安全場景、應(yīng)用和數(shù)據(jù)安全場景。物理安全場景典型密碼產(chǎn)品包括國密門禁系統(tǒng)、國密音視頻監(jiān)控系統(tǒng)；網(wǎng)絡(luò)和通信安全場景典型密碼產(chǎn)品包括國密安全認(rèn)證網(wǎng)關(guān)、協(xié)同簽名系統(tǒng)、網(wǎng)關(guān)、服務(wù)器密碼機(jī)、統(tǒng)一身份認(rèn)證系統(tǒng)等；設(shè)備和計(jì)算安全場景典型密碼產(chǎn)品包括數(shù)字證書認(rèn)證系統(tǒng)、國密USB-KEY、時(shí)間戳服務(wù)器、國密瀏覽器、云服務(wù)器密碼機(jī)等；應(yīng)用和數(shù)據(jù)安全場景典型密碼產(chǎn)品包括密碼服務(wù)平臺、簽名驗(yàn)簽系統(tǒng)、密鑰管理系統(tǒng)、數(shù)據(jù)庫加密機(jī)、電子簽章系統(tǒng)等。安全知識技能體系安全已成為網(wǎng)絡(luò)安全領(lǐng)域的重要組成部分，涉及從個(gè)人隱私保護(hù)到企業(yè)數(shù)據(jù)安全的方方面面。應(yīng)用程序及其相關(guān)服務(wù)免受各種網(wǎng)絡(luò)攻擊和威脅，確保其正常運(yùn)行。本指南聚焦安全主要技術(shù)和防護(hù)措安全基礎(chǔ)、跨站腳本攻擊（XSS）、跨站請求偽造（CSRF）、服務(wù)器端請求偽造（SSRF）、客戶端信息泄露、劫持攻擊、瀏覽器安全、服務(wù)端信息泄露、SQL注入、文件包含、文件上傳、越權(quán)、反序列化、命令注入、模板注入、中間件安全、CMS/WEB框架安全、、安全工具使用、21個(gè)核心組成部分。安全基礎(chǔ)。安全研究中研究者應(yīng)掌握的理論知識和基礎(chǔ)技術(shù)，涉及系統(tǒng)、數(shù)據(jù)庫、協(xié)議、編碼等理論知識，以及服務(wù)器的搭建、基礎(chǔ)配置、簡單運(yùn)維等技術(shù)。因此，安全基礎(chǔ)主要包括HTTP/HTTPS協(xié)議、Cookie/Session編解碼、加解密、基礎(chǔ)編程、操作系統(tǒng)基礎(chǔ)、數(shù)據(jù)庫基礎(chǔ)、社會(huì)工程學(xué)以及其他安全相關(guān)的基礎(chǔ)技術(shù)等?？缯灸_本攻擊?？缯灸_本攻擊（CrossSiteScripting，XSS）客戶端，以影響其他瀏覽此頁面的用戶。攻擊者能夠利用XSS在受害者的瀏覽器中執(zhí)行腳本，并劫持用戶會(huì)話、破壞網(wǎng)站或?qū)⒂脩糁囟ㄏ虻綈阂庹军c(diǎn)。XSS主要技術(shù)包括反射型XSS、存儲(chǔ)型XSS和DOM型XSS。跨站請求偽造?？缯菊埱髠卧欤–rossSiteRequestForgery，CSRF）是指偽造成合法用戶發(fā)起請求，挾持用戶在當(dāng)前已登錄的應(yīng)用程序上執(zhí)行非本意操作的攻擊方法。CSRF允許攻擊者劫持用戶瀏覽器向存在漏洞的應(yīng)用程序發(fā)送請求，而這些請求會(huì)被應(yīng)用程序認(rèn)為是用戶的合法請求。CSRFGETCSRF和POST型CSRF。）服務(wù)器端請求偽造。服務(wù)器端請求偽造（ServerSideRequestForgery，SSRF）是指攻擊者通過偽造請求，使服務(wù)器在不知情的情況下向指定的目標(biāo)發(fā)送請求。這種攻擊通常利用服務(wù)器的權(quán)限和信任關(guān)系，訪問內(nèi)部資源或執(zhí)行未授權(quán)的操作。其中攻擊方法包括文件讀取利用、端口掃描、內(nèi)網(wǎng)訪問、攻擊應(yīng)用等。服務(wù)器端請求偽造包括SSRFSSRFSSRF內(nèi)網(wǎng)訪問、SSRF客戶端信息泄露。客戶端信息指存在于客戶端的用戶數(shù)據(jù)，包括基本信息、設(shè)備信息、賬戶信息、隱私信息等，此信息若保護(hù)不當(dāng)，一旦被攻擊者獲取，就會(huì)被利用進(jìn)行網(wǎng)絡(luò)詐騙、身份仿冒等惡意操作?？蛻舳诵畔⑿孤吨饕夹g(shù)包括CookieFlash本地共享對象獲取、ActiveX控件泄露等。劫持攻擊。劫持攻擊指攻擊者通過某些特定的手段，將本該正確返回給用戶的數(shù)據(jù)進(jìn)行攔截，呈現(xiàn)給用戶虛假的信息，主要是通過欺騙的技術(shù)將數(shù)據(jù)轉(zhuǎn)發(fā)給攻擊者。劫持攻擊主要技術(shù)包括Session瀏覽器安全。瀏覽器是互聯(lián)網(wǎng)最大的入口，是大多數(shù)網(wǎng)絡(luò)用戶使用互聯(lián)網(wǎng)的工具，因此瀏覽器安全是一個(gè)極其重要的安全領(lǐng)域。瀏覽器安全主要技術(shù)包括瀏覽器設(shè)置安全、ActiveX、AdobeFlash、瀏覽器擴(kuò)展安全、自定義協(xié)議啟動(dòng)、WebRTC等。服務(wù)器端信息泄露。服務(wù)器端信息泄露問題指因錯(cuò)誤配置或敏感信息可能被攻擊者利用，進(jìn)而對服務(wù)器發(fā)起針對性攻擊。服務(wù)器端信息泄露主要技術(shù)包括目錄遍歷、文件泄露、源碼泄露、Git息泄露、SVN信息泄露等。SQL注入。SQLSQL語句注入正常GETPOSTHTTP服務(wù)器后端代碼處理請求參數(shù)的執(zhí)行邏輯，從而間接對服務(wù)器數(shù)據(jù)庫執(zhí)行增、刪、改、查等操作的行為。SQL注入主要技術(shù)包括聯(lián)合查詢注入、報(bào)錯(cuò)注入、布爾盲注、時(shí)間盲注、寬字節(jié)注入、二次注入、堆疊注入、無列名注入、SQL注入過濾繞過等。文件包含。文件包含的合法用途是在代碼中引入其他項(xiàng)目中的包、庫等，以實(shí)現(xiàn)代碼的有效復(fù)用。文件包含漏洞指因編程缺陷，導(dǎo)致服務(wù)器在處理代碼時(shí)未能對所引用文件嚴(yán)格限制，致使所引用的文件可被攻擊者控制的問題。文件包含主要技術(shù)包括本地文件包含和遠(yuǎn)程文件包含。本地文件包含包括偽協(xié)議的利用、日志包含、Session文件包含等；遠(yuǎn)程文件包含通常用于引用攻擊者構(gòu)造的惡意外部文件以在服務(wù)器上執(zhí)行惡意操作。文件上傳。文件上傳指向等惡意文件的安全問題。文件上傳時(shí)，通常需要解決文件格式限制繞過、上傳路徑獲取、上傳文件正確解析等問題。文件上傳主要技術(shù)包括基礎(chǔ)上傳、前端繞過、文件頭檢測繞過、MIME檢測繞過、文件后綴檢測繞過、文件內(nèi)容檢測繞過、截?cái)嗌蟼?、解析漏洞上傳等。越?quán)攻擊。越權(quán)攻擊是應(yīng)用程序中常見且嚴(yán)重的安全威脅，攻擊者通過繞過系統(tǒng)的訪問控制機(jī)制，獲取或修改未經(jīng)授權(quán)的資源。越權(quán)攻擊主要分為水平越權(quán)和垂直越權(quán)兩種類型，常見的攻擊手法包括直接對象引用、參數(shù)篡改、會(huì)話劫持和功能濫用等。反序列化。序列化指編程語言將變量、函數(shù)等對象轉(zhuǎn)化為字節(jié)序列的過程；反之，將字節(jié)序列轉(zhuǎn)化為對象的過程稱為反序列化。反序列化漏洞指攻擊者通過構(gòu)造字節(jié)序列，轉(zhuǎn)化生成惡意對象的安全問題。反序列化技術(shù)主要包括Java反序列化、PHP反序列化、PythonNode.js反序列化等。命令注入。命令注入是一種嚴(yán)重的安全漏洞，攻擊者通過向應(yīng)用程序傳遞惡意輸入，使其執(zhí)行未預(yù)期的操作系統(tǒng)命令，從而控制服務(wù)器或獲取敏感信息。命令注入攻擊可以通過多種途徑實(shí)URL參數(shù)注入、HTTPCookie注入等。模板注入。模板注入是一種通過向模板引擎?zhèn)鬟f惡意輸入，使引擎將惡意代碼進(jìn)行解析進(jìn)而控制服務(wù)器的漏洞。其中包括Java模板注入、PHP模板注入、Python模板注入、Node.js模板注入等。中間件安全。中間件是為應(yīng)用提供常見服務(wù)與功能的軟件和云服務(wù)，可以幫助開發(fā)和運(yùn)維人員更高效地構(gòu)建和部署應(yīng)用。中間件安全主要技術(shù)包括容器中間件、消息中間件、網(wǎng)關(guān)中間件等。CMS/WEB框架安全。CMS（內(nèi)容管理系統(tǒng)）是一種位于WEB前端和后端辦公系統(tǒng)或流程之間的軟件系統(tǒng)，CMS/WEB框架常用于快速的網(wǎng)站建設(shè)。CMS/WEB框架安全問題涉及各類組件、應(yīng)用。CMS/WEB框架安全主要技術(shù)包括Struts2漏洞利用、SpringMVC漏洞利用、Django漏洞利用、Flask漏洞利用、JoomlaThinkPHPLaravel漏洞利用等。。是網(wǎng)站后門的一種形式，通常是以ASP、PHPJSPCGI等網(wǎng)頁文件形式存在于代碼執(zhí)行環(huán)境中，以達(dá)到控制網(wǎng)站服務(wù)器的目錄。主要技術(shù)包括一句話木馬、ASP、JSP、PHP、圖片、安全工具使用。安全工具的使用能夠有效提高工作效率、發(fā)現(xiàn)潛藏安全問題，使用集、漏洞探測、漏洞利用等操作。安全工具主要技術(shù)包括瀏覽器調(diào)試工具、GoogleHack、Nmap、Whatweb、BurpSuite、、Appscan、sqlmap、DirBuster、Chopper、Metasploit、Nessus等。數(shù)據(jù)庫安全。數(shù)據(jù)庫安全指數(shù)據(jù)庫管理系統(tǒng)的安全問題，常見的數(shù)據(jù)庫管理系統(tǒng)有MySQL、Oracle、PostgreSQL等，保證數(shù)據(jù)庫安全對防止黑客入侵、防止數(shù)據(jù)被竊取以及破壞具有重要意義。數(shù)MySQL數(shù)據(jù)庫安全、Oracle數(shù)據(jù)庫安全、SQLServerMongoDB數(shù)據(jù)庫安全、PostgreSQL數(shù)據(jù)庫安全、Redis數(shù)據(jù)庫安全等。其它安全問題。指未包含在上述知識點(diǎn)的其他安全問題及未來新出現(xiàn)的問題或方法技術(shù)。主要技術(shù)包括邏輯漏洞利用、XML注入、Cookie注入、Xpath注入、CRLF注入等。網(wǎng)絡(luò)滲透知識技能體系在信息化和數(shù)字化的時(shí)代背景下，各類基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)等成為了企業(yè)和組織不可或缺的一部分，但其面臨的威脅也日益復(fù)雜和多樣化。網(wǎng)絡(luò)滲透是模擬攻擊者的攻擊行為來發(fā)現(xiàn)系統(tǒng)潛在安全風(fēng)險(xiǎn)的方法，通過全面的網(wǎng)絡(luò)滲透測試，評估和提升網(wǎng)絡(luò)和系統(tǒng)的安全性。本指南基于攻擊者入侵的視角，聚焦網(wǎng)絡(luò)滲透流程方法，將網(wǎng)絡(luò)滲透方向劃分為目標(biāo)偵察、資源準(zhǔn)備、邊界突破、攻擊執(zhí)行、權(quán)限維持、權(quán)限提升、防御規(guī)避、憑據(jù)獲取、環(huán)境探測、橫向移動(dòng)、敏感信息收集、遠(yuǎn)程控制、數(shù)據(jù)竊取等13個(gè)核心組成部分。目標(biāo)偵察。目標(biāo)偵察是指通過主動(dòng)信息收集、被動(dòng)信息收集和網(wǎng)絡(luò)信息釣魚等技術(shù)方法，盡可能全面地獲取目標(biāo)情報(bào)信息，以制定針對性的行動(dòng)策略，提高滲透的效率和成功率。此類信息通常包括目標(biāo)組織、基礎(chǔ)設(shè)施或工作人員的詳細(xì)信息等。資源準(zhǔn)備。資源準(zhǔn)備是指在對目標(biāo)發(fā)起攻擊動(dòng)作之前，需要準(zhǔn)備的基礎(chǔ)設(shè)施資源、虛擬身份、滲透工具等。因此，資源準(zhǔn)備包括基礎(chǔ)設(shè)施資源準(zhǔn)備、虛擬身份偽造、滲透工具準(zhǔn)備等。邊界突破。邊界突破是指使用各種攻擊技術(shù)手段獲得目標(biāo)網(wǎng)絡(luò)或系統(tǒng)初始入口點(diǎn)權(quán)限，從而突破網(wǎng)絡(luò)邊界，以展開后續(xù)的網(wǎng)絡(luò)滲透。邊界突破常用技術(shù)包括水坑攻擊、公開服務(wù)漏洞利用、訪問控制憑證利用、供應(yīng)鏈攻擊、近源攻擊、網(wǎng)絡(luò)釣魚等。攻擊執(zhí)行。攻擊執(zhí)行是指通過本地或遠(yuǎn)程的方式在受害服務(wù)器上執(zhí)行命令和代碼的技術(shù)，通過執(zhí)行命令或代碼，以達(dá)到惡意目的。攻擊執(zhí)行常用技術(shù)包括云原生命令利用、腳本解釋器利用、操作系統(tǒng)接口利用、客戶端漏洞利用等。權(quán)限維持。權(quán)限維持是指發(fā)生重新啟動(dòng)、憑據(jù)修改等其他可能切斷與受害系統(tǒng)連接事件的情況下，保持對系統(tǒng)的持續(xù)訪問的相關(guān)技術(shù)。權(quán)限維持常用技術(shù)包括后門賬戶、惡意文件落地、惡意程序/腳本自啟動(dòng)、軟件后門植入、容器鏡像后門、劫持攻擊、后門、計(jì)劃任務(wù)和流量信號等。權(quán)限提升。權(quán)限提升是指攻擊者為了能夠在受害者主機(jī)或網(wǎng)絡(luò)中獲得更多資源、擴(kuò)大攻擊影響范圍采取的攻擊技術(shù)，主要目的是獲取管理員、系統(tǒng)級別的執(zhí)行權(quán)限。權(quán)限提升常用技術(shù)包括配置濫用提權(quán)、訪問令牌竊取提權(quán)、域策略修改提權(quán)、容器逃逸提權(quán)、特權(quán)事件觸發(fā)利用提權(quán)、軟件漏洞提權(quán)、操作系統(tǒng)安全機(jī)制繞過提權(quán)、進(jìn)程注入提權(quán)等。防御規(guī)避。防御規(guī)避是指在整個(gè)入侵過程中避免被目標(biāo)和防護(hù)設(shè)備發(fā)現(xiàn)所使用到的技術(shù)。防御規(guī)避的技術(shù)包括調(diào)試器規(guī)避、域環(huán)境策略修改、殺毒軟件靜態(tài)繞過、殺毒軟件主動(dòng)防御繞過和后門隱藏等。憑據(jù)獲取。憑據(jù)獲取是指通過技術(shù)手段獲取賬戶憑證、票據(jù)、證書等身份認(rèn)證信息，從而突破身份驗(yàn)證措施，以便后續(xù)滲透的工作開展。憑據(jù)獲取的主要技術(shù)包括中間人攻擊、暴力破解、應(yīng)用憑證收集、操作系統(tǒng)憑證轉(zhuǎn)儲(chǔ)、認(rèn)證攻擊、驗(yàn)證證書竊取、票據(jù)竊取/偽造和強(qiáng)制身份認(rèn)證等。環(huán)境探測。環(huán)境探測是指通過技術(shù)方法獲取已失陷系統(tǒng)主機(jī)情況和內(nèi)部網(wǎng)絡(luò)架構(gòu)、服務(wù)開放情況，從而確定下一步滲透方向。環(huán)境探測主要技術(shù)包括主機(jī)信息收集、網(wǎng)絡(luò)信息收集、組/域策略信息收集等。橫向移動(dòng)。橫向移動(dòng)是在攻擊者進(jìn)入目標(biāo)網(wǎng)絡(luò)后，在目標(biāo)內(nèi)部橫向擴(kuò)散，以獲得更高級別目標(biāo)的執(zhí)行權(quán)限或獲取更多有價(jià)值數(shù)據(jù)的過程。橫向移動(dòng)主要技術(shù)包括遠(yuǎn)程服務(wù)利用、內(nèi)網(wǎng)魚叉式釣魚、文件橫向傳輸、憑證利用、共享資源投毒等。敏感信息收集。敏感信息收集是攻擊者對賬戶憑證、敏感配置、敏感數(shù)據(jù)等敏感信息進(jìn)行針對性收集的過程。敏感信息收集主要技術(shù)包括瀏覽器敏感信息獲取、敏感配置信息獲取、敏感數(shù)據(jù)獲取、電子郵件敏感內(nèi)容獲取、輸入輸出捕獲等。遠(yuǎn)程控制。遠(yuǎn)程控制是指攻擊者在滲透過程中需要搭建穩(wěn)定的用于遠(yuǎn)程訪問失陷系統(tǒng)和主機(jī)的流量隧道，用于遠(yuǎn)程命令下發(fā)和系統(tǒng)控制，同時(shí)結(jié)合編碼、加密等技術(shù)提升隧道隱蔽性。遠(yuǎn)程控制主要技術(shù)包括應(yīng)用層協(xié)議傳輸控制、數(shù)據(jù)編碼/混淆/加密、第三方媒體轉(zhuǎn)發(fā)命令、代理和隧道搭建等。數(shù)據(jù)竊取。數(shù)據(jù)竊取是指在滲透過程中獲取到敏感信息和重要數(shù)據(jù)時(shí)，使用各種方式將其傳輸?shù)绞菹到y(tǒng)外部，以實(shí)現(xiàn)數(shù)據(jù)的持久性利用。數(shù)據(jù)竊取主要技術(shù)包括數(shù)據(jù)打包、通過C2取數(shù)據(jù)、通過物理介質(zhì)竊取數(shù)據(jù)、通過服務(wù)竊取數(shù)據(jù)、通過云服務(wù)竊取數(shù)據(jù)等。逆向分析知識技能體系逆向分析是通過分析目標(biāo)程序的結(jié)構(gòu)、功能和行為來理解其工作原理的一種技術(shù)。它集技術(shù)性、挑戰(zhàn)性、實(shí)用性于一體，通過深入剖析程序內(nèi)部邏輯與實(shí)現(xiàn)細(xì)節(jié)，為安全防御體系構(gòu)建和潛在脆弱環(huán)節(jié)發(fā)掘提供有力支撐，在軟件安全、惡意代碼分析、漏洞挖掘等領(lǐng)域有著廣泛的應(yīng)用。本指南聚焦于逆向分析技術(shù)體系，將逆向分析技術(shù)體系劃分為基礎(chǔ)知識、工具使用、低級語言分析、高級語言逆向分析、文件格式分析、靜態(tài)分析對抗、動(dòng)態(tài)調(diào)試對抗、脫殼分9個(gè)核心組成部分。逆向分析基礎(chǔ)。逆向分析基礎(chǔ)涵蓋了研究者應(yīng)掌握的理論知識和基礎(chǔ)實(shí)踐能力。逆向分析基礎(chǔ)主要包括寄存器基礎(chǔ)、內(nèi)存基礎(chǔ)、堆?；A(chǔ)、網(wǎng)絡(luò)協(xié)議基礎(chǔ)、密碼學(xué)基礎(chǔ)、函數(shù)調(diào)用約定等。逆向分析工具使用。逆向分析工具使用是指借助已有的逆向分析工具以及相關(guān)插件，或者自己實(shí)現(xiàn)相關(guān)的分析工具，可以有效減少重復(fù)勞動(dòng)，甚至是極大的提高逆向分析的效率。逆向分析工DetectItEasy使用、x64dbgdnSpy使用、Ghidra及相關(guān)插件使用、ResourceHacker使用、Spy++使用、IDA及相關(guān)插件使用、Ollydbg及相關(guān)插件使用、GDB及相關(guān)插件使用、JEBDecompiler使用、ILSpy使用等。低級語言分析。低級語言通常指匯編語言。在沒有編譯器的情況下，其按照標(biāo)準(zhǔn)文檔可以與機(jī)器指令互相轉(zhuǎn)換，也正因?yàn)槿绱?，二進(jìn)制程序在沒有源代碼的情況下可以被反匯編成匯編語言并在此基礎(chǔ)上進(jìn)行安全分析。與二進(jìn)制程序被反匯編成匯編代碼類似，腳本語言代碼編譯后生成的字節(jié)碼文件可以被反編譯成對應(yīng)的中間語言，并且中間語言通?？梢员贿€原成類似原始腳本語言源代碼的Intel匯編語言分析、ARM匯編語言分析、MIPS匯編語言分析、Smali語言分析、MSIL（MicrosoftIntermediateLanguage）語言分析、Python高級語言逆向分析。高級語言逆向分析是一個(gè)廣泛而復(fù)雜的領(lǐng)域，涵蓋了多種編程語言和逆向分析技術(shù)，不同的編程語言具有不同的特點(diǎn)和逆向分析挑戰(zhàn)。高級語言逆向分析主要包括C/C++逆向分析、C#逆向分析、PythonJava逆向分析、Go逆向分析、Rust逆向分析等。文件格式分析。文件格式指文件的內(nèi)部構(gòu)成方式。在計(jì)算機(jī)系統(tǒng)中，文件格式類型多種多樣，對機(jī)器本身而言均為二進(jìn)制數(shù)據(jù)格式，在逆向分析時(shí)，對可執(zhí)行文件格式進(jìn)行分析是一個(gè)重要環(huán)節(jié)，其主要相關(guān)技術(shù)包括PE（PortableExecutable）文件格式分析、ELF（ExecutableandLinkableFormat）APK（AndroidPackage）文件格式分析及其他文件格式分析等。靜態(tài)分析對抗。逆向?qū)梗捶茨嫦颍┡c逆向分析是一場持久的對抗。逆向分析人員可以通過逆向分析來理解目標(biāo)程序的內(nèi)部實(shí)現(xiàn)邏輯，開發(fā)人員也可以通過相關(guān)技術(shù)來提高逆向分析人員的分析成本，以降低程序在短時(shí)間內(nèi)被其他人員成功逆向分析的風(fēng)險(xiǎn)。根據(jù)逆向分析方式的不同，逆向分析對抗技術(shù)可以劃分為靜態(tài)分析對抗與動(dòng)態(tài)調(diào)試對抗。靜態(tài)分析對抗主要技術(shù)包括花指令混淆、AndroidGuard混淆、LLVM混淆、字符串加密、API動(dòng)態(tài)調(diào)用、DLL反射加載、VM混淆、代碼自解密等。動(dòng)態(tài)調(diào)試對抗。動(dòng)態(tài)調(diào)試對抗即檢測當(dāng)前程序是否正在被調(diào)試器調(diào)試，如果是則作出相應(yīng)的對抗行為，例如進(jìn)入不同的代碼分支、退出進(jìn)程，甚至是利用調(diào)試環(huán)境的漏洞發(fā)起攻擊等。動(dòng)態(tài)調(diào)試對抗主要技術(shù)包括BeingDebugged檢測反調(diào)試、NtGlobalFlag檢測反調(diào)試、HeapMagic檢測反調(diào)試、ProcessDebugPort檢測反調(diào)試、ThreadHideFromDebugger反調(diào)試、DebugObject檢測反調(diào)試、0xCC斷點(diǎn)檢測反調(diào)試、TLS（ThreadLocalStorage）反調(diào)試、DbgHelp模塊檢測反調(diào)試、窗口標(biāo)題檢測反調(diào)試、父進(jìn)程檢測反調(diào)試、時(shí)間差檢測反調(diào)試、基于異常的反調(diào)試等。脫殼分析。加殼程序可以在不改變原有程序功能的基礎(chǔ)上為其提供一層“保護(hù)殼”，從而增加逆向分析的成本。對于經(jīng)過加殼保護(hù)的程序，逆向分析人員的首要工作是對其進(jìn)行脫殼，之后才能進(jìn)行后續(xù)分析工作。脫殼分析主要技術(shù)包括UPX脫殼、UPX變種脫殼、ASPack脫殼、PECompact脫殼、Crypter脫殼、ASProtect脫殼、VMProtect脫殼、Themida脫殼、DLL文件脫殼等。操作系統(tǒng)機(jī)制分析。操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的核心，它管理和協(xié)調(diào)計(jì)算機(jī)硬件和軟件資源，為用戶和應(yīng)用程序提供了一個(gè)高效、可靠、安全的運(yùn)行環(huán)境。深入理解操作系統(tǒng)的內(nèi)部機(jī)制是進(jìn)行系統(tǒng)級逆向分析的基礎(chǔ)。操作系統(tǒng)機(jī)制分析涉及多個(gè)方面，主要包括保護(hù)模式分析、進(jìn)程/線程管理分析、設(shè)備通信管理分析、異步調(diào)用機(jī)制分析、內(nèi)存管理分析、中斷處理分析、事件處理分析、異常處理分析、內(nèi)存管理分析、消息機(jī)制分析、調(diào)試機(jī)制分析、虛擬化技術(shù)分析等。漏洞挖掘與利用知識技能體系漏洞挖掘與利用是信息安全領(lǐng)域中的重要方向，旨在發(fā)現(xiàn)、分析并利用軟件或系統(tǒng)中的安全漏洞，從而評估和提高系統(tǒng)的安全性。通過系統(tǒng)化的漏洞挖掘與利用，可以提前發(fā)現(xiàn)潛在的安全隱患，并采取有效的防護(hù)措施，減少攻擊帶來的風(fēng)險(xiǎn)和損失。本指南聚焦于漏洞挖掘與利用技術(shù)體系，將漏洞挖掘與利用技術(shù)體系劃分為基礎(chǔ)技術(shù)、符號執(zhí)行、模糊測試、漏洞利用、緩解機(jī)制繞過、代碼審計(jì)6個(gè)核心組成部分?；A(chǔ)技術(shù)?；A(chǔ)技術(shù)是指涵蓋了研究者在漏洞挖掘與利用研究領(lǐng)域中應(yīng)當(dāng)掌握的基礎(chǔ)理論知識和技術(shù)實(shí)踐能力，涉及匯編語言、C/C++語言、腳本語言等常見編程語言的閱讀、理解、編寫，以及進(jìn)程管理、內(nèi)存管理等操作系統(tǒng)原理和機(jī)制。基礎(chǔ)技術(shù)包括了函數(shù)調(diào)用過程、內(nèi)存管理機(jī)制、Shellcode編寫、網(wǎng)絡(luò)協(xié)議與通信等。符號執(zhí)行。符號執(zhí)行是指一種程序分析技術(shù)，用于系統(tǒng)地探索程序的所有可能執(zhí)行路徑，以發(fā)現(xiàn)潛在的錯(cuò)誤或漏洞。使用符號執(zhí)行分析特定程序時(shí)，該程序會(huì)使用符號值作為輸入，而非一般執(zhí)行程序時(shí)所使用的具體值；在到達(dá)目標(biāo)代碼時(shí)，分析器可以得到相應(yīng)的路徑約束，然后通過約束求解器來得到可以觸發(fā)目標(biāo)代碼的具體值。符號執(zhí)行主要技術(shù)包括Angr使用、TritonS2E使用、Klee使用等。模糊測試。模糊測試（Fuzzing）是指通過向程序輸入大量隨機(jī)或半隨機(jī)數(shù)據(jù)，以發(fā)現(xiàn)程序中的漏洞和缺陷的一種自動(dòng)化軟件測試技術(shù)。其主要目標(biāo)是通過異常輸入觸發(fā)程序的未定義行為，從而找到潛在的安全漏洞。模糊測試主要技術(shù)包括PeachFuzzer使用、AFL使用、libFuzzer使用、honggfuzz使用、使用、syzkaller使用等。漏洞利用。漏洞利用是指通過觸發(fā)特定缺陷或漏洞，從而執(zhí)行未經(jīng)授權(quán)的操作或取得對系統(tǒng)的控制。漏洞利用主要技術(shù)包括棧緩沖區(qū)溢出利用、堆緩沖區(qū)溢出利用、數(shù)組越界訪問、釋放后重引用利用、雙重釋放利用、符號溢出利用、內(nèi)存未初始化利用、條件競爭利用、類型混淆利用、格式化字符串利用、空指針引用利用等。緩解機(jī)制繞過。緩解機(jī)制繞過是指一系列保護(hù)技術(shù)，旨在增強(qiáng)軟件和系統(tǒng)的安全性，降低漏洞利用的成功率。繞過緩解機(jī)制需要深入理解其工作原理和潛在弱點(diǎn)，涉及多種技術(shù)手段和工具。DEP繞過、ASLR繞過、GS（StackCookie）繞過、SEHOP繞過、CFG繞過、KASLR繞過、SMAP繞過、SMEP繞過、CET繞過等。代碼審計(jì)。代碼審計(jì)是指在不實(shí)際執(zhí)行程序的情況下，對代碼語義和行為進(jìn)行分析，由此找出程序中由于錯(cuò)誤的編碼導(dǎo)致異常的程序語義或未定義的行為。它能在軟件開發(fā)流程早期就發(fā)現(xiàn)代碼中的各種問題，從而提高開發(fā)效率和軟件質(zhì)量。代碼審計(jì)主要技術(shù)包括Codeql使用、ASAN使用、Cppcheck使用、Clangstaticanalyzer使用等。惡意代碼知識技能體系惡意代碼是一種用來破壞、竊取或篡改計(jì)算機(jī)系統(tǒng)及其數(shù)據(jù)的代碼。它包括病毒、蠕蟲、特洛伊木馬、勒索軟件、間諜軟件和廣告軟件等類型。這些代碼可以通過電子郵件附件、惡意網(wǎng)站、感染的軟件或其他載體傳播。一旦被執(zhí)行，惡意代碼可能導(dǎo)致系統(tǒng)性能下降、數(shù)據(jù)丟失、隱私泄露或直接經(jīng)濟(jì)損失。本指南聚焦于惡意代碼分析技術(shù)，從惡意代碼的自動(dòng)傳播、駐留與持久化、遠(yuǎn)程控制與數(shù)據(jù)回傳、情報(bào)獲取、降級破壞、規(guī)避與對抗、獲利等7個(gè)技術(shù)角度全面分析闡述惡意代碼的運(yùn)行機(jī)制和技術(shù)原理。自動(dòng)傳播。自動(dòng)傳播技術(shù)賦予惡意代碼自我復(fù)制和持續(xù)再生的能力，堪稱惡意代碼區(qū)別于其他網(wǎng)絡(luò)攻擊形態(tài)的獨(dú)有特性。自PE文件感染、Office宏病毒、漏洞掃描與利用、可移動(dòng)存儲(chǔ)介質(zhì)感染、網(wǎng)頁感染（網(wǎng)站掛馬）、口令與網(wǎng)絡(luò)共享、P2P網(wǎng)絡(luò)污染、軟件供應(yīng)鏈污染、郵件/短消息釣魚、DNS/Cache投毒、Route/ARP投毒、PPI（Pay-Per-Install）等。駐留與持久化。駐留與持久化技術(shù)是幫助惡意代碼在系統(tǒng)重啟后再次獲得執(zhí)行機(jī)會(huì)而又不引起明顯異常，從而實(shí)現(xiàn)盡可能長時(shí)間的生存。駐留與持久化技術(shù)包括基于啟動(dòng)項(xiàng)啟動(dòng)與駐留、基于注冊表啟動(dòng)與駐留、基于計(jì)劃任務(wù)啟動(dòng)與駐留、基于系統(tǒng)服務(wù)啟動(dòng)與駐留、基于驅(qū)動(dòng)程序啟動(dòng)與駐留、基于文件替換啟動(dòng)與駐留、MBR/BIOS/UEFI/Hypervisor級駐留、基于隱蔽賬號持久化、基于后門持久化等。）遠(yuǎn)程控制與數(shù)據(jù)回傳。遠(yuǎn)程控制主要是針對僵尸網(wǎng)絡(luò)（Botnet）、遠(yuǎn)控木馬（RemoteAccess而言的，僵尸網(wǎng)絡(luò)側(cè)重建立健壯的命令與控制信道（CommandandControlChannel）來管理大規(guī)模“瘦客戶”，而遠(yuǎn)控木馬側(cè)重建立輕量級命令與控制信道管理小規(guī)?！芭挚蛻簟保粩?shù)據(jù)回傳，指的是將被控端上的感興趣數(shù)據(jù)以良好的穿透性、隱蔽性回傳給攻擊者的過程。遠(yuǎn)程控制與URLFluxDomainFlux的遠(yuǎn)USB的跨網(wǎng)控制、基于聲光電磁的近距離通信、流量加密與偽裝、基于IRC的DNSICMP的遠(yuǎn)程控制2.0服務(wù)的遠(yuǎn)程控制、基于云服務(wù)的遠(yuǎn)程控制與數(shù)據(jù)回傳、基于P2P的遠(yuǎn)程控制、數(shù)據(jù)壓縮、編碼與加密以及數(shù)據(jù)隱寫等。情報(bào)獲取。獲取情報(bào)是惡意代碼主要危害之一。遠(yuǎn)控木馬APT中的惡意代碼更關(guān)注敏感文件、鍵盤與屏幕等可獲取商業(yè)與軍事機(jī)密的情報(bào)。情報(bào)獲取技術(shù)包括身份竊取、鍵盤記錄、屏幕捕獲、聲音/視頻記錄、文件枚舉與匹配、高價(jià)值用戶識別、物理位置記錄、網(wǎng)絡(luò)監(jiān)聽、密碼竊取/破解、硬件設(shè)備信息獲取、用戶行為記錄等。降級與破壞。降級與破壞是指通過干擾、篡改、攻擊等方式，降低目標(biāo)網(wǎng)絡(luò)、系統(tǒng)、設(shè)備等的正常服務(wù)與運(yùn)行能力，甚至徹底破壞目標(biāo)的生存。對信息系統(tǒng)造成降級和破壞是惡意代碼的主要危害之一。降級與破壞的技術(shù)有DoS/DDoS擾與劫持、硬件/固件破壞、數(shù)據(jù)刪除與篡改、磁盤與分區(qū)破壞等。DOS拉開帷幕并不斷升級演進(jìn)。今天的惡意代碼采用的規(guī)避手段早已超越病毒時(shí)代的EPO、多態(tài)、變形和加殼，而且已不限于純技術(shù)手段，而殺毒軟件也從單一化終端軟件演化為端-網(wǎng)-云全覆蓋、融入人工智能技術(shù)、具備態(tài)勢感知能力的疊加演進(jìn)防御體系。規(guī)避與對抗的技術(shù)包括反病毒軟件繞過、虛擬機(jī)/沙箱識別與穿透、防火墻穿透、代碼混淆、安全軟件關(guān)停與破壞、合法證書簽名、插件動(dòng)態(tài)下載、身份痕跡擦除與偽裝、載荷與意圖隱藏、加殼、白名單進(jìn)程利用、多態(tài)技術(shù)、反調(diào)試技術(shù)、虛擬化技術(shù)等。獲利。惡意代碼入侵成功后的獲利方式。獲利技術(shù)包括勒IP等。溯源取證知識技能體系在網(wǎng)絡(luò)安全領(lǐng)域，溯源取證是指通過科學(xué)的方法和專業(yè)的工具收集、保留證據(jù)，對網(wǎng)絡(luò)攻擊或安全事件的來源、路徑及相關(guān)證據(jù)進(jìn)行深入追蹤與分析的過程；旨在確定攻擊者的身份、行為模式、攻擊手段和攻擊動(dòng)機(jī)，并以收集到的充足證據(jù)有效支持后續(xù)的法律追責(zé)程序或防御措施制定。溯源取證知識技術(shù)重點(diǎn)關(guān)注APT蹤溯源和網(wǎng)絡(luò)犯罪取證，是維護(hù)網(wǎng)絡(luò)安全、打擊網(wǎng)絡(luò)犯罪的關(guān)鍵環(huán)節(jié)。本指南聚焦于溯源取證知識技術(shù)體系建設(shè)及其實(shí)戰(zhàn)應(yīng)用，將溯源取證劃分為數(shù)據(jù)和權(quán)限恢復(fù)、網(wǎng)絡(luò)欺騙與誘捕反制、日志審計(jì)、用戶與設(shè)備追蹤、隱私數(shù)據(jù)挖掘、數(shù)據(jù)分析與攻擊者畫像、常用工7個(gè)核心組成部分。數(shù)據(jù)和權(quán)限恢復(fù)。數(shù)據(jù)和權(quán)限恢復(fù)是指一種在攻擊者非配合甚至故意破壞的情況下，訪問其存儲(chǔ)介質(zhì)、物理設(shè)備、網(wǎng)絡(luò)服務(wù)的取證技術(shù)手段。數(shù)據(jù)和權(quán)限恢復(fù)知識技能包括磁盤分區(qū)、文件系統(tǒng)、恢復(fù)刪除分區(qū)、恢復(fù)刪除文件、損壞分區(qū)文件恢復(fù)、損壞介質(zhì)數(shù)據(jù)恢復(fù)、損壞截止硬件修復(fù)、損壞數(shù)據(jù)軟件修復(fù)、損壞文件修復(fù)、數(shù)據(jù)庫恢復(fù)、隱寫文件破解、字符串密碼恢復(fù)、手勢密碼破解、動(dòng)態(tài)口令破解、USBKEY認(rèn)證破解、生物特征認(rèn)證破解等。網(wǎng)絡(luò)欺騙與誘捕反制。網(wǎng)絡(luò)欺騙是指為使用騙局或者假動(dòng)作來誤導(dǎo)攻擊行為，誘捕網(wǎng)絡(luò)攻擊，從而更好地為溯源取證創(chuàng)造條件。誘捕反制是指一種高效的溯源取證手段，但是可能涉及司法有效性問題。網(wǎng)絡(luò)欺騙主要技能包括虛假網(wǎng)絡(luò)構(gòu)建、欺騙主機(jī)與網(wǎng)絡(luò)設(shè)備構(gòu)建、蜜罐與蜜餌部署；誘捕反制主要技術(shù)包括命令與控制信道監(jiān)聽與劫持、攻擊流量監(jiān)聽分析、反制控制相關(guān)技術(shù)等。日志審計(jì)。日記審計(jì)是指通過審計(jì)各類日志可以發(fā)現(xiàn)網(wǎng)絡(luò)攻擊留下的時(shí)間、活動(dòng)、IP地址、漏洞利用代碼、賬號等線索，從而分析出網(wǎng)絡(luò)攻擊大致的源頭和過程。日記審計(jì)主要技能包括系統(tǒng)日志審計(jì)、數(shù)據(jù)庫日志審計(jì)、網(wǎng)絡(luò)服務(wù)日志審計(jì)、防火墻日志審計(jì)、IDS/IPS日志審計(jì)、網(wǎng)絡(luò)隔離與交換系統(tǒng)日志審計(jì)、網(wǎng)絡(luò)準(zhǔn)入控制日志審計(jì)、上網(wǎng)行為管理日志審計(jì)、主機(jī)安全與惡意代碼防護(hù)日志審計(jì)、漏洞檢測與管理日志審計(jì)、身份與訪問安全日志審計(jì)、APIVPN日志審計(jì)等。用戶與設(shè)備追蹤。用戶與設(shè)備追蹤主要解決兩方面問題：第一，建立攻擊者的網(wǎng)絡(luò)身份、真實(shí)身份、設(shè)備和攻擊事件間的交叉關(guān)聯(lián)關(guān)系，并形成持續(xù)穩(wěn)定追蹤以刻畫整個(gè)攻擊過程甚至揭露攻擊者的真實(shí)身份；第二，追蹤攻擊行為本身及附加行為所產(chǎn)生的網(wǎng)絡(luò)痕跡，以發(fā)現(xiàn)其與攻擊者真實(shí)身份的關(guān)聯(lián)線索。用戶與設(shè)備追蹤主要技術(shù)包括多類型文檔蜜標(biāo)追蹤、郵件蜜標(biāo)追蹤、暗網(wǎng)活動(dòng)追蹤、瀏覽器指紋提取與追蹤、設(shè)備指紋提取與追蹤、GPS獲取與追蹤、IP路由節(jié)點(diǎn)追蹤、跳板主機(jī)的識別與探測、網(wǎng)絡(luò)支付交易追蹤等。隱私數(shù)據(jù)挖掘。隱私數(shù)據(jù)挖掘是指在溯源取證過程中可對用戶主動(dòng)公開的個(gè)人數(shù)據(jù)、網(wǎng)絡(luò)服務(wù)商安全措施保護(hù)范圍之外的數(shù)據(jù)、執(zhí)法機(jī)構(gòu)依法獲取的數(shù)據(jù)、攻擊者在惡意代碼中泄露的隱私數(shù)據(jù)進(jìn)行主動(dòng)提取和分析，合理合法地利用這些數(shù)據(jù)進(jìn)行溯源取證。因此，隱私數(shù)據(jù)挖掘主要技術(shù)包括即時(shí)聊天數(shù)據(jù)獲取、手機(jī)通訊內(nèi)容獲取、社交網(wǎng)絡(luò)數(shù)據(jù)獲取、云服務(wù)數(shù)據(jù)獲取、域名注冊信息（Whois）獲取、文檔元數(shù)據(jù)（Metadata）提取、文檔內(nèi)嵌字體提取、惡意代碼字符串提取、惡意代碼網(wǎng)絡(luò)行為提取、惡意代碼主機(jī)行為cookie提取等。數(shù)據(jù)分析與攻擊者畫像。數(shù)據(jù)分析與攻擊畫像是指溯源攻擊者身份最為重要的環(huán)節(jié)，基于已獲取的關(guān)鍵線索，以威脅情報(bào)等數(shù)據(jù)為信息儲(chǔ)備，利用大數(shù)據(jù)、人工智能等技術(shù)手段，實(shí)現(xiàn)線索溯源與攻擊者身份映射，最大程度刻畫其身份特征。數(shù)據(jù)分析與攻擊者畫像主要技能包括利益相關(guān)性分析、TTP特征分析與關(guān)聯(lián)、時(shí)區(qū)特征分析、語言/語種與文化特征分析、特征字符串發(fā)現(xiàn)與關(guān)聯(lián)、惡意代碼同源分析、域名網(wǎng)站關(guān)聯(lián)分析、字符串自然語義分析、特征字符串識別與關(guān)聯(lián)、影像線索識別與分析、IP定位與地理位置映射、設(shè)備/賬號/服務(wù)交叉使用關(guān)聯(lián)、威脅情報(bào)庫建設(shè)與應(yīng)用、樣本開發(fā)路徑、樣本技戰(zhàn)術(shù)分析、攻擊事件仿冒和假旗分析、基礎(chǔ)設(shè)施特征關(guān)聯(lián)分析等。常用工具。常用工具主要包括DiskGenius、EasyRecovery、OfficePasswordRecovery、Nirsoft工具集、Brutus、THCHydra、Hashcat、、、微軟Sysinternals工具包、CuckooSandbox、常用系統(tǒng)命令、在線威脅情報(bào)平臺、網(wǎng)絡(luò)社工庫、在線加解密工具、、FTKImage、MagnetRAMCapture、ProcessHacker、WireShark、Everything、PCHunterFullEventLogView等。端點(diǎn)與邊界防護(hù)知識技能體系端點(diǎn)與邊界防護(hù)是指通過一系列技術(shù)手段，保護(hù)網(wǎng)絡(luò)中的終端設(shè)備和網(wǎng)絡(luò)邊界免受惡意入侵、數(shù)據(jù)竊取及其他安全威脅。它涵蓋了對端點(diǎn)設(shè)備的監(jiān)控、訪問控制和數(shù)據(jù)防泄漏等技術(shù)，以及在網(wǎng)絡(luò)邊界通過防火墻、入侵檢測與防御等技術(shù)過濾和阻止?jié)撛谕{。本指南聚焦保障網(wǎng)絡(luò)安全的關(guān)鍵防線，將端點(diǎn)與邊界防護(hù)體系劃分為端點(diǎn)與邊界識別、端點(diǎn)與邊界規(guī)劃、端點(diǎn)安全防護(hù)、邊界安全防護(hù)、端點(diǎn)與邊界檢測、端點(diǎn)與邊界響應(yīng)等6個(gè)核心組成部分。端點(diǎn)與邊界識別。端點(diǎn)與邊界識別是網(wǎng)絡(luò)安全管理的基礎(chǔ)。通過提升組織對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的認(rèn)識能力，加以對系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)以及功能等進(jìn)行網(wǎng)絡(luò)安全管理，旨在提升組織對自身的認(rèn)知。端點(diǎn)與邊界識別技術(shù)包括資產(chǎn)發(fā)現(xiàn)技術(shù)、資產(chǎn)關(guān)系分析、供應(yīng)鏈識別、網(wǎng)絡(luò)環(huán)境識別、硬件識別、固件識別、操作系統(tǒng)識別、中間件識別、應(yīng)用軟件識別、執(zhí)行體對象信譽(yù)分析、安全策略配置識別、用戶權(quán)限配置識別、開放端口識別、網(wǎng)絡(luò)行為數(shù)據(jù)分析、系統(tǒng)行為數(shù)據(jù)分析、設(shè)備接入數(shù)據(jù)分析、用戶訪問數(shù)據(jù)分析、運(yùn)維操作數(shù)據(jù)分析等。端點(diǎn)與邊界規(guī)劃。端點(diǎn)與邊界規(guī)劃是建立防御主動(dòng)性的前提，是指對關(guān)鍵系統(tǒng)要素制定標(biāo)準(zhǔn)、定義系統(tǒng)控制原則或利用資產(chǎn)、拓?fù)洹鼍耙约碍h(huán)境等的識別進(jìn)行模擬的過程，旨在更好的與對手進(jìn)行威脅對抗活動(dòng)。端點(diǎn)與邊界規(guī)劃技術(shù)包括微隔離、AD/LDAP域控制、網(wǎng)絡(luò)通聯(lián)管控、網(wǎng)絡(luò)流量威脅檢測配置、文件對象威脅檢測配置、防勒索檢測配置、審計(jì)策略配置、進(jìn)程隔離、外聯(lián)管控、主機(jī)行為管控、配置基線、配置加固、數(shù)據(jù)分類分級、身份認(rèn)證與授權(quán)、移動(dòng)目標(biāo)防御及蜜餌、蜜罐與蜜網(wǎng)等。端點(diǎn)安全防護(hù)。端點(diǎn)安全防護(hù)是對威脅做出的防御行為。是指通過制定并執(zhí)行具有針對性的保障措施，使組織具備限制或控制潛在網(wǎng)絡(luò)安全事件產(chǎn)生影響的能力，旨在確保關(guān)鍵服務(wù)的網(wǎng)絡(luò)安全性。端點(diǎn)安全防護(hù)技術(shù)包括系統(tǒng)登錄身份鑒別防護(hù)、設(shè)備接入內(nèi)核管控、網(wǎng)絡(luò)流量內(nèi)核管控、網(wǎng)絡(luò)流量協(xié)議解析、WEB管控、文件系統(tǒng)內(nèi)核管控、APIHOOK內(nèi)存管控、進(jìn)程行為管控、系統(tǒng)補(bǔ)丁管理等。邊界安全防護(hù)。邊界安全防護(hù)是對威脅做出的防御行為。是指通過制定并執(zhí)行具有針對性的保障措施，使組織具備限制或控制潛在網(wǎng)絡(luò)安全事件影響的能力，旨在確保關(guān)鍵服務(wù)的網(wǎng)絡(luò)安全性。邊界安全防護(hù)技術(shù)包括基于設(shè)備認(rèn)證的網(wǎng)絡(luò)準(zhǔn)入控制、虛擬專用網(wǎng)絡(luò)接入審查與防護(hù)、端口訪問控制、網(wǎng)關(guān)訪問控制、協(xié)議訪問控制、API端點(diǎn)與邊界檢測。端點(diǎn)與邊界檢測是發(fā)現(xiàn)、定位和定性網(wǎng)絡(luò)安全威脅方法的統(tǒng)稱。是指制定并執(zhí)行適當(dāng)?shù)男袆?dòng)對邊界、端點(diǎn)、流量等進(jìn)行檢測，發(fā)現(xiàn)系統(tǒng)存在或潛在的漏洞、風(fēng)險(xiǎn)等，旨在避免網(wǎng)絡(luò)安全事件的發(fā)生。端點(diǎn)與邊界檢測技術(shù)包括系統(tǒng)環(huán)境檢測、文件檢測、文件檢測、文件緩存檢測、內(nèi)存數(shù)據(jù)檢測、可疑載荷檢測、異常進(jìn)程檢測、全流量解析還原、C2檢測、惡意代碼檢測、加密流量檢測、異常通聯(lián)檢測、郵件還原檢測、系統(tǒng)漏洞檢測、應(yīng)用漏洞檢測以及遠(yuǎn)程登錄檢測等。端點(diǎn)與邊界響應(yīng)。端點(diǎn)與邊界響應(yīng)是處理、管理風(fēng)險(xiǎn)和威脅事件的過程。指通過制定并執(zhí)行適當(dāng)?shù)男袆?dòng)，利用組織所具備的控制潛在網(wǎng)絡(luò)安全事件影響的能力，對檢測到的網(wǎng)絡(luò)安全事件采取處置措施，旨在清除網(wǎng)絡(luò)安全事件影響。端點(diǎn)與邊界響應(yīng)技術(shù)包括流量留存、證據(jù)簽名、憑證對象處置、扇區(qū)對象處置、文件對象處置、內(nèi)存對象處置、流量重定向、協(xié)議過濾、訪問控制策略調(diào)整、清除立足點(diǎn)、漏洞修復(fù)、系統(tǒng)重建、數(shù)據(jù)恢復(fù)、安全策略調(diào)整以及威脅情報(bào)應(yīng)用與新情報(bào)生成等。網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全知識技能體系網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全旨在保護(hù)國家和社會(huì)賴以運(yùn)行的核心設(shè)施的安全性。這些設(shè)施一旦遭到破壞或數(shù)據(jù)泄露，將對國家安全、經(jīng)濟(jì)發(fā)展和公共利益造成嚴(yán)重威脅。網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全關(guān)注保護(hù)這些設(shè)施的完整性、可用性和敏感數(shù)據(jù)的保密性，對于維護(hù)國家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展至關(guān)重要。本指南聚焦于網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全技術(shù)體系，將網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全劃分為域名系統(tǒng)安全、路由系統(tǒng)安全、網(wǎng)絡(luò)設(shè)施通信安全、芯片安全、系統(tǒng)軟件安全等5個(gè)核心組成部分。IP射轉(zhuǎn)換，是支撐網(wǎng)絡(luò)設(shè)備互聯(lián)、網(wǎng)絡(luò)資源訪問、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)服務(wù)等的網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施。域名系統(tǒng)在支撐互聯(lián)網(wǎng)持續(xù)高效平穩(wěn)地運(yùn)行的同時(shí)，也遭受著包括緩沖區(qū)溢出攻擊、域名污染、域名欺騙、拒絕服務(wù)攻擊在內(nèi)的各類攻擊。域名系統(tǒng)安全技術(shù)主要包含防止單點(diǎn)故障、限制區(qū)傳輸、查詢限制、反欺騙措施、抗DDOS攻擊、緩存投毒防護(hù)、域名系統(tǒng)安全擴(kuò)展（DNSSEC)等。路由系統(tǒng)安全。路由系統(tǒng)安全是指作為網(wǎng)絡(luò)互聯(lián)的重要基礎(chǔ)功能，以各類路由器為核心部件的路由系統(tǒng)成為關(guān)鍵基礎(chǔ)設(shè)施中重要的安全防護(hù)目標(biāo)。路由系統(tǒng)安全主要技術(shù)包括身份認(rèn)證、ACL訪問控制、端口及服務(wù)配置管理、網(wǎng)絡(luò)地址轉(zhuǎn)換、路由協(xié)議認(rèn)證等。網(wǎng)絡(luò)設(shè)施通信安全。通信網(wǎng)絡(luò)安全是指保護(hù)通信網(wǎng)絡(luò)（例如互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)絡(luò)等）和其中的信息免受非法訪問、攻擊、破壞和竊取的一系列技術(shù)和管理措施。通信網(wǎng)絡(luò)安全主要技術(shù)包括網(wǎng)絡(luò)身份驗(yàn)證、安全加密協(xié)議、虛擬專用網(wǎng)絡(luò)、網(wǎng)絡(luò)防病毒、安全審計(jì)與監(jiān)控。芯片安全。芯片處于整個(gè)系統(tǒng)最底層，它的安全問題會(huì)帶來系統(tǒng)軟件、應(yīng)用軟件、互聯(lián)網(wǎng)絡(luò)等一系列的安全問題，并且無法通過傳統(tǒng)手段加以解決，軟件和硬件聯(lián)合起來是解決芯片安全問題的重要手段。芯片硬件安全問題有很多，包括未知的軟硬件漏洞、預(yù)設(shè)的軟硬件后門、智能持續(xù)病毒攻擊等。芯片安全需要綜合考慮設(shè)計(jì)、制造、封裝過程中存在的漏洞，通過安全的芯片架構(gòu)以及相關(guān)的檢測防御技術(shù)來保證。芯片安全主要技術(shù)包括側(cè)信道攻擊、故障注入攻擊、芯片逆向工程、侵入式攻擊、物理不可克隆函數(shù)、測試調(diào)試端口保護(hù)、固件安全等。災(zāi)難恢復(fù)與備份。災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性對于網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全具有重要意義。它不僅可以幫助企業(yè)防止業(yè)務(wù)中斷、保護(hù)企業(yè)聲譽(yù)和符合法規(guī)要求，還可以降低財(cái)務(wù)損失、保障客戶信任和提高組織彈性。災(zāi)難恢復(fù)與備份主要技能包含數(shù)據(jù)與配置備份、服務(wù)器恢復(fù)、網(wǎng)絡(luò)設(shè)備恢復(fù)、風(fēng)險(xiǎn)評估、冗余配置等。安全運(yùn)維知識技能體系安全運(yùn)維是維護(hù)信息系統(tǒng)安全穩(wěn)定運(yùn)行的核心環(huán)節(jié)。在信息化、網(wǎng)絡(luò)化、數(shù)字化飛速發(fā)展的時(shí)代背景下，安全運(yùn)維通過實(shí)時(shí)監(jiān)測、風(fēng)險(xiǎn)預(yù)警、應(yīng)急響應(yīng)等措施，構(gòu)筑起堅(jiān)固的網(wǎng)絡(luò)安全防線，確保數(shù)據(jù)資產(chǎn)不受侵害，以及網(wǎng)絡(luò)系統(tǒng)能夠穩(wěn)定、安全、高效的運(yùn)行。本指南聚焦于安全運(yùn)維技術(shù)體系，將安全運(yùn)維劃分為資產(chǎn)監(jiān)測、資產(chǎn)管理、配置核查、安全基線與加固、賬戶管理、漏洞掃描、安全設(shè)9個(gè)核心組成部分。資產(chǎn)監(jiān)測。資產(chǎn)監(jiān)測是安全運(yùn)維的基礎(chǔ)。通過IT確保企業(yè)運(yùn)維資產(chǎn)不被遺漏，IT資產(chǎn)在可見、可控和可管條件下實(shí)施。資產(chǎn)監(jiān)測主要包括網(wǎng)絡(luò)拓?fù)浔O(jiān)測、企業(yè)網(wǎng)絡(luò)流量資產(chǎn)被動(dòng)探測、內(nèi)網(wǎng)資產(chǎn)主動(dòng)探測、應(yīng)用和服務(wù)監(jiān)測、終端設(shè)備監(jiān)測、數(shù)據(jù)庫監(jiān)測、安全事件監(jiān)測、操作系統(tǒng)狀態(tài)監(jiān)測、Docker容器狀態(tài)監(jiān)測、業(yè)務(wù)系統(tǒng)狀態(tài)監(jiān)測等。資產(chǎn)管理。資產(chǎn)管理是安全運(yùn)維重要工作之一。資產(chǎn)管理IT設(shè)備等，確保這些資產(chǎn)處于最佳運(yùn)行狀態(tài)。資產(chǎn)管理主要包括資產(chǎn)識別、資產(chǎn)評估、資產(chǎn)清單編制、資產(chǎn)標(biāo)識管理、資產(chǎn)管理制度的完善等。配置核查。配置核查是安全運(yùn)維日常工作之一。運(yùn)維工作人員通過定期核查配置，查缺補(bǔ)漏，確保企業(yè)網(wǎng)絡(luò)安全配置的有效性以及合規(guī)性。配置核查主要包括網(wǎng)絡(luò)設(shè)備配置核查、操作系統(tǒng)配置核查、網(wǎng)絡(luò)安全策略配置核查、中間件安全配置核查、業(yè)務(wù)應(yīng)用安全配置核查等。安全基線與加固。安全基線與加固是安全運(yùn)維重要工作之一。通過建立安全基線，確保企業(yè)安全建設(shè)符合國家政策需求和企業(yè)自身安全建設(shè)的最低要求。安全基線與加固主要包括等級保護(hù)合規(guī)性檢查、補(bǔ)丁分發(fā)與更新、應(yīng)用軟件信息與漏洞庫關(guān)聯(lián)核查、網(wǎng)絡(luò)設(shè)備安全基線核查與加固、操作系統(tǒng)安全基線核查與加固、中間件安全基線核查與加固、訪問控制策略核查與加固等。賬戶管理。賬戶管理是力圖消除企業(yè)員工賬戶使用不規(guī)范、不合規(guī)帶來的安全隱患，避免因員工賬戶、口令和權(quán)限的安全問題給整個(gè)企業(yè)網(wǎng)絡(luò)環(huán)境帶來更大的安全隱患。賬戶管理主要包括賬戶統(tǒng)一權(quán)限管理、賬戶口令合規(guī)與認(rèn)證、VPN賬戶配置與管理、堡壘機(jī)賬戶權(quán)限管理、數(shù)據(jù)庫賬戶配置與管理、網(wǎng)絡(luò)設(shè)備賬戶配置與管理、應(yīng)用程序賬戶權(quán)限管理等。漏洞掃描。漏洞掃描是安全運(yùn)維日常主要工作之一。通過漏洞掃描與漏洞巡檢，能夠全面了解企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況，及時(shí)了解新增的高危漏洞和企業(yè)暴露的漏洞情況。漏洞掃描工作主要包括探測、操作系統(tǒng)漏洞批量檢測、中間件命令執(zhí)行漏洞批量檢測、組件漏洞批量檢測、第三方框架漏洞批量檢測等。安全設(shè)備運(yùn)維。安全設(shè)備運(yùn)維是安全運(yùn)維日常主要工作之一。通過安全設(shè)備運(yùn)維來保障企業(yè)的安全防護(hù)體系不被隨意打破。安全設(shè)備運(yùn)維工作主要包括抗拒絕服務(wù)系統(tǒng)（Anti-DDoS系統(tǒng)）配置與維護(hù)、網(wǎng)閘（網(wǎng)絡(luò)安全隔離設(shè)備）配置與維護(hù)、VPN配置與維護(hù)、防病毒軟件特征庫配置與維護(hù)、安全事件日志審計(jì)以及數(shù)據(jù)庫安全審計(jì)等。告警處置。告警處置是安全運(yùn)維重要工作之一。通過處置安全設(shè)備/系統(tǒng)的告警，保障企業(yè)能夠有效地檢測與防御外部攻擊，并且能夠及時(shí)發(fā)現(xiàn)與修復(fù)企業(yè)自身的安全缺陷。告警處置主要包括安全設(shè)備誤報(bào)分析、安全設(shè)備告警優(yōu)化、事件真實(shí)性研判、失陷范圍排查與資產(chǎn)定位、告警原因分析、攻擊行為回放、攻擊行為評估、告警處置與清除等。應(yīng)急響應(yīng)。應(yīng)急響應(yīng)是安全運(yùn)維重要工作之一。企業(yè)需要在各種意外的安全事件發(fā)生后采取有效的應(yīng)對措施，力保將企業(yè)因安全事件造成的損失降低到最小。應(yīng)急響應(yīng)主要包括文件排查、端口排查、進(jìn)程排查、系統(tǒng)信息排查、Rootkit查殺、查殺、木馬病毒查殺、軟件包檢查、后門排查、日志排查、攻擊溯源、勒索軟件應(yīng)急、拒絕服務(wù)應(yīng)急、數(shù)據(jù)泄露處置等。移動(dòng)安全知識技能體系隨著計(jì)算機(jī)技術(shù)的進(jìn)步與移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展，智能手機(jī)、移動(dòng)平板、各種各樣的藍(lán)牙產(chǎn)品等移動(dòng)設(shè)備日益普及。近些年來，