網(wǎng)絡(luò)空間安全工程技術(shù)人才培養(yǎng)體系指南-綜合版 2024

網(wǎng)絡(luò)空間安全工程技術(shù)人才培養(yǎng)體系指南中國網(wǎng)絡(luò)空間安全人才教育論壇二〇二四年八月（以上單位按參編內(nèi)容量和名稱字母序排列）本指南（綜合版）版權(quán)屬于中國網(wǎng)絡(luò)空間安全人才教育論壇（網(wǎng)教盟）。轉(zhuǎn)載、摘編或利用其他方式使用指南中的文字或者觀點，應(yīng)注明“來源：中國網(wǎng)絡(luò)空間安全人才教育論壇”，并書面知本指南僅供參考。對于本文檔中的信息，網(wǎng)教盟及編寫單位不作明示、默示保證。在指南中的信息和意見，均可能會改變，不另網(wǎng)絡(luò)空間作為人類社會生存和發(fā)展的新空間，成為了“陸、海、空、天、網(wǎng)”中的第五維新疆域，網(wǎng)絡(luò)空間安全進入到國家戰(zhàn)略強面對我國目前對有實踐經(jīng)歷和實戰(zhàn)能力的網(wǎng)絡(luò)空間安全工程技術(shù)人才（以下及正文簡稱“網(wǎng)安人才”）需求缺口巨大、需求增速不斷加快的現(xiàn)實，中國網(wǎng)絡(luò)空間安全人才教育論壇匯聚成員單位提出了我國網(wǎng)安人才知識及能力框架并持續(xù)改進，在《網(wǎng)絡(luò)空間安全工程技術(shù)人才培養(yǎng)體系指南》（以下簡稱“指南”）中對框架的網(wǎng)安人才層次化體系、知識技能體系、培養(yǎng)體系等主體部分進行了論述。其中的“知識技能體系”，按照從業(yè)人員業(yè)務(wù)標簽這一全新角度，參考學科專業(yè)體系，對網(wǎng)安人才的知識技能進行了梳理，突出以“人”為核心、以“業(yè)務(wù)內(nèi)容”為標簽、以“知識技能”為內(nèi)容，14個一級標簽的知識技能體系的梳理。本次“綜合版”是在前序版本指南（綜合版）的設(shè)計和編寫是由中國網(wǎng)絡(luò)空間安全人才教 I 1 1 2 4 5 5 6 9 3.1體系分類方法 3.2標簽化知識技能體系 3.3體系展開實例 第一章網(wǎng)絡(luò)空間安全人才培養(yǎng)的特殊性1.1網(wǎng)絡(luò)空間安全特性網(wǎng)絡(luò)空間安全涉及在網(wǎng)絡(luò)空間中電磁設(shè)備、信息通信系統(tǒng)、運行數(shù)據(jù)、系統(tǒng)應(yīng)用中所存在的安全問題，即設(shè)備層安全、系統(tǒng)層安全、數(shù)據(jù)層安全和應(yīng)用層安全。其中，設(shè)備層安全需應(yīng)對網(wǎng)絡(luò)空間中信息系統(tǒng)設(shè)備所面對的安全問題，包括物理安全、環(huán)境安全、設(shè)備安全等；系統(tǒng)層安全需應(yīng)對網(wǎng)絡(luò)空間中信息系統(tǒng)自身所面對的安全問題，包括網(wǎng)絡(luò)安全、軟件安全等；數(shù)據(jù)層安全需應(yīng)對在網(wǎng)絡(luò)空間中處理數(shù)據(jù)的同時所帶來的安全問題，包括數(shù)據(jù)安全、身份安全、隱私保護等；應(yīng)用層安全需應(yīng)對在信息應(yīng)用的過程中所形成的安全由于網(wǎng)絡(luò)信息技術(shù)所具有的支撐和工具特性，以及安全問題的伴隨本性，網(wǎng)絡(luò)空間安全具有與生俱來的伴生性。一項網(wǎng)絡(luò)信息技術(shù)的誕生之日，就無法避免地催生出其可能存在的安全問題，隨著技術(shù)的發(fā)展和應(yīng)用，其安全問題也會逐漸引起人們關(guān)注、得到研究網(wǎng)絡(luò)空間本身涉及到物理空間的電磁信號、信息設(shè)備、運行環(huán)境，邏輯空間的軟件、數(shù)據(jù)、信息，虛擬空間的身份、隱私、行為等不同空間維度的不同層次類型的對象；不同對象的安全問題及安全技術(shù)之間，具有復雜交錯的關(guān)聯(lián)關(guān)系。因此，交叉性是網(wǎng)絡(luò)空間安全問題本質(zhì)上是一種博弈關(guān)系，存在于人與人、人與自然乃至自然事物之間。網(wǎng)絡(luò)空間的安全也符合這一客觀規(guī)律，并且由于網(wǎng)絡(luò)空間是人類基于網(wǎng)絡(luò)信息技術(shù)構(gòu)建的集物理、邏輯、虛擬于一體的復合空間，其所展現(xiàn)的博弈關(guān)系更多體現(xiàn)在人與人之間，以及人所基于的網(wǎng)絡(luò)信息技術(shù)或工具而進行的“人+技術(shù)”的對抗，包括行為對抗和認知對抗。因此，對抗性也是網(wǎng)絡(luò)空間安全的本質(zhì)特征綜上，網(wǎng)絡(luò)空間安全是伴隨著網(wǎng)絡(luò)信息技術(shù)的出現(xiàn)、發(fā)展和應(yīng)用而出現(xiàn)和發(fā)展的，新的網(wǎng)絡(luò)信息技術(shù)必然會豐富網(wǎng)絡(luò)空間安全的內(nèi)涵、拓展其外延；而網(wǎng)絡(luò)空間安全在內(nèi)容邏輯上，具有極強的交叉關(guān)聯(lián)關(guān)系，強化了其技術(shù)范疇的交錯關(guān)聯(lián)性；由人類的構(gòu)建和交互行為打造的網(wǎng)絡(luò)空間，其安全問題在本源上形成于人與人之間的1.2網(wǎng)安人才培養(yǎng)的特殊性物理世界中的安保人員追求身強力壯，拼的是體力，物理世界的軍人首先要求具備過硬的身體素質(zhì)。網(wǎng)絡(luò)空間的安保人員追求IT技能高超，拼的是智力，網(wǎng)安工程技術(shù)人才作為網(wǎng)絡(luò)空間的“捍衛(wèi)者”，首先要求具備嫻熟的網(wǎng)絡(luò)攻防技能。這種斷崖式的安保人才物理世界的攻擊者和攻擊手段具有鮮明的局域特點，單點攻擊只引發(fā)局部防范，區(qū)域戒備就可以解決問題。網(wǎng)絡(luò)空間攻擊可以直接掃描國際互聯(lián)網(wǎng)或間接觸及任何“物理隔離”的目標網(wǎng)絡(luò)，單點攻擊會引發(fā)全球防范，防御人員的需求規(guī)模與系統(tǒng)規(guī)模成比例關(guān)系，攻擊者則與規(guī)模無關(guān)。網(wǎng)絡(luò)攻擊者的培養(yǎng)相對簡單，重在實踐；網(wǎng)絡(luò)防御者的培養(yǎng)過程復雜，需要理論與實踐結(jié)合。攻易防難的非對稱性，加重了網(wǎng)安工程技術(shù)人才尤其是高層次防御人員培養(yǎng)的難度。網(wǎng)絡(luò)攻擊技能的培養(yǎng)如同武術(shù)技能的傳授，受訓者的自律程度成為造福人類還是危及社會的分水嶺。與武術(shù)技能的提高相同，網(wǎng)絡(luò)攻防的技術(shù)能力建立在不斷實踐的基礎(chǔ)之上，閉門造車無法真正提高實戰(zhàn)能力。如何在不斷“挑戰(zhàn)高手”的同時避免觸及法律紅線攻擊技能可以通過經(jīng)驗的積累而迅速提高，但防范能力則需要深厚的理論積累，尤其是對利用非配置漏洞而發(fā)起的攻擊的防范，簡單的實踐不能掌握其要領(lǐng)。因此，技能型人才不一定依賴學術(shù)水平，技能與學術(shù)沒有直接的強相關(guān)性。攻擊能力往往呈現(xiàn)實踐性，任何新興的網(wǎng)絡(luò)空間技術(shù)所對應(yīng)的安全技術(shù)一定是與相應(yīng)的網(wǎng)絡(luò)空間技術(shù)相伴生的，新興網(wǎng)絡(luò)空間安全技術(shù)本質(zhì)上是寄生在新興宿主網(wǎng)絡(luò)空間技術(shù)之上，不了解所要保護的網(wǎng)絡(luò)空間技術(shù)，就不可能了解相應(yīng)的網(wǎng)絡(luò)空間安全技術(shù)。任何新興網(wǎng)絡(luò)空間安全技術(shù)出現(xiàn)之后，一定會存在相應(yīng)的安全問題，因此，也一定會伴生出現(xiàn)相應(yīng)由于社會上對安全人才需求與供給關(guān)系嚴重失衡，因此存在大量的轉(zhuǎn)行人才。網(wǎng)絡(luò)安全技能缺少顯式的展現(xiàn)方法，一般機構(gòu)難以通過簡單的卷面測試、短時的面試考核等方法判斷出一名網(wǎng)安人員1.3網(wǎng)安工程技術(shù)人才培養(yǎng)體系目前，國內(nèi)網(wǎng)安人才成長主要包括院校教育、職業(yè)培訓、自學成才三種渠道。其中，院校教育包括普通大學、高職高專、民辦高校等以學校為單位組織的網(wǎng)安人才培養(yǎng)形式，內(nèi)涵上包括其培養(yǎng)目標、課程體系和培養(yǎng)模式等。院校培養(yǎng)體系在人才培養(yǎng)路線上一般具有系統(tǒng)化、理論化和學術(shù)化等特點，需著重根據(jù)網(wǎng)安人才的特殊性和人才需求特點，結(jié)合培養(yǎng)機構(gòu)人才出口、去向等個性情況，強職業(yè)培訓和自學成才包括用人單位組織的有計劃的定制化在崗培訓、網(wǎng)安職業(yè)培訓機構(gòu)面向社會個體人員的方向性、層次化的網(wǎng)絡(luò)安全工程技術(shù)和技能的培訓，以及社會個體參照方向性的考核認證內(nèi)容、自學實訓計劃、實訓實踐指南等進行的層次化分級、興趣型分類自學實踐。這些培訓或自學具有目標性強但系統(tǒng)性不足、短期內(nèi)見效但成長性不足等特點，需要根據(jù)國家網(wǎng)絡(luò)空間安全戰(zhàn)略規(guī)劃、網(wǎng)絡(luò)空間安全學科內(nèi)容、網(wǎng)安知識技能體系等客觀性和科學性根據(jù)上述分析，通過不同渠道成長的網(wǎng)安人才，其在學習的方式、路線、周期、手段等方面，有較大的差異；另外，國家和社會的行業(yè)、單位、崗位的分工不同，對網(wǎng)絡(luò)安全工程技術(shù)人才的知識技能需求在內(nèi)容上會各有側(cè)重，在層次上體現(xiàn)不同。因此，面向適應(yīng)網(wǎng)安人才特殊性和滿足國家網(wǎng)安人才需求，參考網(wǎng)絡(luò)空間安全學科知識體系，以“人”為核心，以行業(yè)對從業(yè)人員知識、技能、素質(zhì)等的要求為出發(fā)點，研究梳理網(wǎng)絡(luò)安全工程技術(shù)人才的分類分層體系，以及網(wǎng)絡(luò)安全知識技能體系，從而銜接人才培養(yǎng)與行業(yè)需求間的紐帶，為不同渠道網(wǎng)安工程技術(shù)人才培養(yǎng)、能力考核評估、求第二章網(wǎng)絡(luò)安全工程技術(shù)人才分類與評價體系2.1網(wǎng)安人才評價機制的目的和需求現(xiàn)狀對網(wǎng)絡(luò)空間安全人才評價的目的是評判從業(yè)人員是否達到網(wǎng)絡(luò)空間安全專業(yè)技術(shù)人員獨立從事某種網(wǎng)絡(luò)空間安全專業(yè)技術(shù)工作知識、技術(shù)和能力的要求。建立網(wǎng)絡(luò)空間安全人才評價體系有利于加快網(wǎng)安人才培養(yǎng)，指導院校培養(yǎng)體系、社會培訓、自學成才等多渠道人才培養(yǎng)和成長活動，促進專業(yè)人才隊伍素質(zhì)和業(yè)務(wù)水平的提高，有利于引導用人單位設(shè)置合理、務(wù)實的招聘、考核，完善人才隊伍。發(fā)達國家高度重視網(wǎng)絡(luò)空間安全評價，在國家層面上不斷地出臺相應(yīng)的戰(zhàn)略計劃，以完善其評價體系，從而支撐和推動培訓體系責統(tǒng)一領(lǐng)導制定網(wǎng)安人才框架，以評估工作人員的專業(yè)化水平，為預測未來網(wǎng)絡(luò)空間安全需求推薦最佳的實踐活動，為招募和挽留人才制定國家策略。該計劃的目的是建立和維護一個具有全球競爭力我國網(wǎng)安人才需求迫切，數(shù)量奇缺，但目前以高校培養(yǎng)、社會培訓、自學成才三種方式成長起來的網(wǎng)安人才，在知識技能水平上，與社會現(xiàn)實需求間的匹配度還很低。高校網(wǎng)絡(luò)空間安全畢業(yè)生無法快速適應(yīng)崗位實際工作需求，往往需要用人單位進行一年甚至更長時間的二次培訓才能滿足實際工作需求；社會培訓結(jié)業(yè)人員，在職業(yè)發(fā)展、業(yè)務(wù)能力提升方面，存在知識儲備不足、缺少系統(tǒng)性理論能力支撐等問題；自學成才的“奇才”，在職業(yè)早期進步很快，但在后期業(yè)務(wù)拓展、體系性實戰(zhàn)能力提升，特別是團隊協(xié)作、團隊管綜上，迫切需要通過制定規(guī)范統(tǒng)一的評價機制，發(fā)揮認證評價指揮棒作用，明確網(wǎng)安人才出口標準，解決缺人才、缺合適的人才、2.2網(wǎng)安人才層次化分類體系網(wǎng)絡(luò)空間安全的一線安全運營人員通常包括安全分析師、安全運維工程師、威脅狩獵人員、安全響應(yīng)團隊成員等。其中，安全分析師負責監(jiān)視和分析網(wǎng)絡(luò)安全事件，以便及時檢測和應(yīng)對潛在的安全威脅，主要工作內(nèi)容包括分析日志數(shù)據(jù)、網(wǎng)絡(luò)流量和其他安全事件數(shù)據(jù)，調(diào)查潛在的安全漏洞或攻擊行為，提供應(yīng)對建議和解決方案；安全運維工程師負責維護安全設(shè)備和系統(tǒng)，確保網(wǎng)絡(luò)安全措施的有效性和可靠性，主要工作內(nèi)容包括配置和管理安全設(shè)備（如防火墻、入侵檢測系統(tǒng)等）、執(zhí)行安全補丁管理、協(xié)助應(yīng)急響應(yīng)等工作；威脅狩獵人員負責主動尋找網(wǎng)絡(luò)中的未知威脅，發(fā)現(xiàn)潛在的安全漏洞和攻擊活動，主要工作內(nèi)容包括利用安全工具和技術(shù)進行系統(tǒng)審查和分析，識別異常行為和潛在的威脅，提供安全建議和改進方案；安全響應(yīng)團隊成員負責應(yīng)對網(wǎng)絡(luò)安全事件和緊急情況，迅速采取行動限制損失并恢復正常運行，主要工作內(nèi)容包括制定和執(zhí)行應(yīng)急響應(yīng)計劃，收集證據(jù)、分析攻擊手法、修復受影響系統(tǒng)等工作。這些一線安全運營人員通常需要具備網(wǎng)絡(luò)安全相關(guān)的技術(shù)知識和技能，熟悉常見的安全工具和技術(shù)，具備良好的問題解決能力和團隊合作精神。他們需要密切關(guān)注網(wǎng)絡(luò)安全威脅的動態(tài)變化，及時網(wǎng)絡(luò)空間安全的工程技術(shù)開發(fā)人員主要包括安全工程師、安全研究員、加密工程師、安全測試工程師等。其中，安全工程師負責設(shè)計、開發(fā)和維護安全解決方案和系統(tǒng)，保障系統(tǒng)和數(shù)據(jù)的安全性，主要工作內(nèi)容包括開發(fā)安全工具和軟件，設(shè)計安全架構(gòu)，評估系統(tǒng)漏洞和風險，制定安全策略和標準；安全研究員負責研究最新的安全漏洞、攻擊技術(shù)和威脅情報，為安全產(chǎn)品和解決方案提供技術(shù)支持，主要工作內(nèi)容包括分析惡意代碼、漏洞利用技術(shù)，進行安全漏洞挖掘和利用研究，撰寫安全報告和建議；加密工程師負責設(shè)計和實現(xiàn)加密算法、協(xié)議和安全通信系統(tǒng)，保障數(shù)據(jù)的機密性和完整性，工作內(nèi)容包括開發(fā)和優(yōu)化加密算法、實現(xiàn)安全協(xié)議，評估加密方案的安全性和性能等；安全測試工程師負責進行安全測試和滲透測試，評估系統(tǒng)和應(yīng)用程序的安全性，發(fā)現(xiàn)潛在的漏洞和弱點，工作內(nèi)容包括進行滲透測試、代碼審計、漏洞掃描等活動，提供漏洞修復建這些工程技術(shù)開發(fā)人員通常需要具備扎實的計算機科學和網(wǎng)絡(luò)安全知識，熟練掌握編程語言和安全工具，具有創(chuàng)新思維和問題解決能力。他們致力于提升系統(tǒng)的安全性和防御能力，對抗不斷演進網(wǎng)絡(luò)空間安全的安全研究創(chuàng)新人員包括高級安全研究員、安全顧問、安全架構(gòu)師、安全創(chuàng)新專家等。其中，高級安全研究員負責探索網(wǎng)絡(luò)安全領(lǐng)域的新技術(shù)、新方法和新思路，發(fā)現(xiàn)并分析最新的安全漏洞和攻擊手法，工作內(nèi)容包括研究安全漏洞、惡意軟件、漏洞利用技術(shù)等，開展安全研究項目，發(fā)表研究成果和安全報告；安全顧問負責為組織和企業(yè)提供安全咨詢服務(wù)，評估安全風險、制定安全策略和解決方案，工作內(nèi)容包括安全評估、風險分析和安全咨詢，幫助客戶建立健全的安全體系和應(yīng)對安全挑戰(zhàn)；安全架構(gòu)師負責設(shè)計和規(guī)劃安全架構(gòu)，確保系統(tǒng)和應(yīng)用程序在設(shè)計階段就具備安全性，工作內(nèi)容包括制定安全架構(gòu)設(shè)計方案，評估安全需求和風險，指導開發(fā)團隊實施安全設(shè)計和實施；安全創(chuàng)新專家負責推動網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新發(fā)展，探索新的安全技術(shù)和解決方案，工作內(nèi)容包括研究和開發(fā)新的安全技術(shù)、工具和方法，參與安全創(chuàng)新項目，推動這些安全研究創(chuàng)新人員通常需要具備扎實的網(wǎng)絡(luò)安全和計算機科學知識，具有創(chuàng)新意識和研究能力，能夠跟蹤和理解安全技術(shù)的最新發(fā)展趨勢，為解決網(wǎng)絡(luò)安全挑戰(zhàn)提供創(chuàng)新的思路和解決方案。網(wǎng)絡(luò)空間安全的安全規(guī)劃治理人員主要涉及制定網(wǎng)絡(luò)安全規(guī)劃、策略和政策，監(jiān)督和管理網(wǎng)絡(luò)安全實施，確保組織網(wǎng)絡(luò)資產(chǎn)的安全和持續(xù)運營。他們是高層次的管理或治理人員，是政策、制度、規(guī)范的制定者和監(jiān)督實施人員，包括安全項目經(jīng)理、首席安全官、安全規(guī)劃師、安全治理專家、安全風險管理專家等。其中，安全項目經(jīng)理負責管理和協(xié)調(diào)網(wǎng)絡(luò)安全項目，確保項目按時完成、符合預期目標，工作內(nèi)容包括制定項目計劃和進度，分配資源，協(xié)調(diào)團隊工作，監(jiān)督項目執(zhí)行過程，報告項目進展和風險；首席安全官負責整體網(wǎng)絡(luò)安全戰(zhàn)略的制定和實施，監(jiān)督組織的網(wǎng)絡(luò)安全管理和治理工作，工作內(nèi)容包括領(lǐng)導網(wǎng)絡(luò)安全團隊，制定安全戰(zhàn)略和政策，監(jiān)督安全控制措施的實施和維護，應(yīng)對安全事件和威脅；安全規(guī)劃師負責制定組織的網(wǎng)絡(luò)安全規(guī)劃和戰(zhàn)略，評估安全風險和需求，規(guī)劃安全措施和應(yīng)對策略，工作內(nèi)容包括制定安全規(guī)劃和策略文件，分析安全需求和風險，協(xié)調(diào)安全實施計劃，監(jiān)督安全項目的執(zhí)行；安全治理專家負責制定組織的網(wǎng)絡(luò)安全政策、標準和流程，研究制定法規(guī)和行業(yè)標準，并確保組織符合這些法規(guī)標準，工作內(nèi)容包括制定安全政策文件，指導員工遵守安全政策，監(jiān)督政策執(zhí)行情況，對政策進行定期評估和更新；風險管理專家負責評估和管理組織的安全風險，制定風險管理策略，確保組織的網(wǎng)絡(luò)資產(chǎn)受到有效保護，工作內(nèi)容包括評估和分析風險，制定風險管理計劃，建立風險控制措這些安全規(guī)劃治理人員需要具備網(wǎng)絡(luò)安全、風險管理、合規(guī)和治理等領(lǐng)域的專業(yè)知識和技能，能夠全面考慮組織的安全需求和挑戰(zhàn)，制定有效的安全規(guī)劃和管理策略，監(jiān)督安全控制措施的實施，確保網(wǎng)絡(luò)安全工作的持續(xù)改進和有效實施。他們在保障組織網(wǎng)絡(luò)安2.3構(gòu)建層次化的網(wǎng)安人才分類評價體系結(jié)合網(wǎng)絡(luò)空間安全人才崗位、領(lǐng)域和層次，建立分類化評價指標體系，在指標體系的構(gòu)成或權(quán)重上，應(yīng)體現(xiàn)崗位和層次的區(qū)別。綜合分析，考評指標應(yīng)該包括技術(shù)能力、問題解決能力、溝通能力、對一線安全運營人員，重點考查熟練使用工具的種類水平、應(yīng)急響應(yīng)方法和效率；對工程技術(shù)開發(fā)人員，重點考查安全編碼、安全規(guī)則實現(xiàn)和安全架構(gòu)設(shè)計等方面達到的認知與實踐水平；對安全研究創(chuàng)新人員，考查其學術(shù)背景和專業(yè)知識水平，以及安全理論、技術(shù)創(chuàng)新和新技術(shù)開發(fā)成果，轉(zhuǎn)化效果等；對安全規(guī)劃治理人員，重點考查其制定戰(zhàn)略和規(guī)范的合理性、有效性和效率，以及相關(guān)驗對一線安全運營人員，重點考查其解決網(wǎng)絡(luò)安全問題和故障的能力，以及分析和評估網(wǎng)絡(luò)系統(tǒng)安全風險的能力；對工程技術(shù)開發(fā)人員，重點考查解決方案的設(shè)計與實現(xiàn)能力，以及漏洞發(fā)現(xiàn)、分析和修復能力，兼顧新的安全工具、自動化工具的設(shè)計與實現(xiàn)能力；對安全研究創(chuàng)新人員，考查其發(fā)現(xiàn)安全問題、建立問題求解模型、提出新理論、新技術(shù)及成果轉(zhuǎn)化能力等；對安全規(guī)劃治理人員，重點考查其發(fā)現(xiàn)系統(tǒng)性風險、聚焦核心性問題、提出全局性解決方案對一線安全運營人員，重點考查評估其撰寫事件報告、風險分析報告等文檔的表達能力，以及評估其與團隊成員和其他部門進行有效溝通和協(xié)作的能力；對工程技術(shù)開發(fā)人員，重點考查評估其與其他技術(shù)團隊或非技術(shù)團隊之間有效溝通和協(xié)作的能力，以及編寫技術(shù)文檔、設(shè)計文檔和開發(fā)文檔的能力；對安全研究創(chuàng)新人員，考查評估其在學術(shù)期刊、會議上發(fā)表論文的能力，以及在學術(shù)或行業(yè)會議上進行有效交流和分享研究成果的能力；對安全規(guī)劃治理人員，重點考查評估其向高層管理層傳達安全風險和建議的能力，以及評對一線安全運營人員，重點考查評估其持續(xù)學習新技術(shù)和工具，保持對網(wǎng)絡(luò)安全領(lǐng)域的更新認識，以及高效完成任務(wù)和處理工作事務(wù)的能力，包括時間管理和優(yōu)先級處理能力；對工程技術(shù)開發(fā)人員，重點考查評估其自主學習新技術(shù)和工具的意愿和行動力，以及在開發(fā)項目中的時間管理和任務(wù)分配能力；對安全研究創(chuàng)新人員，考查評估其制定和執(zhí)行研究計劃的能力，包括時間管理和資源規(guī)劃，以及持續(xù)學習新技術(shù)和理論知識的主動性和效率；對安全規(guī)劃治理人員，重點考查其了解新技術(shù)能力，以及調(diào)研發(fā)現(xiàn)新問題新需求并付對一線安全運營人員，重點考查評估其在團隊中積極參與、協(xié)作和支持他人的團隊合作精神，以及在日常安全運營工作中的組織協(xié)調(diào)和管理能力；對工程技術(shù)開發(fā)人員，重點考查評估其在團隊中積極參與、協(xié)作和支持他人的團隊合作精神，以及在項目中的組織協(xié)調(diào)和管理能力，包括進度管理和風險控制；對安全研究創(chuàng)新人員，考查評估其與團隊成員合作開展研究的能力，以及在多人合作項目中的組織管理和任務(wù)協(xié)調(diào)能力；對安全規(guī)劃治理人員，重點考查評估其在不同團隊間協(xié)調(diào)和合作的能力，以及領(lǐng)導團隊實施安全規(guī)劃對一線安全運營人員，重點考查評估其解決實際網(wǎng)絡(luò)安全問題的能力和成效；對工程技術(shù)開發(fā)人員，重點考查評估其在項目中的貢獻和成果，包括項目交付質(zhì)量和效率；對安全研究創(chuàng)新人員，考查評估其研究成果的影響力和貢獻度；對安全規(guī)劃治理人員，重點第三章網(wǎng)絡(luò)安全工程技術(shù)人才知識技能體系3.1體系分類方法網(wǎng)安人才知識技能分類方法在國際上一直沒有公認標準?？蓞踩趾蛧涟踩柯?lián)合主持成立的國家信息保障/網(wǎng)絡(luò)防御學術(shù)卓越中心（CAE）發(fā)布的“基于知識單元的課程體系”、Gartner近年發(fā)布的新興技術(shù)成熟度曲線和信息安全技術(shù)列表，以及國內(nèi)如智聯(lián)鑒于網(wǎng)絡(luò)空間安全工程技術(shù)人才培養(yǎng)的特殊性，在借鑒國內(nèi)外相關(guān)工作的基礎(chǔ)上，延續(xù)了本指南前序版本所提出的以“網(wǎng)安人才標簽”為主維度的分類法及知識技能體系，以滿足聚焦實戰(zhàn)能力的網(wǎng)安人才培養(yǎng)需求。之所以沒有將“網(wǎng)安崗位”作為分類主維度，是因為對每個崗位的理解，因人而異、因培養(yǎng)單位而異、因用人單位而異、因認證機構(gòu)而異，存在很大的個體差異性。同時，我們注意到一個現(xiàn)象，當談及網(wǎng)安從業(yè)人員“做什么方向的工作？”，得到的回答往往既不是自己所在網(wǎng)安崗位，也不是工作所需核心技術(shù)，），因此，設(shè)計一個面向網(wǎng)絡(luò)空間安全工程技術(shù)人才的知識技能體系，為學校授課、網(wǎng)安培訓、人才認證、崗位招聘以及個人自學成才等提供參考依據(jù)，為相關(guān)方提供公共可理解的概念、分類體系，成為本指南的初衷之一。此外，鑒于知識技能體系所服務(wù)的對象、涵蓋的內(nèi)容是圍繞“網(wǎng)安人才培養(yǎng)”，所以，與信息安全管理相關(guān)3.2標簽化知識技能體系安人才標簽或一級節(jié)點），分別為密碼學應(yīng)用、Web安全、網(wǎng)絡(luò)滲透、逆向分析、漏洞挖掘與利用、惡意代碼、溯源取證、端點與邊界防護、網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全、安全運維、移動安全、云安全、其中，密碼學是網(wǎng)絡(luò)安全的重要基礎(chǔ)，“密碼學應(yīng)用”關(guān)注網(wǎng)絡(luò)安全中常用的密碼算法實現(xiàn)、加解密技術(shù)應(yīng)用等，不包括與密碼學自身緊密相關(guān)的如數(shù)學理論、加解密算法設(shè)計、密碼算法安全等；屬于應(yīng)用安全且與“網(wǎng)絡(luò)滲透”等一級節(jié)點有交集，但因其重要性和標志性而自成一類；“網(wǎng)絡(luò)滲透”關(guān)注攻擊者綜合運用社工和技術(shù)手段對特定目標實施滲透以獲得遠程目標上的代碼執(zhí)行權(quán)的行為過程；“逆向分析”是網(wǎng)絡(luò)攻防中“變未知為已知”的有效手段，涵蓋了文件格式、動態(tài)分析、脫殼和相關(guān)工具運用等技術(shù)；漏洞是網(wǎng)絡(luò)安全中最受關(guān)注的技術(shù)之一，也常常是攻擊者的“先遣部隊”，“漏洞挖掘與利用”關(guān)注匯編語言、符號執(zhí)行、二進制插樁和相關(guān)工具運用等技術(shù)；“惡意代碼”關(guān)注從自動傳播到規(guī)避對抗的全生命周期關(guān)鍵技術(shù)；“溯源取證”關(guān)注APT取證；“端點與邊界防護”關(guān)注終端防護平臺、端點檢測和響應(yīng)等端點安全技術(shù)，入侵檢測與防御系統(tǒng)、安全審計系統(tǒng)等邊界安全技術(shù)，以及威脅獵殺、數(shù)據(jù)防泄漏等相關(guān)防護技術(shù)與產(chǎn)品；“網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全”關(guān)注芯片、操作系統(tǒng)、核心應(yīng)用軟件、域名系統(tǒng)等的安全；“安全運維”是信息安全建設(shè)不可或缺的一部分，通過注移動設(shè)備、移動無線網(wǎng)絡(luò)安全；“云安全”關(guān)注數(shù)據(jù)丟失與泄露、虛擬化安全等云計算平臺面臨的主要威脅和常用防御手段；“物聯(lián)鏈安全”關(guān)注礦機與礦池、智能合約和數(shù)字錢包等安全技術(shù)；“人工智能安全”關(guān)注人工智能技術(shù)內(nèi)生安全及人工智能應(yīng)用業(yè)務(wù)安全。每個子體系（一級節(jié)點）又分為多個二級節(jié)點，二級節(jié)點分類3.3體系展開實例前序版本基礎(chǔ)上，主體依托國內(nèi)網(wǎng)絡(luò)空間安全行業(yè)某一規(guī)模性公司資深專家提出框架和建議內(nèi)容，邀請國內(nèi)知名網(wǎng)安高校資深學科專密碼技術(shù)是目前世界上公認的、保障網(wǎng)絡(luò)和信息安全最高效、最可靠、最經(jīng)濟的關(guān)鍵核心技術(shù)，在信息化、網(wǎng)絡(luò)化、數(shù)字化高度發(fā)展的今天，密碼技術(shù)的應(yīng)用已經(jīng)滲透到社會生產(chǎn)生活的各個方面，政府、金融、醫(yī)療、運營商等各行業(yè)均積極推動密碼應(yīng)用相關(guān)建設(shè)。本指南聚焦密碼學常見的應(yīng)用領(lǐng)域，密碼學應(yīng)用知識技能包括密碼算法原理、密碼算法實現(xiàn)、密碼硬件設(shè)計制造、商用密碼應(yīng)用安全密碼算法是密碼協(xié)議的基礎(chǔ)。現(xiàn)行的密碼算法主要包括序列密碼、分組密碼、公鑰密碼、散列函數(shù)等，用于保證信息的安全，提供機密性、完整性、不可否認性等能力。序列密碼是一種基于密鑰和明文流逐位異或的加密方式，常見的序列密碼算法包括RC4、Salsa20、Serpent、ZUC（祖沖之算法）等，其密鑰空間相對較小，安全性相對較低，但實現(xiàn)簡單、加解密速度快，適用于對速度要求高、安全性要求較低的場景；分組密碼是一種將明文數(shù)據(jù)分成固定長度的塊AES、SM1、SM4等，其對每個密碼塊獨立進行加密和解密操作，具有較高的安全性和較強的適應(yīng)性；公鑰密碼是一種基于非對稱加密的密碼算法，其中加密和解密使用不同的密鑰，常見算法包括蓋了網(wǎng)絡(luò)通信、電子郵件、數(shù)字簽名、電子支付等領(lǐng)域；散列算法主要作用是將任意長度的消息映射為固定長度的消息，常見算法包是一種常用的消息認證碼，它將散列函數(shù)和密鑰結(jié)合起來，從而保（2）密碼算法實現(xiàn)。密碼算法的實現(xiàn)方式可以分為密鑰生成、加密、解密、密鑰管理等幾個步驟。密鑰生成方式可以是由隨機數(shù)生成器生成一個隨機密鑰，也可以是由用戶設(shè)置一個密鑰；加密是根據(jù)密鑰，將明文數(shù)據(jù)使用密碼算法進行轉(zhuǎn)換，生成密文數(shù)據(jù)；解密是使用與加密密鑰相同或相關(guān)的解密密鑰，將密文數(shù)據(jù)轉(zhuǎn)換為對應(yīng)或相同的明文數(shù)據(jù)；密鑰管理包括密鑰的存儲、備份和使用，保（3）商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用安全性評估是指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)，對其商用密碼應(yīng)用的合規(guī)性、正確性和有效性進行評估。商用密碼應(yīng)用合規(guī)性評估是指判定信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理是否符合法律法規(guī)的規(guī)定和相關(guān)國家標準、行業(yè)標準的有關(guān)要求，使用的密碼產(chǎn)品和密碼服務(wù)是否經(jīng)過國家密碼管理部門核準或由具備資格的機構(gòu)認證合格；商用密碼應(yīng)用正確性評估是指判定密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和服務(wù)使用是否正確，即系統(tǒng)中采用的標準密碼算法、協(xié)議和密鑰管理機制是否按照相應(yīng)的密碼國家和行業(yè)標準進行正確的設(shè)計和實現(xiàn)，自定義密碼協(xié)議、密鑰管理機制的設(shè)計和實現(xiàn)是否正確，安全性是否滿足要求，密碼保障系統(tǒng)建設(shè)或改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用是否正確；商用密碼應(yīng)用有效性評估是指判定信息系統(tǒng)中實現(xiàn)的密碼保障系統(tǒng)是否在信息系統(tǒng)運行過程中發(fā)揮了實際效用，是否滿足了信息系統(tǒng)（4）密碼硬件設(shè)計制造。密碼硬件設(shè)計與制造涵蓋密碼芯片、密碼卡和密碼機。密碼芯片集成了多種密碼算法，提供高速、高效、可靠的密碼能力，是密碼應(yīng)用的重要組成部分。其設(shè)計和制造要求掌握電路設(shè)計、芯片設(shè)計流程、物理設(shè)計、器件選型等技能。密碼卡是一種支持多種密碼算法的計算機外圍設(shè)備，提供數(shù)據(jù)加解密、數(shù)字簽名和驗證等安全服務(wù)，確保信息傳輸安全。其設(shè)計和制造需設(shè)計與測試等技術(shù)。密碼機則具備加解密、數(shù)字簽名、身份認證和隨機數(shù)生成等功能，其設(shè)計和制造要求掌握密碼學、計算機科學、電子電路設(shè)計、嵌入式系統(tǒng)、硬件和軟件開發(fā)、安全設(shè)計與測試等（5）密碼技術(shù)典型應(yīng)用。密碼技術(shù)主要應(yīng)用在物理安全場景、網(wǎng)絡(luò)和通信安全場景、設(shè)備和計算安全場景、應(yīng)用和數(shù)據(jù)安全場景。物理安全場景典型密碼產(chǎn)品包括國密門禁系統(tǒng)、國密音視頻監(jiān)控系統(tǒng)；網(wǎng)絡(luò)和通信安全場景典型密碼產(chǎn)品包括國密安全認證網(wǎng)關(guān)、協(xié)同簽名系統(tǒng)、VPN網(wǎng)關(guān)、服務(wù)器密碼機、統(tǒng)一身份認證系統(tǒng)等；設(shè)KEY、時間戳服務(wù)器、國密瀏覽器、云服務(wù)器密碼機等；應(yīng)用和數(shù)據(jù)安全場景典型密碼產(chǎn)品包括密碼服務(wù)平臺、簽名驗簽系統(tǒng)、密鑰全領(lǐng)域的重要組成部分，涉及從個人隱私保護到企業(yè)數(shù)據(jù)安全的方客戶端信息泄露、劫持攻擊、瀏覽器安全、服務(wù)端信息泄露、SQL注入、文件包含、文件上傳、越權(quán)、反序列化、命令注入、模板注究者應(yīng)掌握的理論知識和基礎(chǔ)技術(shù)，涉及系統(tǒng)、數(shù)據(jù)庫、協(xié)議、編程、操作系統(tǒng)基礎(chǔ)、數(shù)據(jù)庫基礎(chǔ)、社會工程學以及其他安全相關(guān)的覽器中執(zhí)行腳本，并劫持用戶會話、破壞網(wǎng)站或?qū)⒂脩糁囟ㄏ虻綈篊SRF）是指偽造成合法用戶發(fā)起請求，挾持用戶在當前已登錄的用戶瀏覽器向存在漏洞的應(yīng)用程序發(fā)送請求，而這些請求會被應(yīng)用（4）服務(wù)器端請求偽造。服務(wù)器端請求偽造（ServerSideRequestForgery，SSRF）是指攻擊者通過偽造請求，使服務(wù)器在不知情的情況下向指定的目標發(fā)送請求。這種攻擊通常利用服務(wù)器的權(quán)限和信任關(guān)系，訪問內(nèi)部資源或執(zhí)行未授權(quán)的操作。其中攻擊方法包括文件讀取利用、端口掃描、內(nèi)網(wǎng)訪問、攻擊應(yīng)用等。服務(wù)器（5）客戶端信息泄露?？蛻舳诵畔⒅复嬖谟诳桶ɑ拘畔ⅰ⒃O(shè)備信息、賬戶信息、隱私信息等，此信息若保護不當，一旦被攻擊者獲取，就會被利用進行網(wǎng)絡(luò)詐騙、身份仿冒等取、瀏覽歷史記錄獲取、存儲口令獲取、Flash本地共享對象獲取、（6）劫持攻擊。劫持攻擊指攻擊者通過某些特定的手段，將本該正確返回給用戶的數(shù)據(jù)進行攔截，呈現(xiàn)給用戶虛假的信息，主要是通過欺騙的技術(shù)將數(shù)據(jù)轉(zhuǎn)發(fā)給攻擊者。劫持攻擊主要技術(shù)包括（7）瀏覽器安全。瀏覽器是互聯(lián)網(wǎng)最大的入口，是大多數(shù)網(wǎng)絡(luò)用戶使用互聯(lián)網(wǎng)的工具，因此瀏覽器安全是一個極其重要的安全領(lǐng)域。瀏覽器安全主要技術(shù)包括瀏覽器設(shè)置安全、ActiveX、Adobe（8）服務(wù)器端信息泄露。服務(wù)器端信息泄露問題指因錯誤敏感信息可能被攻擊者利用，進而對服務(wù)器發(fā)起針對性攻擊。服務(wù)器端信息泄露主要技術(shù)包括目錄遍歷、文件泄露、源碼泄露、Git信理請求參數(shù)的執(zhí)行邏輯，從而間接對服務(wù)器數(shù)據(jù)庫執(zhí)行增、刪、改、查等操作的行為。SQL注入主要技術(shù)包括聯(lián)合查詢注入、報錯注入、布爾盲注、時間盲注、寬字節(jié)注入、二次注入、堆疊注入、無列名（10）文件包含。文件包含的合法用途是在代碼中引入其他項目中的包、庫等，以實現(xiàn)代碼的有效復用。文件包含漏洞指因編程致使所引用的文件可被攻擊者控制的問題。文件包含主要技術(shù)包括本地文件包含和遠程文件包含。本地文件包含包括偽協(xié)議的利用、日志包含、Session文件包含等；遠程文件包含通常用于引用攻擊者WebShell等惡意文件的安全問題。文件上傳時，通常需要解決文件格式限制繞過、上傳路徑獲取、上傳文件正確解析等問題。文件上傳主要技術(shù)包括基礎(chǔ)上傳、前端繞過、文件繞過、文件后綴檢測繞過、文件內(nèi)容檢測繞過、截斷上傳、解析漏全威脅，攻擊者通過繞過系統(tǒng)的訪問控制機制，獲取或修改未經(jīng)授權(quán)的資源。越權(quán)攻擊主要分為水平越權(quán)和垂直越權(quán)兩種類型，常見的攻擊手法包括直接對象引用、參數(shù)篡改、會話劫持和功能濫用等。（13）反序列化。序列化指編程語言將變量、函數(shù)等對象轉(zhuǎn)化為字節(jié)序列的過程；反之，將字節(jié)序列轉(zhuǎn)化為對象的過程稱為反序列化。反序列化漏洞指攻擊者通過構(gòu)造字節(jié)序列，轉(zhuǎn)化生成惡意對（14）命令注入。命令注入是一種嚴重的安全漏洞，攻擊者通過向應(yīng)用程序傳遞惡意輸入，使其執(zhí)行未預期的操作系統(tǒng)命令，從而控制服務(wù)器或獲取敏感信息。命令注入攻擊可以通過多種途徑實（15）模板注入。模板注入是一種通過向模板引擎?zhèn)鬟f惡意輸入，使引擎將惡意代碼進行解析進而控制服務(wù)器的漏洞。其中包括（16）中間件安全。中間件是為應(yīng)用提供常見服務(wù)與功能的軟件和云服務(wù)，可以幫助開發(fā)和運維人員更高效地構(gòu)建和部署應(yīng)用。WEB前端和后端辦公系統(tǒng)或流程之間的軟件系統(tǒng)，CMS/WEB框架常用于快速的網(wǎng)站建設(shè)。CMS/WEB框架安全問題涉及各類組件、Web應(yīng)用。CMS/WEB框架安全主要技術(shù)包括Struts2漏洞利用、SpringMVC漏洞利用、Django漏洞利用、Flask漏洞利用、（18）WebShell。WebShell是網(wǎng)站后門的一種形式，通常是以以達到控制網(wǎng)站服務(wù)器的目錄。WebShell主要技術(shù)包括一句話木馬、工作效率、發(fā)現(xiàn)潛藏安全問題，使用Web集、漏洞探測、漏洞利用等操作。Web安全工具主要技術(shù)包括瀏覽（20）數(shù)據(jù)庫安全。數(shù)據(jù)庫安全指數(shù)據(jù)庫管理系統(tǒng)的安全問題，據(jù)庫安全對防止黑客入侵、防止數(shù)據(jù)被竊取以及破壞具有重要意義。問題及未來新出現(xiàn)的問題或方法技術(shù)。主要技術(shù)包括邏輯漏洞利用、在信息化和數(shù)字化的時代背景下，各類基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)等成為了企業(yè)和組織不可或缺的一部分，但其面臨的威脅也日益復雜和多樣化。網(wǎng)絡(luò)滲透是模擬攻擊者的攻擊行為來發(fā)現(xiàn)系統(tǒng)潛在安全風險的方法，通過全面的網(wǎng)絡(luò)滲透測試，評估和提升網(wǎng)絡(luò)和系統(tǒng)的安全性。本指南基于攻擊者入侵的視角，聚焦網(wǎng)絡(luò)滲透流程方法，將網(wǎng)絡(luò)滲透方向劃分為目標偵察、資源準備、邊界突破、攻擊執(zhí)行、權(quán)限維持、權(quán)限提升、防御規(guī)避、憑據(jù)獲取、環(huán)境探測、橫向移動、集和網(wǎng)絡(luò)信息釣魚等技術(shù)方法，盡可能全面地獲取目標情報信息，以制定針對性的行動策略，提高滲透的效率和成功率。此類信息通（2）資源準備。資源準備是指在對目標發(fā)起攻擊動作之前，需要準備的基礎(chǔ)設(shè)施資源、虛擬身份、滲透工具等。因此，資源準備（3）邊界突破。邊界突破是指使用各種攻擊技術(shù)手段獲得目標網(wǎng)絡(luò)或系統(tǒng)初始入口點權(quán)限，從而突破網(wǎng)絡(luò)邊界，以展開后續(xù)的網(wǎng)絡(luò)滲透。邊界突破常用技術(shù)包括水坑攻擊、公開服務(wù)漏洞利用、訪（4）攻擊執(zhí)行。攻擊執(zhí)行是指通過本地或遠程的方式在受害服務(wù)器上執(zhí)行命令和代碼的技術(shù)，通過執(zhí)行命令或代碼，以達到惡意目的。攻擊執(zhí)行常用技術(shù)包括云原生命令利用、腳本解釋器利用、（5）權(quán)限維持。權(quán)限維持是指發(fā)生重新啟動、憑據(jù)修改等其他可能切斷與受害系統(tǒng)連接事件的情況下，保持對系統(tǒng)的持續(xù)訪問的相關(guān)技術(shù)。權(quán)限維持常用技術(shù)包括后門賬戶、惡意文件落地、惡意程序/腳本自啟動、軟件后門植入、容器鏡像后門、劫持攻擊、Office（6）權(quán)限提升。權(quán)限提升是指攻擊者為了能夠在受害者主機或網(wǎng)絡(luò)中獲得更多資源、擴大攻擊影響范圍采取的攻擊技術(shù)，主要目的是獲取管理員、系統(tǒng)級別的執(zhí)行權(quán)限。權(quán)限提升常用技術(shù)包括配置濫用提權(quán)、訪問令牌竊取提權(quán)、域策略修改提權(quán)、容器逃逸提權(quán)、特權(quán)事件觸發(fā)利用提權(quán)、軟件漏洞提權(quán)、操作系統(tǒng)安全機制繞過提（7）防御規(guī)避。防御規(guī)避是指在整個入侵過程中避免被目標和防護設(shè)備發(fā)現(xiàn)所使用到的技術(shù)。防御規(guī)避的技術(shù)包括調(diào)試器規(guī)避、域環(huán)境策略修改、殺毒軟件靜態(tài)繞過、殺毒軟件主動防御繞過和后（8）憑據(jù)獲取。憑據(jù)獲取是指通過技術(shù)手段獲取賬戶憑證據(jù)、證書等身份認證信息，從而突破身份驗證措施，以便后續(xù)滲透的工作開展。憑據(jù)獲取的主要技術(shù)包括中間人攻擊、暴力破解、應(yīng)用憑證收集、操作系統(tǒng)憑證轉(zhuǎn)儲、MFA認證攻擊、驗證證書竊取、（9）環(huán)境探測。環(huán)境探測是指通過技術(shù)方法獲取已失陷系統(tǒng)主機情況和內(nèi)部網(wǎng)絡(luò)架構(gòu)、服務(wù)開放情況，從而確定下一步滲透方向。環(huán)境探測主要技術(shù)包括主機信息收集、網(wǎng)絡(luò)信息收集、組/域策略信（10）橫向移動。橫向移動是在攻擊者進入目標網(wǎng)絡(luò)后，在目標內(nèi)部橫向擴散，以獲得更高級別目標的執(zhí)行權(quán)限或獲取更多有價值數(shù)據(jù)的過程。橫向移動主要技術(shù)包括遠程服務(wù)利用、內(nèi)網(wǎng)魚叉式（11）敏感信息收集。敏感信息收集是攻擊者對賬戶憑證、敏感配置、敏感數(shù)據(jù)等敏感信息進行針對性收集的過程。敏感信息收集主要技術(shù)包括瀏覽器敏感信息獲取、敏感配置信息獲取、敏感數(shù)（12）遠程控制。遠程控制是指攻擊者在滲透過程中需要搭建穩(wěn)定的用于遠程訪問失陷系統(tǒng)和主機的流量隧道，用于遠程命令下發(fā)和系統(tǒng)控制，同時結(jié)合編碼、加密等技術(shù)提升隧道隱蔽性。遠程控制主要技術(shù)包括應(yīng)用層協(xié)議傳輸控制、數(shù)據(jù)編碼/混淆/加密、第三（13）數(shù)據(jù)竊取。數(shù)據(jù)竊取是指在滲透過程中獲取到敏感信息和重要數(shù)據(jù)時，使用各種方式將其傳輸?shù)绞菹到y(tǒng)外部，以實現(xiàn)數(shù)逆向分析是通過分析目標程序的結(jié)構(gòu)、功能和行為來理解其工作原理的一種技術(shù)。它集技術(shù)性、挑戰(zhàn)性、實用性于一體，通過深入剖析程序內(nèi)部邏輯與實現(xiàn)細節(jié)，為安全防御體系構(gòu)建和潛在脆弱環(huán)節(jié)發(fā)掘提供有力支撐，在軟件安全、惡意代碼分析、漏洞挖掘等領(lǐng)域有著廣泛的應(yīng)用。本指南聚焦于逆向分析技術(shù)體系，將逆向分析技術(shù)體系劃分為基礎(chǔ)知識、工具使用、低級語言分析、高級語言逆向分析、文件格式分析、靜態(tài)分析對抗、動態(tài)調(diào)試對抗、脫殼分知識和基礎(chǔ)實踐能力。逆向分析基礎(chǔ)主要包括寄存器基礎(chǔ)、內(nèi)存基（2）逆向分析工具使用。逆向分析工具使用是指借助已有的逆向分析工具以及相關(guān)插件，或者自己實現(xiàn)相關(guān)的分析工具，可以有效減少重復勞動，甚至是極大的提高逆向分析的效率。逆向分析工具主要包括DetectItEasy使用、x64dbg及相用、Ghidra及相關(guān)插件使用、ResourceHacker使用、Spy++使用、（3）低級語言分析。低級語言通常指匯編語言。在沒有編譯器的情況下，其按照標準文檔可以與機器指令互相轉(zhuǎn)換，也正因為如此，二進制程序在沒有源代碼的情況下可以被反匯編成匯編語言并在此基礎(chǔ)上進行安全分析。與二進制程序被反匯編成匯編代碼類似，腳本語言代碼編譯后生成的字節(jié)碼文件可以被反編譯成對應(yīng)的中間語言，并且中間語言通?？梢员贿€原成類似原始腳本語言源代碼的言分析、MIPS匯編語言分析、Smali語言分析、MSIL（Microsoft（4）高級語言逆向分析。高級語言逆向分析是一個廣泛而復雜的領(lǐng)域，涵蓋了多種編程語言和逆向分析技術(shù)，不同的編程語言具有不同的特點和逆向分析挑戰(zhàn)。高級語言逆向分析主要包括C/C++（5）文件格式分析。文件格式指文件的內(nèi)部構(gòu)成方式。在計算機系統(tǒng)中，文件格式類型多種多樣，對機器本身而言均為二進制數(shù)據(jù)格式，在逆向分析時，對可執(zhí)行文件格式進行分析是一個重要環(huán)節(jié)，其主要相關(guān)技術(shù)包括PE（PortableExecutable）文件格式分析、（6）靜態(tài)分析對抗。逆向?qū)梗捶茨嫦颍┡c逆向分析是一場持久的對抗。逆向分析人員可以通過逆向分析來理解目標程序的內(nèi)部實現(xiàn)邏輯，開發(fā)人員也可以通過相關(guān)技術(shù)來提高逆向分析人員的分析成本，以降低程序在短時間內(nèi)被其他人員成功逆向分析的風險。根據(jù)逆向分析方式的不同，逆向分析對抗技術(shù)可以劃分為靜態(tài)分析對抗與動態(tài)調(diào)試對抗。靜態(tài)分析對抗主要技術(shù)包括花指令混淆、（7）動態(tài)調(diào)試對抗。動態(tài)調(diào)試對抗即檢測當前程序是否正在被調(diào)試器調(diào)試，如果是則作出相應(yīng)的對抗行為，例如進入不同的代碼分支、退出進程，甚至是利用調(diào)試環(huán)境的漏洞發(fā)起攻擊等。動態(tài)調(diào)反調(diào)試、HeapMagic檢測反調(diào)試、ProcessDebugPort檢測反調(diào)試、ThreadHideFromDebugger反調(diào)試、DebugObject檢測反調(diào)試、0xCC塊檢測反調(diào)試、窗口標題檢測反調(diào)試、父進程檢測反調(diào)試、時間差（8）脫殼分析。加殼程序可以在不改變原有程序功能的基為其提供一層“保護殼”，從而增加逆向分析的成本。對于經(jīng)過加殼保護的程序，逆向分析人員的首要工作是對其進行脫殼，之后才（9）操作系統(tǒng)機制分析。操作系統(tǒng)是計算機系統(tǒng)的核心，它管理和協(xié)調(diào)計算機硬件和軟件資源，為用戶和應(yīng)用程序提供了一個高效、可靠、安全的運行環(huán)境。深入理解操作系統(tǒng)的內(nèi)部機制是進行系統(tǒng)級逆向分析的基礎(chǔ)。操作系統(tǒng)機制分析涉及多個方面，主要包括保護模式分析、進程/線程管理分析、設(shè)備通信管理分析、異步調(diào)用機制分析、內(nèi)存管理分析、中斷處理分析、事件處理分析、異常處理分析、內(nèi)存管理分析、消息機制分析、調(diào)試機制分析、虛擬化漏洞挖掘與利用是信息安全領(lǐng)域中的重要方向，旨在發(fā)現(xiàn)、分析并利用軟件或系統(tǒng)中的安全漏洞，從而評估和提高系統(tǒng)的安全性。通過系統(tǒng)化的漏洞挖掘與利用，可以提前發(fā)現(xiàn)潛在的安全隱患，并采取有效的防護措施，減少攻擊帶來的風險和損失。本指南聚焦于漏洞挖掘與利用技術(shù)體系，將漏洞挖掘與利用技術(shù)體系劃分為基礎(chǔ)技術(shù)、符號執(zhí)行、模糊測試、漏洞利用、緩解機制繞過、代碼審計研究領(lǐng)域中應(yīng)當掌握的基礎(chǔ)理論知識和技術(shù)實踐能力，涉及匯編語及進程管理、內(nèi)存管理等操作系統(tǒng)原理和機制?；A(chǔ)技術(shù)包括了函（2）符號執(zhí)行。符號執(zhí)行是指一種程序分析技術(shù)，用于系統(tǒng)地探索程序的所有可能執(zhí)行路徑，以發(fā)現(xiàn)潛在的錯誤或漏洞。使用符號執(zhí)行分析特定程序時，該程序會使用符號值作為輸入，而非一般執(zhí)行程序時所使用的具體值；在到達目標代碼時，分析器可以得到相應(yīng)的路徑約束，然后通過約束求解器來得到可以觸發(fā)目標代碼的（3）模糊測試。模糊測試（Fuzzing）是指通過向程序輸入大量隨機或半隨機數(shù)據(jù)，以發(fā)現(xiàn)程序中的漏洞和缺陷的一種自動化軟件測試技術(shù)。其主要目標是通過異常輸入觸發(fā)程序的未定義行為，從而找到潛在的安全漏洞。模糊測試主要技術(shù)包括PeachFuzzer（4）漏洞利用。漏洞利用是指通過觸發(fā)特定缺陷或漏洞，從而執(zhí)行未經(jīng)授權(quán)的操作或取得對系統(tǒng)的控制。漏洞利用主要技術(shù)包括棧緩沖區(qū)溢出利用、堆緩沖區(qū)溢出利用、數(shù)組越界訪問、釋放后重引用利用、雙重釋放利用、符號溢出利用、內(nèi)存未初始化利用、條件競爭利用、類型混淆利用、格式化字符串利用、空指針引用利用增強軟件和系統(tǒng)的安全性，降低漏洞利用的成功率。繞過緩解機制需要深入理解其工作原理和潛在弱點，涉及多種技術(shù)手段和工具。（6）代碼審計。代碼審計是指在不實際執(zhí)行程序的情況下，對代碼語義和行為進行分析，由此找出程序中由于錯誤的編碼導致異常的程序語義或未定義的行為。它能在軟件開發(fā)流程早期就發(fā)現(xiàn)代碼中的各種問題，從而提高開發(fā)效率和軟件質(zhì)量。代碼審計主要技術(shù)包括Codeql使用、ASAN使用、Cppcheck使用、Clangstatic惡意代碼是一種用來破壞、竊取或篡改計算機系統(tǒng)及其數(shù)據(jù)的代碼。它包括病毒、蠕蟲、特洛伊木馬、勒索軟件、間諜軟件和廣告軟件等類型。這些代碼可以通過電子郵件附件、惡意網(wǎng)站、感染的軟件或其他載體傳播。一旦被執(zhí)行，惡意代碼可能導致系統(tǒng)性能下降、數(shù)據(jù)丟失、隱私泄露或直接經(jīng)濟損失。本指南聚焦于惡意代碼分析技術(shù)，從惡意代碼的自動傳播、駐留與持久化、遠程控制與生的能力，堪稱惡意代碼區(qū)別于其他網(wǎng)絡(luò)攻擊形態(tài)的獨有特性。自移動存儲介質(zhì)感染、網(wǎng)頁感染（網(wǎng)站掛馬）、口令與網(wǎng)絡(luò)共享、P2P網(wǎng)絡(luò)污染、軟件供應(yīng)鏈污染、郵件/短消息釣魚、DNS/Cache投毒、（2）駐留與持久化。駐留與持久化技術(shù)是幫助惡意代碼在系統(tǒng)重啟后再次獲得執(zhí)行機會而又不引起明顯異常，從而實現(xiàn)盡可能長時間的生存。駐留與持久化技術(shù)包括基于啟動項啟動與駐留、基于注冊表啟動與駐留、基于計劃任務(wù)啟動與駐留、基于系統(tǒng)服務(wù)啟動與駐留、基于驅(qū)動程序啟動與駐留、基于文件替換啟動與駐留、MBR/BIOS/UEFI/Hypervisor級駐留、基于隱蔽賬號持久化、基于后（3）遠程控制與數(shù)據(jù)回傳。遠程控制主要是針對僵尸網(wǎng)絡(luò)來管理大規(guī)?！笆菘蛻簟保h控木馬側(cè)重建立輕量級命令與控制信道管理小規(guī)?！芭挚蛻簟?；數(shù)據(jù)回傳，指的是將被控端上的感興趣數(shù)據(jù)以良好的穿透性、隱蔽性回傳給攻擊者的過程。遠程控制與網(wǎng)控制、基于聲光電磁的近距離通信、流量加密與偽裝、基于IRC控制與數(shù)據(jù)回傳、基于P2P的遠程控制、數(shù)據(jù)壓縮、編碼與加密以（4）情報獲取。獲取情報是惡意代碼主要危害之一。遠控木馬意代碼更關(guān)注敏感文件、鍵盤與屏幕等可獲取商業(yè)與軍事機密的情報。情報獲取技術(shù)包括身份竊取、鍵盤記錄、屏幕捕獲、聲音/視頻記錄、文件枚舉與匹配、高價值用戶識別、物理位置記錄、網(wǎng)絡(luò)監(jiān)（5）降級與破壞。降級與破壞是指通過干擾、篡改、攻擊等方式，降低目標網(wǎng)絡(luò)、系統(tǒng)、設(shè)備等的正常服務(wù)與運行能力，甚至徹底破壞目標的生存。對信息系統(tǒng)造成降級和破壞是惡意代碼的主要干擾與劫持、硬件/固件破壞、數(shù)據(jù)刪除與篡改、磁盤與分區(qū)破壞等。拉開帷幕并不斷升級演進。今天的惡意代碼采用的規(guī)避手段早已超越病毒時代的EPO、多態(tài)、變形和加殼，而且已不限于純技術(shù)手段，而殺毒軟件也從單一化終端軟件演化為端-網(wǎng)-云全覆蓋、融入人工智能技術(shù)、具備態(tài)勢感知能力的疊加演進防御體系。規(guī)避與對抗的技術(shù)包括反病毒軟件繞過、虛擬機/沙箱識別與穿透、防火墻穿透、代碼混淆、安全軟件關(guān)停與破壞、合法證書簽名、插件動態(tài)下載、身份痕跡擦除與偽裝、載荷與意圖隱藏、加殼、白名單進程利用、多（7）獲利。惡意代碼入侵成功后的獲利方式。獲利技術(shù)包括勒在網(wǎng)絡(luò)安全領(lǐng)域，溯源取證是指通過科學的方法和專業(yè)的工具收集、保留證據(jù)，對網(wǎng)絡(luò)攻擊或安全事件的來源、路徑及相關(guān)證據(jù)進行深入追蹤與分析的過程；旨在確定攻擊者的身份、行為模式、攻擊手段和攻擊動機，并以收集到的充足證據(jù)有效支持后續(xù)的法律蹤溯源和網(wǎng)絡(luò)犯罪取證，是維護網(wǎng)絡(luò)安全、打擊網(wǎng)絡(luò)犯罪的關(guān)鍵環(huán)節(jié)。本指南聚焦于溯源取證知識技術(shù)體系建設(shè)及其實戰(zhàn)應(yīng)用，將溯源取證劃分為數(shù)據(jù)和權(quán)限恢復、網(wǎng)絡(luò)欺騙與誘捕反制、日志審計、用戶與設(shè)備追蹤、隱私數(shù)據(jù)挖掘、數(shù)據(jù)分析與攻擊者畫像、常用工合甚至故意破壞的情況下，訪問其存儲介質(zhì)、物理設(shè)備、網(wǎng)絡(luò)服務(wù)的取證技術(shù)手段。數(shù)據(jù)和權(quán)限恢復知識技能包括磁盤分區(qū)、文件系統(tǒng)、恢復刪除分區(qū)、恢復刪除文件、損壞分區(qū)文件恢復、損壞介質(zhì)數(shù)據(jù)恢復、損壞截止硬件修復、損壞數(shù)據(jù)軟件修復、損壞文件修復、數(shù)據(jù)庫恢復、隱寫文件破解、字符串密碼恢復、手勢密碼破解、動（2）網(wǎng)絡(luò)欺騙與誘捕反制。網(wǎng)絡(luò)欺騙是指為使用騙局或者假動作來誤導攻擊行為，誘捕網(wǎng)絡(luò)攻擊，從而更好地為溯源取證創(chuàng)造條件。誘捕反制是指一種高效的溯源取證手段，但是可能涉及司法有效性問題。網(wǎng)絡(luò)欺騙主要技能包括虛假網(wǎng)絡(luò)構(gòu)建、欺騙主機與網(wǎng)絡(luò)設(shè)備構(gòu)建、蜜罐與蜜餌部署；誘捕反制主要技術(shù)包括命令與控制信（3）日志審計。日記審計是指通過審計各類日志可以發(fā)現(xiàn)網(wǎng)絡(luò)攻擊留下的時間、活動、IP地址、漏洞利用代碼、賬號等線索，從而分析出網(wǎng)絡(luò)攻擊大致的源頭和過程。日記審計主要技能包括系統(tǒng)日志審計、數(shù)據(jù)庫日志審計、網(wǎng)絡(luò)服務(wù)日志審計、防火墻日志審計、網(wǎng)絡(luò)準入控制日志審計、上網(wǎng)行為管理日志審計、主機安全與惡意代碼防護日志審計、漏洞檢測與管理日志審計、身份與訪問安全日（4）用戶與設(shè)備追蹤。用戶與設(shè)備追蹤主要解決兩方面問題：第一，建立攻擊者的網(wǎng)絡(luò)身份、真實身份、設(shè)備和攻擊事件間的交叉關(guān)聯(lián)關(guān)系，并形成持續(xù)穩(wěn)定追蹤以刻畫整個攻擊過程甚至揭露攻擊者的真實身份；第二，追蹤攻擊行為本身及附加行為所產(chǎn)生的網(wǎng)絡(luò)痕跡，以發(fā)現(xiàn)其與攻擊者真實身份的關(guān)聯(lián)線索。用戶與設(shè)備追蹤主要技術(shù)包括多類型文檔蜜標追蹤、郵件蜜標追蹤、暗網(wǎng)活動追蹤、（5）隱私數(shù)據(jù)挖掘。隱私數(shù)據(jù)挖掘是指在溯源取證過程中可對用戶主動公開的個人數(shù)據(jù)、網(wǎng)絡(luò)服務(wù)商安全措施保護范圍之外的數(shù)據(jù)、執(zhí)法機構(gòu)依法獲取的數(shù)據(jù)、攻擊者在惡意代碼中泄露的隱私數(shù)據(jù)進行主動提取和分析，合理合法地利用這些數(shù)據(jù)進行溯源取證。因此，隱私數(shù)據(jù)挖掘主要技術(shù)包括即時聊天數(shù)據(jù)獲取、手機通訊內(nèi)容獲取、社交網(wǎng)絡(luò)數(shù)據(jù)獲取、云服務(wù)數(shù)據(jù)獲取、域名注冊信息（Whois）獲取、文檔元數(shù)據(jù)（Metadata）提取、文檔內(nèi)嵌字體提取、惡意代碼字符串提取、惡意代碼網(wǎng)絡(luò)行為提取、惡意代碼主機行為（6）數(shù)據(jù)分析與攻擊者畫像。數(shù)據(jù)分析與攻擊畫像是指溯源攻擊者身份最為重要的環(huán)節(jié)，基于已獲取的關(guān)鍵線索，以威脅情報等數(shù)據(jù)為信息儲備，利用大數(shù)據(jù)、人工智能等技術(shù)手段，實現(xiàn)線索溯源與攻擊者身份映射，最大程度刻畫其身份特征。數(shù)據(jù)分析與攻擊者畫像主要技能包括利益相關(guān)性分析、TTP特征分析與關(guān)聯(lián)、時區(qū)特征分析、語言/語種與文化特征分析、特征字符串發(fā)現(xiàn)與關(guān)聯(lián)、惡意代碼同源分析、域名網(wǎng)站關(guān)聯(lián)分析、字符串自然語義分析、特征字符串識別與關(guān)聯(lián)、影像線索識別與分析、IP設(shè)備/賬號/服務(wù)交叉使用關(guān)聯(lián)、威脅情報庫建設(shè)與應(yīng)用、樣本開發(fā)路徑、樣本技戰(zhàn)術(shù)分析、攻擊事件仿冒和假旗分析、基礎(chǔ)設(shè)施特征關(guān)OfficePasswordRecovery、Nirsoft工具集、Brutus、THCHydra、Hashcat、WinHex、ExifTool、微軟Sysinternals工具包、CuckooSandbox、常用系統(tǒng)命令、在線威脅情報平臺、網(wǎng)絡(luò)社工庫、在線加端點與邊界防護是指通過一系列技術(shù)手段，保護網(wǎng)絡(luò)中的終端設(shè)備和網(wǎng)絡(luò)邊界免受惡意入侵、數(shù)據(jù)竊取及其他安全威脅。它涵蓋了對端點設(shè)備的監(jiān)控、訪問控制和數(shù)據(jù)防泄漏等技術(shù)，以及在網(wǎng)絡(luò)邊界通過防火墻、入侵檢測與防御等技術(shù)過濾和阻止?jié)撛谕{。本指南聚焦保障網(wǎng)絡(luò)安全的關(guān)鍵防線，將端點與邊界防護體系劃分為端點與邊界識別、端點與邊界規(guī)劃、端點安全防護、邊界安全防護、通過提升組織對網(wǎng)絡(luò)安全風險的認識能力，加以對系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)以及功能等進行網(wǎng)絡(luò)安全管理，旨在提升組織對自身的認知。端點與邊界識別技術(shù)包括資產(chǎn)發(fā)現(xiàn)技術(shù)、資產(chǎn)關(guān)系分析、供應(yīng)鏈識別、網(wǎng)絡(luò)環(huán)境識別、硬件識別、固件識別、操作系統(tǒng)識別、中間件識別、應(yīng)用軟件識別、執(zhí)行體對象信譽分析、安全策略配置識別、用戶權(quán)限配置識別、開放端口識別、網(wǎng)絡(luò)行為數(shù)據(jù)分析、系統(tǒng)行為數(shù)據(jù)分析、設(shè)備接入數(shù)據(jù)分析、用戶訪問數(shù)據(jù)分析、運維操作（2）端點與邊界規(guī)劃。端點與邊界規(guī)劃是建立防御主動性的前提，是指對關(guān)鍵系統(tǒng)要素制定標準、定義系統(tǒng)控制原則或利用資產(chǎn)、拓撲、場景以及環(huán)境等的識別進行模擬的過程，旨在更好的與對手進行威脅對抗活動。端點與邊界規(guī)劃技術(shù)包括微隔離、AD/LDAP域控制、網(wǎng)絡(luò)通聯(lián)管控、網(wǎng)絡(luò)流量威脅檢測配置、文件對象威脅檢測配置、防勒索檢測配置、審計策略配置、進程隔離、外聯(lián)管控、主機行為管控、配置基線、配置加固、數(shù)據(jù)分類分級、身份認證與授（3）端點安全防護。端點安全防護是對威脅做出的防御行為。是指通過制定并執(zhí)行具有針對性的保障措施，使組織具備限制或控制潛在網(wǎng)絡(luò)安全事件產(chǎn)生影響的能力，旨在確保關(guān)鍵服務(wù)的網(wǎng)絡(luò)安全性。端點安全防護技術(shù)包括系統(tǒng)登錄身份鑒別防護、設(shè)備接入內(nèi)核管控、網(wǎng)絡(luò)流量內(nèi)核管控、網(wǎng)絡(luò)流量協(xié)議解析、WEB瀏覽器插件（4）邊界安全防護。邊界安全防護是對威脅做出的防御行為。是指通過制定并執(zhí)行具有針對性的保障措施，使組織具備限制或控制潛在網(wǎng)絡(luò)安全事件影響的能力，旨在確保關(guān)鍵服務(wù)的網(wǎng)絡(luò)安全性。邊界安全防護技術(shù)包括基于設(shè)備認證的網(wǎng)絡(luò)準入控制、虛擬專用網(wǎng)絡(luò)接入審查與防護、端口訪問控制、網(wǎng)關(guān)訪問控制、協(xié)議訪問控制、（5）端點與邊界檢測。端點與邊界檢測是發(fā)現(xiàn)、定位和定性網(wǎng)絡(luò)安全威脅方法的統(tǒng)稱。是指制定并執(zhí)行適當?shù)男袆訉吔?、端點、流量等進行檢測，發(fā)現(xiàn)系統(tǒng)存在或潛在的漏洞、風險等，旨在避免網(wǎng)絡(luò)安全事件的發(fā)生。端點與邊界檢測技術(shù)包括系統(tǒng)環(huán)境檢測、文件檢測、文件YARA檢測、文件緩存檢測、內(nèi)存數(shù)據(jù)檢測、可疑載荷檢測、異常進程檢測、全流量解析還原、C2檢測、惡意代碼加密流量檢測、異常通聯(lián)檢測、郵件還原檢測、系統(tǒng)漏洞檢測、應(yīng)（6）端點與邊界響應(yīng)。端點與邊界響應(yīng)是處理、管理風險和威脅事件的過程。指通過制定并執(zhí)行適當?shù)男袆?，利用組織所具備的控制潛在網(wǎng)絡(luò)安全事件影響的能力，對檢測到的網(wǎng)絡(luò)安全事件采取處置措施，旨在清除網(wǎng)絡(luò)安全事件影響。端點與邊界響應(yīng)技術(shù)包括流量留存、證據(jù)簽名、憑證對象處置、扇區(qū)對象處置、文件對象處置、內(nèi)存對象處置、流量重定向、協(xié)議過濾、訪問控制策略調(diào)整、清除立足點、漏洞修復、系統(tǒng)重建、數(shù)據(jù)恢復、安全策略調(diào)整以及網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全旨在保護國家和社會賴以運行的核心設(shè)施的安全性。這些設(shè)施一旦遭到破壞或數(shù)據(jù)泄露，將對國家安全、經(jīng)濟發(fā)展和公共利益造成嚴重威脅。網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全關(guān)注保護這些設(shè)施的完整性、可用性和敏感數(shù)據(jù)的保密性，對于維護國家安全、社會穩(wěn)定和經(jīng)濟發(fā)展至關(guān)重要。本指南聚焦于網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全技術(shù)體系，將網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全劃分為域名系統(tǒng)安全、射轉(zhuǎn)換，是支撐網(wǎng)絡(luò)設(shè)備互聯(lián)、網(wǎng)絡(luò)資源訪問、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)服務(wù)等的網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施。域名系統(tǒng)在支撐互聯(lián)網(wǎng)持續(xù)高效平穩(wěn)地運行的同時，也遭受著包括緩沖區(qū)溢出攻擊、域名污染、域名欺騙、拒絕服務(wù)攻擊在內(nèi)的各類攻擊。域名系統(tǒng)安全技術(shù)主要包含防止單點故障、限制區(qū)傳輸、查詢限制、反欺騙措施、抗DDOS攻擊、緩（2）路由系統(tǒng)安全。路由系統(tǒng)安全是指作為網(wǎng)絡(luò)互聯(lián)的重要基礎(chǔ)功能，以各類路由器為核心部件的路由系統(tǒng)成為關(guān)鍵基礎(chǔ)設(shè)施中重要的安全防護目標。路由系統(tǒng)安全主要技術(shù)包括身份認證、ACL訪問控制、端口及服務(wù)配置管理、NAT網(wǎng)絡(luò)地址轉(zhuǎn)換、路由協(xié)議認（3）網(wǎng)絡(luò)設(shè)施通信安全。通信網(wǎng)絡(luò)安全是指保護通信網(wǎng)絡(luò)（例如互聯(lián)網(wǎng)、移動通信網(wǎng)絡(luò)等）和其中的信息免受非法訪問、攻擊、破壞和竊取的一系列技術(shù)和管理措施。通信網(wǎng)絡(luò)安全主要技術(shù)包括網(wǎng)絡(luò)身份驗證、安全加密協(xié)議、VPN虛擬專用網(wǎng)絡(luò)、網(wǎng)絡(luò)防病毒、（4）芯片安全。芯片處于整個系統(tǒng)最底層，它的安全問題會帶來系統(tǒng)軟件、應(yīng)用軟件、互聯(lián)網(wǎng)絡(luò)等一系列的安全問題，并且無法通過傳統(tǒng)手段加以解決，軟件和硬件聯(lián)合起來是解決芯片安全問題的重要手段。芯片硬件安全問題有很多，包括未知的軟硬件漏洞、預設(shè)的軟硬件后門、智能持續(xù)病毒攻擊等。芯片安全需要綜合考慮設(shè)計、制造、封裝過程中存在的漏洞，通過安全的芯片架構(gòu)以及相關(guān)的檢測防御技術(shù)來保證。芯片安全主要技術(shù)包括側(cè)信道攻擊、故障注入攻擊、芯片逆向工程、侵入式攻擊、物理不可克隆函數(shù)、測（5）災(zāi)難恢復與備份。災(zāi)難恢復與業(yè)務(wù)連續(xù)性對于網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施安全具有重要意義。它不僅可以幫助企業(yè)防止業(yè)務(wù)中斷、保護企業(yè)聲譽和符合法規(guī)要求，還可以降低財務(wù)損失、保障客戶信任和提高組織彈性。災(zāi)難恢復與備份主要技能包含數(shù)據(jù)與配置備份、安全運維是維護信息系統(tǒng)安全穩(wěn)定運行的核心環(huán)節(jié)。在信息化、網(wǎng)絡(luò)化、數(shù)字化飛速發(fā)展的時代背景下，安全運維通過實時監(jiān)測、風險預警、應(yīng)急響應(yīng)等措施，構(gòu)筑起堅固的網(wǎng)絡(luò)安全防線，確保數(shù)據(jù)資產(chǎn)不受侵害，以及網(wǎng)絡(luò)系統(tǒng)能夠穩(wěn)定、安全、高效的運行。本指南聚焦于安全運維技術(shù)體系，將安全運維劃分為資產(chǎn)監(jiān)測、資產(chǎn)管理、配置核查、安全基線與加固、賬戶管理、漏洞掃描、安全設(shè)確保企業(yè)運維資產(chǎn)不被遺漏，IT資產(chǎn)在可見、可控和可管條件下實施。資產(chǎn)監(jiān)測主要包括網(wǎng)絡(luò)拓撲監(jiān)測、企業(yè)網(wǎng)絡(luò)流量資產(chǎn)被動探測、內(nèi)網(wǎng)資產(chǎn)主動探測、應(yīng)用和服務(wù)監(jiān)測、終端設(shè)備監(jiān)測、數(shù)據(jù)庫監(jiān)測、安全事件監(jiān)測、操作系統(tǒng)狀態(tài)監(jiān)測、Docker容器狀態(tài)監(jiān)測、業(yè)務(wù)系（2）資產(chǎn)管理。資產(chǎn)管理是安全運維重要工作之一。資產(chǎn)管理設(shè)備等，確保這些資產(chǎn)處于最佳運行狀態(tài)。資產(chǎn)管理主要包括資產(chǎn)識別、資產(chǎn)評估、資產(chǎn)清單編制、資產(chǎn)標識管理、資產(chǎn)管理制度的（3）配置核查。配置核查是安全運維日常工作之一。運維工作性以及合規(guī)性。配置核查主要包括網(wǎng)絡(luò)設(shè)備配置核查、操作系統(tǒng)配置核查、網(wǎng)絡(luò)安全策略配置核查、中間件安全配置核查、業(yè)務(wù)應(yīng)用（4）安全基線與加固。安全基線與加固是安全運維重要工作之一。通過建立安全基線，確保企業(yè)安全建設(shè)符合國家政策需求和企業(yè)自身安全建設(shè)的最低要求。安全基線與加固主要包括等級保護合規(guī)性檢查、補丁分發(fā)與更新、應(yīng)用軟件信息與漏洞庫關(guān)聯(lián)核查、網(wǎng)絡(luò)設(shè)備安全基線核查與加固、操作系統(tǒng)安全基線核查與加固、中間（5）賬戶管理。賬戶管理是力圖消除企業(yè)員工賬戶使用不規(guī)范、不合規(guī)帶來的安全隱患，避免因員工賬戶、口令和權(quán)限的安全問題給整個企業(yè)網(wǎng)絡(luò)環(huán)境帶來更大的安全隱患。賬戶管理主要包括賬戶統(tǒng)一權(quán)限管理、賬戶口令合規(guī)與認證、VPN賬戶配置與管理、堡壘機賬戶權(quán)限管理、數(shù)據(jù)庫賬戶配置與管理、網(wǎng)絡(luò)設(shè)備賬戶配置與管（6）漏洞掃描。漏洞掃描是安全運維日常主要工作之一。通過漏洞掃描與漏洞巡檢，能夠全面了解企業(yè)網(wǎng)絡(luò)安全風險狀況，及時了解新增的高危漏洞和企業(yè)暴露的漏洞情況。漏洞掃描工作主要包探測、操作系統(tǒng)漏洞批量檢測、中間件命令執(zhí)行漏洞批量檢測、組（7）安全設(shè)備運維。安全設(shè)備運維是安全運維日常主要工作之一。通過安全設(shè)備運維來保障企業(yè)的安全防護體系不被隨意打破。與維護、網(wǎng)閘（網(wǎng)絡(luò)安全隔離設(shè)備）配置與維護、VPN配置與維護、防病毒軟件特征庫配置與維護、安全事件日志審計以及數(shù)據(jù)庫安全安全設(shè)備/系統(tǒng)的告警，保障企業(yè)能夠有效地檢測與防御外部攻擊，并且能夠及時發(fā)現(xiàn)與修復企業(yè)自身的安全缺陷。告警處置主要包括安全設(shè)備誤報分析、安全設(shè)備告警優(yōu)化、事件真實性研判、失陷范圍排查與資產(chǎn)定位、告警原因分析、攻擊行為回放、攻擊行為評估、（9）應(yīng)急響應(yīng)。應(yīng)急響應(yīng)是安全運維重要工作之一。企業(yè)需要在各種意外的安全事件發(fā)生后采取有效的應(yīng)對措施，力保將企業(yè)因安全事件造成的損失降低到最小。應(yīng)急響應(yīng)主要包括文件排查、端口排查、進程排查、系統(tǒng)信息排查、Rootkit查殺、Webshell查殺、木馬病毒查殺、軟件包檢查、后門排查、日志排查、攻擊溯源、勒隨著計算機技術(shù)的進步與移動互聯(lián)網(wǎng)的迅速發(fā)展，智能手機、移動平板、各種各樣的藍牙產(chǎn)品等移動設(shè)備日益普及。近些年來，移動設(shè)備更是從日常消遣品和通訊工具逐步發(fā)展為兼具辦公、金融、身份認證等功能的個人便攜式終端。本指南聚焦于移動設(shè)備及與移動設(shè)備密切相關(guān)的移動無線網(wǎng)絡(luò)的安全技術(shù)體系，將移動安全分為碼安全、iOS系統(tǒng)安全、Hook、移動安全工具使用、無線通信協(xié)議、考慮“指南”的整體性，部分與移動安全一級標簽關(guān)系密切的如漏洞挖掘、社會工程學、沙盒逃逸等二級或三級標簽已包含在其限申請合規(guī)、自啟與關(guān)聯(lián)啟動合規(guī)、隱私協(xié)議合規(guī)、敏感數(shù)據(jù)傳輸（2）抓包對抗。抓包對抗是指目前移動端對于抓包的對抗幾乎都基于中間人（MITM）攻擊，而對抗也圍繞著這一點展開。因此，抓包對抗主要技術(shù)包括雙向認證、明文傳輸、重放攻擊、協(xié)議分析（3）劫持攻擊。劫持攻擊是指攻擊者通過某些特定的手段，將本該正確返回給用戶的數(shù)據(jù)進行攔截篡改，或?qū)?shù)據(jù)轉(zhuǎn)發(fā)給攻擊者。劫持攻擊主要技術(shù)包括通信劫持、短信與呼叫劫持、應(yīng)用克隆、剪裝量第一的開源移動系統(tǒng)，Android在保持代碼透明的擊者通常會通過反編譯的源代碼對客戶端進行代碼審計并從中找尋（6）iOS系統(tǒng)安全。作為目前移動端安裝量最大的閉源操作系地信息泄露、WebKit混淆漏洞、本地代碼執(zhí)行、文件配置漏洞、其（7）Hook。Hook是指在移動端測試中一種非常重要的技術(shù)手段，也是開發(fā)者通常會檢測和規(guī)避的一項內(nèi)容。Hook允許攻擊者在不修改客戶端內(nèi)容的情況下跟蹤運行時變量或修改返回值，以達到破解客戶端加密算法或破壞客戶端運行狀態(tài)的效果。Hook主要技能（8）移動安全工具使用。移動安全工具的使用能夠有效提作效率、發(fā)現(xiàn)潛藏安全問題，使用移動安全工具可以進行信息收集、漏洞探測、漏洞利用等操作。移動安全工具主要技術(shù)包括a用、jadx使用、Cycript使用、IDA使用、frida使用、jeb使用、藍牙）通常會使用WEP/WPA/MQTT等通信協(xié)議，也有很多自建的（10）無線網(wǎng)絡(luò)安全。無線網(wǎng)絡(luò)安全包括三大類，一類是基于云安全是指在云計算環(huán)境中保護數(shù)據(jù)、應(yīng)用和基礎(chǔ)設(shè)施的技術(shù)和策略，旨在確保云服務(wù)的安全性、合規(guī)性和隱私保護。隨著云計算的迅速普及，企業(yè)和個人越來越依賴云服務(wù)進行數(shù)據(jù)存儲和處理，因此云安全的重要性愈發(fā)凸顯。本指南聚焦于云安全技術(shù)體系，將云安全劃分為虛擬化安全、云身份與訪問控制、安全編排自動化與響應(yīng)、云數(shù)據(jù)存儲安全、容器安全、云原生安全、云評估工具與服術(shù)，為云應(yīng)用場景的高彈性、高可用性要求提供了可行的基礎(chǔ)前提。在共享底層池化資源的基礎(chǔ)上獨立運行的虛擬設(shè)施也面臨著自身脆弱性被利用的風險。虛擬化安全涉及的主要技術(shù)包括：虛擬化原理與風險、虛擬機跳躍技術(shù)、虛擬機逃逸技術(shù)、虛擬機旁道攻擊技術(shù)、虛擬機監(jiān)控器攻擊技術(shù)、虛擬機拒絕服務(wù)攻擊技術(shù)、虛擬化防火墻機內(nèi)存保護技術(shù)、虛擬私有云（VPC）技術(shù)、虛擬機安全隔離技術(shù)、（2）云身份與訪問控制。云身份與訪問控制是由云服務(wù)提供商或租戶對云環(huán)境中各類應(yīng)用、場景資源訪問的合法身份標識和授權(quán)管理的基礎(chǔ)設(shè)施，應(yīng)具有部署較快速、兼容性較強、維護成本低、自身安全性可靠、擴展性良好等特點。云身份與訪問控制在云安全中，扮演著資源合法訪問識別和授權(quán)的重要關(guān)卡的角色，是合法與非法訪問的重要分水嶺。云身份與訪問控制的主要技術(shù)包括用戶賬號管理、特權(quán)賬號管理、身份管理技術(shù)、一次性口令技術(shù)認證技術(shù)、數(shù)字證書的身份認證技術(shù)、生物特征的身份認證技術(shù)、Kerberos身份認證技術(shù)、單因素認證技術(shù)、多因素認證技術(shù)、認證技術(shù)、基于身份的訪問控制、基于角色的訪問控制、基于屬性的訪問控制、開發(fā)授權(quán)技術(shù)（OAuth）、開放標準（SAML）單點登錄技術(shù)、中央認證服務(wù)（CAS）單點登錄技術(shù)、Cookie單點登錄技（3）安全編排自動化與響應(yīng)。安全編排自動化與響應(yīng)是在邊界融合、軟件定義邊界的云環(huán)境中，面對海量資產(chǎn)的場景中，集合資產(chǎn)動態(tài)信息、威脅情報、事件響應(yīng)、安全編排等多維度融合的綜合性技術(shù)。安全編排自動化與響應(yīng)可根據(jù)安全劇本設(shè)置，建立多方位、全流程、快決策的自動化響應(yīng)處置機制。安全編排自動化與響應(yīng)的主要技術(shù)包括安全編排與自動化（SOA）、安全事件響應(yīng)平臺采集技術(shù)、性能采集技術(shù)、數(shù)據(jù)格式化技術(shù)、威脅情報關(guān)聯(lián)分析技（4）云數(shù)據(jù)存儲安全。云數(shù)據(jù)存儲安全以云端數(shù)據(jù)生命周期為主線，為數(shù)據(jù)提供安全的保護技術(shù)，兼顧數(shù)據(jù)存儲安全、使用安全、數(shù)據(jù)銷毀等功能需求，以及面對數(shù)據(jù)威脅（數(shù)據(jù)泄露、數(shù)據(jù)丟失、數(shù)據(jù)刪除等）時，均能確保數(shù)據(jù)的機密性、完整性、可用性得以實現(xiàn)，由此共同構(gòu)成云數(shù)據(jù)存儲安全。云數(shù)據(jù)存儲安全的主要技術(shù)包括數(shù)據(jù)備份及災(zāi)難恢復技術(shù)、數(shù)據(jù)加密技術(shù)、密鑰管理技術(shù)、數(shù)據(jù)隔離技術(shù)、區(qū)塊鏈技術(shù)、秘密共享存儲技術(shù)、服務(wù)器安全配置與加固、密文檢索技術(shù)、擦除碼技術(shù)、云計算多副本技術(shù)、數(shù)據(jù)銷（自）（5）容器安全。容器安全聚焦于容器相關(guān)組件和應(yīng)用的安全防護。容器在云原生時代，以其快速拉取、方便部署的優(yōu)勢特點，占據(jù)著重要地位，為應(yīng)用的高彈性、高可用方案落地提供了支撐。容Kubernetes）、鏡像安全掃描技術(shù)、鏡像加固技術(shù)、鏡像簽名技術(shù)、容器網(wǎng)絡(luò)隔離技術(shù)、容器鏡像傳輸安全、容器（倉庫）安全基線管理、容器安全加固技術(shù)、容器運行時安全、容器漏洞管理、容器逃（6）云原生安全。云原生安全聚焦于云原生架構(gòu)、組件和應(yīng)用安全。近些年，借助于開源社區(qū)的力量，云原生脫穎而出，圍繞著云原生架構(gòu)和應(yīng)用的最佳實踐，相關(guān)技術(shù)也呈現(xiàn)出高速迭代的趨勢。云原生環(huán)境下的自有特性的安全問題、安全防護呈現(xiàn)安全左移趨勢，可歸納為API防護、組件安全、動態(tài)的安全開發(fā)測試三個方面。云原生安全設(shè)計的主要技術(shù)包括API網(wǎng)關(guān)安全防護線合規(guī)加固技術(shù)、組件漏洞掃描技術(shù)、零信任安全架構(gòu)（ZeroTrust（7）云評估工具與服務(wù)。云評估工具和服務(wù)旨在快速發(fā)現(xiàn)云計算平臺存在的風險。云服務(wù)提供方需對自身云的安全能力進行周期性評估，云用戶也需對自身管理區(qū)域內(nèi)的資產(chǎn)安全進行評估，以及監(jiān)督管理機構(gòu)執(zhí)行監(jiān)督職權(quán)時，均需要體系、高效的工具/服務(wù)。云OpenSCAP、Nessus、Qua（8）云隱私保護與可信數(shù)據(jù)共享。云隱私保護是一種用于云中敏感數(shù)據(jù)泄露的技術(shù)。大數(shù)據(jù)分析應(yīng)用技術(shù)為社會的發(fā)展、政策的制定提供了可靠的數(shù)據(jù)基準，但同時應(yīng)防止個體識別數(shù)據(jù)、敏感數(shù)據(jù)的惡意使用，以及帶來的隱私泄露風險，因此需要對云隱私數(shù)據(jù)進行安全防護，主要涉及三個方面：隱私安全保護、限制發(fā)布、隱私加密脫敏。云隱私保護的主要技術(shù)包括零知識證明（Zero-KnowledgeProofs）技術(shù)、智能合約技術(shù)、可信安全計算技術(shù)、數(shù)據(jù)變換保護技術(shù)、數(shù)據(jù)凝聚保護技術(shù)、數(shù)據(jù)差分隱私保護技術(shù)、數(shù)據(jù)干擾保護技術(shù)、數(shù)據(jù)脫敏K-Anonymity技術(shù)、數(shù)據(jù)脫敏L-Diversity技序加密技術(shù)、代理重加密技術(shù)、數(shù)據(jù)匿名技術(shù)、量子安全算法、云伴隨新一代物聯(lián)網(wǎng)信息技術(shù)的深入發(fā)展和廣泛應(yīng)用，智慧城市和數(shù)字化轉(zhuǎn)型建設(shè)快速發(fā)展，正日益對交通、醫(yī)療、生產(chǎn)、消費活動以及經(jīng)濟運行機制、社會生活方式產(chǎn)生重要影響，物聯(lián)網(wǎng)安全建設(shè)已成為新型基礎(chǔ)設(shè)施規(guī)劃、建設(shè)、管理領(lǐng)域關(guān)注的重點。本指南聚焦于物聯(lián)網(wǎng)安全建設(shè)和體系化防護技術(shù)，將物聯(lián)網(wǎng)安全劃分為身份認證、訪問控制、數(shù)據(jù)加密、流量行為分析、攻擊檢測、安全事應(yīng)用場景，其相關(guān)三級標簽知識技能已在其他已述標簽下講述，此接入系統(tǒng)中的第一道安全防線，物聯(lián)網(wǎng)實體在交互通信和傳輸數(shù)據(jù)之前，必須驗證其身份的真實性、合法性后才可允許接入。當身份認證機制不健全時，感知節(jié)點易被替換、仿冒接入，造成網(wǎng)絡(luò)攻擊。（2）物聯(lián)網(wǎng)訪問控制。物聯(lián)網(wǎng)訪問控制是根據(jù)感知節(jié)點身份和所屬定義組限制其訪問信息系統(tǒng)或資源請求的認證和控制，防止非法感知節(jié)點的非法訪問或者合法節(jié)點的不正當使用，確保整個物聯(lián)網(wǎng)系統(tǒng)資源能夠被合理正當?shù)厥褂?。物?lián)網(wǎng)訪問控制技術(shù)是確保物聯(lián)網(wǎng)安全性的關(guān)鍵組成部分，主要包括基于屬性的訪問控制（ABAC）、基于角色的訪問控制（RBAC）、基于任務(wù)的訪問控制（3）物聯(lián)網(wǎng)數(shù)據(jù)加密。物聯(lián)網(wǎng)數(shù)據(jù)加密指的是通過使用密碼技術(shù)來保護物聯(lián)網(wǎng)中的數(shù)據(jù)，能夠確保數(shù)據(jù)在傳輸和存儲過程中不被未經(jīng)授權(quán)的第三方訪問和篡改，從而保證數(shù)據(jù)的機密性、完整性和可用性，有效地保護用戶的隱私和安全。物聯(lián)網(wǎng)數(shù)據(jù)加密技術(shù)主要包括對稱加密算法、非對稱加密算法、完整性校驗、SSL/TLS協(xié)議、（4）物聯(lián)網(wǎng)流量監(jiān)控分析。物聯(lián)網(wǎng)流量監(jiān)控分析技術(shù)在應(yīng)對物聯(lián)網(wǎng)場景下的威脅監(jiān)測與溯源時，基于網(wǎng)絡(luò)流量分析的方法實現(xiàn)對網(wǎng)絡(luò)攻擊的識別惡意節(jié)點并進行防御，確保能夠在入侵或者非法攻擊發(fā)生時，能夠及時的隔離問題系統(tǒng)和恢復正常的功能。物聯(lián)網(wǎng)流量監(jiān)控分析技術(shù)主要包括流量特征挖掘、終端指紋分析、物聯(lián)網(wǎng)場景建模、流量分類算法、策略庫匹配模型、流量線性采集解包技術(shù)、（5）物聯(lián)網(wǎng)異常行為檢測。物聯(lián)網(wǎng)異常行為檢測技術(shù)是對物聯(lián)網(wǎng)終端進行分析建模，以多種維度，對物聯(lián)網(wǎng)終端的日常行為設(shè)定活動范圍，通過深度分析建模形成行為基線，對物聯(lián)網(wǎng)終端的行為進行偏離分析，及時發(fā)現(xiàn)物聯(lián)網(wǎng)終端的異常行為并其進行策略性阻斷。物聯(lián)網(wǎng)異常行