CISP-IRE（注冊(cè)信息安全專業(yè)人員-應(yīng)急響應(yīng)工程師）是中國(guó)信息安全測(cè)評(píng)中心推出的高含金量認(rèn)證，聚焦網(wǎng)絡(luò)安全事件應(yīng)急處置全流程，考試內(nèi)容覆蓋技術(shù)、流程與合規(guī)三大維度，以下為核心考試內(nèi)容：

1.應(yīng)急響應(yīng)基礎(chǔ)

流程與模型：重點(diǎn)考察PDCERF（準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)、跟蹤）應(yīng)急響應(yīng)模型，以及NIST、SANS等國(guó)際標(biāo)準(zhǔn)流程。

事件分級(jí)：需掌握《網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》中的事件分級(jí)標(biāo)準(zhǔn)（如特別重大、重大、較大、一般事件），并能結(jié)合場(chǎng)景判斷事件等級(jí)。

預(yù)案制定：要求設(shè)計(jì)應(yīng)急響應(yīng)預(yù)案框架，包括角色分工、溝通機(jī)制、資源清單等。

2.事件監(jiān)測(cè)與分析

日志分析：涉及Windows事件日志（如4624登錄成功、4625登錄失敗）、Linux系統(tǒng)日志（/var/log/auth.log）、Web日志（Nginx/Apache訪問日志）的關(guān)聯(lián)分析，需能識(shí)別異常行為（如暴力破解、敏感目錄掃描）。

流量分析：熟練使用Wireshark/Tshark過濾協(xié)議（如HTTP、DNS、SMB）、追蹤TCP會(huì)話、提取惡意流量特征（如C2通信）。

威脅狩獵：基于MITRE ATT&CK框架，通過EDR日志分析橫向移動(dòng)、權(quán)限提升等攻擊戰(zhàn)術(shù)。

3.應(yīng)急處置與恢復(fù)

惡意代碼處置：掌握病毒、木馬、勒索軟件的清除方法（如隔離感染主機(jī)、終止惡意進(jìn)程、刪除注冊(cè)表項(xiàng)），需熟悉典型樣本（如WannaCry、GandCrab）的行為特征。

系統(tǒng)加固：要求配置防火墻規(guī)則、禁用危險(xiǎn)服務(wù)（如SMBv1）、更新補(bǔ)丁，并驗(yàn)證加固效果。

數(shù)據(jù)恢復(fù)：了解快照還原、文件系統(tǒng)修復(fù)（如chkdsk、fsck）、數(shù)據(jù)庫備份恢復(fù)等操作。

4.攻擊溯源與取證

內(nèi)存取證：使用Volatility分析內(nèi)存鏡像，提取進(jìn)程、網(wǎng)絡(luò)連接、注冊(cè)表等關(guān)鍵信息，識(shí)別隱藏進(jìn)程或Rootkit。

硬盤取證：掌握FTK/EnCase等工具的使用，能恢復(fù)刪除文件、分析文件時(shí)間戳、提取瀏覽器歷史記錄。

攻擊鏈還原：結(jié)合IOC（如IP、域名、哈希值）和日志數(shù)據(jù)，繪制攻擊時(shí)間軸，定位入侵入口點(diǎn)（如弱口令、未授權(quán)訪問）。

5.法律法規(guī)與合規(guī)

國(guó)內(nèi)法律：需熟悉《網(wǎng)絡(luò)安全法》中應(yīng)急響應(yīng)條款（如第六十四條“未及時(shí)處置安全事件最高罰100萬”）、《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)泄露的處置要求。

等保2.0：重點(diǎn)掌握三級(jí)及以上系統(tǒng)在應(yīng)急響應(yīng)方面的合規(guī)要求（如“定期開展應(yīng)急演練”“7×24小時(shí)應(yīng)急值守”）。