CISP-IRE（注冊信息安全專業(yè)人員-應(yīng)急響應(yīng)工程師）是中國信息安全測評中心推出的高含金量認(rèn)證，聚焦網(wǎng)絡(luò)安全事件應(yīng)急處置全流程，考試內(nèi)容覆蓋技術(shù)、流程與合規(guī)三大維度，以下為核心考試內(nèi)容：

1.應(yīng)急響應(yīng)基礎(chǔ)

流程與模型：重點考察PDCERF（準(zhǔn)備、檢測、抑制、根除、恢復(fù)、跟蹤）應(yīng)急響應(yīng)模型，以及NIST、SANS等國際標(biāo)準(zhǔn)流程。

事件分級：需掌握《網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》中的事件分級標(biāo)準(zhǔn)（如特別重大、重大、較大、一般事件），并能結(jié)合場景判斷事件等級。

預(yù)案制定：要求設(shè)計應(yīng)急響應(yīng)預(yù)案框架，包括角色分工、溝通機(jī)制、資源清單等。

2.事件監(jiān)測與分析

日志分析：涉及Windows事件日志（如4624登錄成功、4625登錄失?。?、Linux系統(tǒng)日志（/var/log/auth.log）、Web日志（Nginx/Apache訪問日志）的關(guān)聯(lián)分析，需能識別異常行為（如暴力破解、敏感目錄掃描）。

流量分析：熟練使用Wireshark/Tshark過濾協(xié)議（如HTTP、DNS、SMB）、追蹤TCP會話、提取惡意流量特征（如C2通信）。

威脅狩獵：基于MITRE ATT&CK框架，通過EDR日志分析橫向移動、權(quán)限提升等攻擊戰(zhàn)術(shù)。

3.應(yīng)急處置與恢復(fù)

惡意代碼處置：掌握病毒、木馬、勒索軟件的清除方法（如隔離感染主機(jī)、終止惡意進(jìn)程、刪除注冊表項），需熟悉典型樣本（如WannaCry、GandCrab）的行為特征。

系統(tǒng)加固：要求配置防火墻規(guī)則、禁用危險服務(wù)（如SMBv1）、更新補(bǔ)丁，并驗證加固效果。

數(shù)據(jù)恢復(fù)：了解快照還原、文件系統(tǒng)修復(fù)（如chkdsk、fsck）、數(shù)據(jù)庫備份恢復(fù)等操作。

4.攻擊溯源與取證

內(nèi)存取證：使用Volatility分析內(nèi)存鏡像，提取進(jìn)程、網(wǎng)絡(luò)連接、注冊表等關(guān)鍵信息，識別隱藏進(jìn)程或Rootkit。

硬盤取證：掌握FTK/EnCase等工具的使用，能恢復(fù)刪除文件、分析文件時間戳、提取瀏覽器歷史記錄。

攻擊鏈還原：結(jié)合IOC（如IP、域名、哈希值）和日志數(shù)據(jù)，繪制攻擊時間軸，定位入侵入口點（如弱口令、未授權(quán)訪問）。

5.法律法規(guī)與合規(guī)

國內(nèi)法律：需熟悉《網(wǎng)絡(luò)安全法》中應(yīng)急響應(yīng)條款（如第六十四條“未及時處置安全事件最高罰100萬”）、《數(shù)據(jù)安全法》對數(shù)據(jù)泄露的處置要求。

等保2.0：重點掌握三級及以上系統(tǒng)在應(yīng)急響應(yīng)方面的合規(guī)要求（如“定期開展應(yīng)急演練”“7×24小時應(yīng)急值守”）。