課程大綱
一、概述
    1.介紹CISAW認證體系、培訓體系、教學實踐和應急響應基本概念。
二、應急響應相關法律法規
    1.介紹網絡安全事件管理和應急響應法規政策依據，包括《關于加強信息安全保障工作的意見》、《網絡安全法》、《黨委（黨組）網絡安全工作責任制實施辦法》、等保2.0、《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》、國家標準/行業規范。
三、信息安全事件分類分級
    1.介紹信息安全事件分類分級，包括《信息安全技術信息安全事件分類分級指南》（GB/Z 20986-2007）內容，惡意程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障事件、災害性事件案例分析，安全事件定級要素等。
四、網絡安全事件管理與應急響應組織
    1.介紹《信息技術 安全技術信息安全事件管理指南(GB/Z 20985-2007)》內容
    2.介紹應急響應組作用、國際信息安全應急響應相關組織、國內信息安全應急響應相關組織。
五、應急響應案例分析研討
    1.介紹應急響應案例，分析其響應過程中的不足之處，包括勒索病毒應急案例、網上營業廳數據被盜案例、積分管理系統隱蔽盜取案例。
六、典型網絡安全入侵事件重現與分析
    1.通過真實入侵場景案例匯總分析，介紹典型網絡安全入侵事件中多次被突破原因和應急響應對抗細節，包括入侵踩點預警與對策、系統框架漏洞被利用原理與對策、軟件代碼漏洞與對策、社工利用分析與對策、單位內部人員風險分析與對策。
七、企事業單位網絡安全工作現狀與困惑分析
    1.介紹企事業單位網絡安全工作現狀和困惑，包括每天忙于救火的原因分析、網絡安全防御思路誤區、應急體系建設成熟度、應急管理體系建設階段等。
八、應急管理體系化建設I    
    1.介紹應急管理體系化建設，包括責任體系建立、業務風險評估、業務影響分析、確定應急響應恢復目標等環節如何開展工作。
九、應急管理體系化建設II    
    1.介紹應急管理體系化建設，包括預警體系建設、安全態勢監控與事件檢測等環節如何開展工作。
十、應急預案制定與管理
    1.介紹應急預案制定與管理，包括應急預案制定、應急預案測試、應急預案培訓與演練、應急預案維護等。
十一、網絡安全事件應急處理流程I    
    1.介紹應急PDCERF模型，包括準備階段、檢測階段應該如何開展工作，常見工作缺失分析。
十二、網絡安全事件應急處理流程II    
    1.介紹應急PDCERF模型，包括抑制階段、根除階段、恢復階段、跟進階段每個階段應該如何開展工作。
十三、應急技術綜合演練實踐之SQL注入攻擊分析實踐與加固
    1.介紹SQL注入攻擊原理與應急實踐，包括SQL注入產生原理、SQL注入利用過程分析實踐、網馬上傳分析實踐、反向連接后門利用分析實踐、入侵痕跡分析實踐、SQL注入代碼漏洞修補、SQL注入繞過分析實踐等。
十四、應急技術綜合演練實踐之XSS攻擊分析實踐與加固    
    1.介紹XSS攻擊原理與應急實踐，包括XSS攻擊原理和類型、利用XSS增加應用系統賬號分析實踐、利用XSS釣魚攻擊分析實踐、XSS漏洞代碼修復實踐等。
十五、應急技術綜合演練實踐之CSRF攻擊分析實踐與加固
    1.介紹CSRF攻擊原理與應急實踐，包括CSRF攻擊原理、CSRF攻擊過程分析實踐、CSRF漏洞代碼修復分析、Webshell特征檢測、數據庫查詢權限降權加固、系統賬號安全配置實踐、中間件安全加固實踐、日志自動獲取與分析實踐等。
十六、應急安全技術保障實踐之PKI應用
    1.介紹加解密原理與應用實踐，包括對稱加密概念、非對稱加密概念、哈希算法概念、CA與數字證書概念、常見單向Https認證漏洞原理和利用分析、雙向Https認證配置實踐等。
十七、應急安全技術保障實踐之日志分析概念與技術
    1.介紹日志分析概念與技術，包括日志分析基礎性知識、日志分析內容及日志分析的要求、日志來源分類及采集方式、日志分析技術簡介、設備日志分析技術的選擇等。
十八、應急安全技術保障實踐之日志集中管理與審計系統
    1.介紹日志集中管理與審計系統，包括日志集中管理和審計系統架構、日志分析系統全生命周期管理、日志分析系統的功能要求、日志分析系統與其它系統接口等。
十九、主機漏洞利用分析實踐
    1.介紹主機漏洞利用過程，其中上機攻防實操內容包括：遠程溢出漏洞利用分析實踐、本地溢出漏洞利用分析實踐、賬號后門與提權分析實踐、應用系統提權分析實踐等。
二十、主機入侵溯源分析實踐
    1.介紹主機入侵溯源分析過程，其中上機攻防實操內容包括：木馬檢測過程分析實踐、開放端口檢測分析實踐、口令破解過程分析實踐、用戶登錄日志審計實踐、用戶操作痕跡審計實踐等。
二十一、主機入侵事件檢測技術總結與工具包準備
    1.分別針對Windows和Linux總結主機入侵事件檢測技術，其中入侵排查技術包括：特權賬號排查、后門賬號排查、命令執行痕跡分析、異常端口和連接排查、異常進程排查、異常文件排查、異常服務排查、啟動項異常排查、計劃任務排查、日志異常排查等
    2.應急響應工具包準備包括：Rootkit查殺工具包、病毒查殺工具包、Webshell查殺工具包等。
二十二、主機攻擊特征之數據流分析實踐
    1.介紹主機攻擊特征，包括開源數據包分析軟件使用技巧、攻擊數據包與數據流檢測實踐、黑客工具攻擊特征抓包溯源案例分析等。
二十三、網絡層應急技術與實踐
    1.介紹網絡層攻擊特征分析與應急技術實踐，包括網絡協議安全漏洞原理、ARP欺騙攻擊分析與應急響應、拒絕服務攻擊分析與應急響應、網絡安全域劃分原則、網絡安全架構與拓撲隱患分析實踐、票務系統爬蟲應急案例分析與應急方案研討等。
二十四、數據庫滲透與應急響應實踐
    1.介紹數據庫滲透與應急響應實踐，包括應用系統管理后臺突破分析、SQL注入點利用過程分析、數據庫脫庫過程分析、數據庫常見漏洞利用分析、數據庫常見安全配置項加固等。
二十五、業務系統流程分析與數據流風險點識別沙盤演練    
    1.介紹業務系統流程分析與數據流風險點識別要點，分組選定業務系統、開展業務系統流程分析、數據流風險點識別沙盤實踐練習。
二十六、應急響應流程梳理與預案編寫沙盤演練
    1.介紹應急響應流程梳理與預案編寫要點，結合案例模板，分組開展沙盤演練實踐練習。
二十七、應急演練組織與開展沙盤演練
    1.介紹應急演練組織與演練工作要點，結合演練視頻案例，分組開展沙盤演練實踐練習。
課程周期：
30課時（45分鐘/課時）