CISP IRE考试内容有哪些？

CISP-IRE（注册信息安全专业人员-应急响应工程师）是中国信息安全测评中心推出的高含金量认证，聚焦网络安全事件应急处置全流程，考试内容覆盖技术、流程与合规三大维度，以下为核心考试内容：

1.应急响应基础

流程与模型：重点考察PDCERF（准备、检测、抑制、根除、恢复、跟踪）应急响应模型，以及NIST、SANS等国际标准流程。

事件分级：需掌握《网络安全事件应急预案》中的事件分级标准（如特别重大、重大、较大、一般事件），并能结合场景判断事件等级。

预案制定：要求设计应急响应预案框架，包括角色分工、沟通机制、资源清单等。

2.事件监测与分析

日志分析：涉及Windows事件日志（如4624登录成功、4625登录失败）、Linux系统日志（/var/log/auth.log）、Web日志（Nginx/Apache访问日志）的关联分析，需能识别异常行为（如暴力破解、敏感目录扫描）。

流量分析：熟练使用Wireshark/Tshark过滤协议（如HTTP、DNS、SMB）、追踪TCP会话、提取恶意流量特征（如C2通信）。

威胁狩猎：基于MITRE ATT&CK框架，通过EDR日志分析横向移动、权限提升等攻击战术。

3.应急处置与恢复

恶意代码处置：掌握病毒、木马、勒索软件的清除方法（如隔离感染主机、终止恶意进程、删除注册表项），需熟悉典型样本（如WannaCry、GandCrab）的行为特征。

系统加固：要求配置防火墙规则、禁用危险服务（如SMBv1）、更新补丁，并验证加固效果。

数据恢复：了解快照还原、文件系统修复（如chkdsk、fsck）、数据库备份恢复等操作。

4.攻击溯源与取证

内存取证：使用Volatility分析内存镜像，提取进程、网络连接、注册表等关键信息，识别隐藏进程或Rootkit。

硬盘取证：掌握FTK/EnCase等工具的使用，能恢复删除文件、分析文件时间戳、提取浏览器历史记录。

攻击链还原：结合IOC（如IP、域名、哈希值）和日志数据，绘制攻击时间轴，定位入侵入口点（如弱口令、未授权访问）。

5.法律法规与合规

国内法律：需熟悉《网络安全法》中应急响应条款（如第六十四条“未及时处置安全事件最高罚100万”）、《数据安全法》对数据泄露的处置要求。

等保2.0：重点掌握三级及以上系统在应急响应方面的合规要求（如“定期开展应急演练”“7×24小时应急值守”）。