對于很多信息安全領域的(de)技術人員來說，CTF賽并不陌生，每年(nián)國(guó)內(nèi)外會都會組織多場大大小小的(de)CTF賽事。我們(men)的(de)組織的(de)CTF挑戰賽是專門為(wèi)渠道(dào)技術人員而開設的(de)一(yī)種以技術考核和(hé)競技為(wèi)主的(de)培訓形式。通過技術培訓加CTF挑戰賽的(de)形式，進一(yī)步提升渠道(dào)技術人員的(de)能力，為(wèi)核心渠道(dào)輸送優質的(de)産品及安全技能培訓。

12月27日-29日，華東區第四季度技術培訓會暨第二屆CTF挑戰賽在杭州總部召開。本屆CTF挑戰賽主要針對的(de)是華東區的(de)新老簽約渠道(dào)，旨在讓各渠道(dào)技術人員能夠更好地(dì)了解和(hé)掌握公司定位和(hé)産品介紹，并通過CTF挑戰賽的(de)形式來讓大家一(yī)展所長(cháng)。 

本次技術培訓會主要分為(wèi)統一(yī)身份認證和(hé)管理(lǐ)平台內(nèi)容培訓和(hé)數據庫安全內(nèi)容培訓。

在第一(yī)方面的(de)培訓中，技術人員主要向大家介紹了堡壘機(jī)在企業內(nèi)部的(de)使用內(nèi)容，包括在身份認證、權限控制、運維審計産品中的(de)實際使用，并從每個行(xíng)業的(de)特點出發，詳細講解了堡壘機(jī)如(rú)何幫助他們(men)解決大部分的(de)核心問題。

在企業內(nèi)部的(de)實際使用中，我們(men)可(kě)能需要對每一(yī)個員工進行(xíng)從新員工入職到離(lí)職的(de)整個賬号生命周期管理(lǐ)，統一(yī)身份認證和(hé)管理(lǐ)平台一(yī)體機(jī)（IAM 一(yī)體機(jī)）就可(kě)以完全做(zuò)到這一(yī)點，他可(kě)以控制企業內(nèi)部每一(yī)位員工的(de)業務訪問的(de)權限控制問題。  

對于數據庫安全內(nèi)容的(de)培訓，主要從以下兩個方面來展開：

1、從數據庫的(de)安全風險出發分析，讓各位技術人員了解安全企業內(nèi)部數據安全的(de)風險，包括準入安全、行(xíng)為(wèi)安全和(hé)業務安全風險等，并從各個風險點出發介紹我們(men)的(de)NGDAP數據庫統一(yī)防禦平台可(kě)以防止各種方式的(de)威脅，而其中核心的(de)安全思想就是“白名單”。

2、從介紹黑客的(de)攻擊手段出發，通過SQL注入的(de)攻擊方式演示手動和(hé)自(zì)動攻擊的(de)方法，讓大家知道(dào)SQL注入攻擊方式的(de)核心；WEBSHELL的(de)危害，從系統的(de)信息洩露到連接數據庫，全方位的(de)讓大家知道(dào)這種攻擊手段的(de)重要危害。

培訓會的(de)最後，我們(men)迎來了最受期待的(de)CTF挑戰賽，本次挑戰賽的(de)內(nèi)容涉及堡壘機(jī)的(de)配置、NGDAP的(de)防護配置、模拟黑客攻擊的(de)滲透等。每個學(xué)員通過實踐上機(jī)操作完成考核題目，這不僅是對大家這兩天培訓結果的(de)檢驗，更是對自(zì)身技術的(de)提升，通過考核的(de)學(xué)員還将獲得公司頒發的(de)榮譽證書。   

下一(yī)屆CTF挑戰賽，我們(men)期待你的(de)加入！