對于很多信息安全領域的技術人員(yuán)來說，CTF賽并不陌生(shēng)，每年國内外(wài)會都會組織多場大(dà)大(dà)小(xiǎo)小(xiǎo)的CTF賽事。我(wǒ)(wǒ)們的組織的CTF挑戰賽是專門爲渠道技術人員(yuán)而開(kāi)設的一(yī)種以技術考核和競技爲主的培訓形式。通過技術培訓加CTF挑戰賽的形式，進一(yī)步提升渠道技術人員(yuán)的能力，爲核心渠道輸送優質的産品及安全技能培訓。

12月27日-29日，華東區第四季度技術培訓會暨第二屆CTF挑戰賽在杭州總部召開(kāi)。本屆CTF挑戰賽主要針對的是華東區的新老簽約渠道，旨在讓各渠道技術人員(yuán)能夠更好地了解和掌握公司定位和産品介紹，并通過CTF挑戰賽的形式來讓大(dà)家一(yī)展所長。 

本次技術培訓會主要分(fēn)爲統一(yī)身份認證和管理平台内容培訓和數據庫安全内容培訓。

在第一(yī)方面的培訓中(zhōng)，技術人員(yuán)主要向大(dà)家介紹了堡壘機在企業内部的使用内容，包括在身份認證、權限控制、運維審計産品中(zhōng)的實際使用，并從每個行業的特點出發，詳細講解了堡壘機如何幫助他們解決大(dà)部分(fēn)的核心問題。

在企業内部的實際使用中(zhōng)，我(wǒ)(wǒ)們可能需要對每一(yī)個員(yuán)工(gōng)進行從新員(yuán)工(gōng)入職到離(lí)職的整個賬号生(shēng)命周期管理，統一(yī)身份認證和管理平台一(yī)體(tǐ)機（IAM 一(yī)體(tǐ)機）就可以完全做到這一(yī)點，他可以控制企業内部每一(yī)位員(yuán)工(gōng)的業務訪問的權限控制問題。  

對于數據庫安全内容的培訓，主要從以下(xià)兩個方面來展開(kāi)：

1、從數據庫的安全風險出發分(fēn)析，讓各位技術人員(yuán)了解安全企業内部數據安全的風險，包括準入安全、行爲安全和業務安全風險等，并從各個風險點出發介紹我(wǒ)(wǒ)們的NGDAP數據庫統一(yī)防禦平台可以防止各種方式的威脅，而其中(zhōng)核心的安全思想就是“白(bái)名單”。

2、從介紹黑客的攻擊手段出發，通過SQL注入的攻擊方式演示手動和自動攻擊的方法，讓大(dà)家知(zhī)道SQL注入攻擊方式的核心；WEBSHELL的危害，從系統的信息洩露到連接數據庫，全方位的讓大(dà)家知(zhī)道這種攻擊手段的重要危害。

培訓會的最後，我(wǒ)(wǒ)們迎來了最受期待的CTF挑戰賽，本次挑戰賽的内容涉及堡壘機的配置、NGDAP的防護配置、模拟黑客攻擊的滲透等。每個學員(yuán)通過實踐上機操作完成考核題目，這不僅是對大(dà)家這兩天培訓結果的檢驗，更是對自身技術的提升，通過考核的學員(yuán)還将獲得公司頒發的榮譽證書(shū)。   

下(xià)一(yī)屆CTF挑戰賽，我(wǒ)(wǒ)們期待你的加入！