對(duì)于很(hěn)多信息安全領域的技術人員來(lái)說，CTF賽并不陌生，每年國内外(wài)會(huì)都會(huì)組織多場大(dà)大(dà)小(xiǎo)小(xiǎo)的CTF賽事(shì)。我們的組織的CTF挑戰賽是專門(mén)爲渠道(dào)技術人員而開(kāi)設的一種以技術考核和(hé)競技爲主的培訓形式。通過技術培訓加CTF挑戰賽的形式，進一步提升渠道(dào)技術人員的能(néng)力，爲核心渠道(dào)輸送優質的産品及安全技能(néng)培訓。

12月27日-29日，華東區(qū)第四季度技術培訓會(huì)暨第二屆CTF挑戰賽在杭州總部召開(kāi)。本屆CTF挑戰賽主要針對(duì)的是華東區(qū)的新老(lǎo)簽約渠道(dào)，旨在讓各渠道(dào)技術人員能(néng)夠更好(hǎo)地了(le)解和(hé)掌握公司定位和(hé)産品介紹，并通過CTF挑戰賽的形式來(lái)讓大(dà)家一展所長。 

本次技術培訓會(huì)主要分爲統一身份認證和(hé)管理(lǐ)平台内容培訓和(hé)數據庫安全内容培訓。

在第一方面的培訓中，技術人員主要向大(dà)家介紹了(le)堡壘機在企業内部的使用(yòng)内容，包括在身份認證、權限控制、運維審計(jì)産品中的實際使用(yòng)，并從(cóng)每個行業的特點出發，詳細講解了(le)堡壘機如何幫助他(tā)們解決大(dà)部分的核心問題。

在企業内部的實際使用(yòng)中，我們可能(néng)需要對(duì)每一個員工(gōng)進行從(cóng)新員工(gōng)入職到(dào)離職的整個賬号生命周期管理(lǐ)，統一身份認證和(hé)管理(lǐ)平台一體機（IAM 一體機）就可以完全做到(dào)這(zhè)一點，他(tā)可以控制企業内部每一位員工(gōng)的業務訪問的權限控制問題。  

對(duì)于數據庫安全内容的培訓，主要從(cóng)以下(xià)兩個方面來(lái)展開(kāi)：

1、從(cóng)數據庫的安全風(fēng)險出發分析，讓各位技術人員了(le)解安全企業内部數據安全的風(fēng)險，包括準入安全、行爲安全和(hé)業務安全風(fēng)險等，并從(cóng)各個風(fēng)險點出發介紹我們的NGDAP數據庫統一防禦平台可以防止各種方式的威脅，而其中核心的安全思想就是“白(bái)名單”。

2、從(cóng)介紹黑客的攻擊手段出發，通過SQL注入的攻擊方式演示手動和(hé)自(zì)動攻擊的方法，讓大(dà)家知(zhī)道(dào)SQL注入攻擊方式的核心；WEBSHELL的危害，從(cóng)系統的信息洩露到(dào)連接數據庫，全方位的讓大(dà)家知(zhī)道(dào)這(zhè)種攻擊手段的重要危害。

培訓會(huì)的最後，我們迎來(lái)了(le)最受期待的CTF挑戰賽，本次挑戰賽的内容涉及堡壘機的配置、NGDAP的防護配置、模拟黑客攻擊的滲透等。每個學員通過實踐上(shàng)機操作(zuò)完成考核題目，這(zhè)不僅是對(duì)大(dà)家這(zhè)兩天培訓結果的檢驗，更是對(duì)自(zì)身技術的提升，通過考核的學員還将獲得公司頒發的榮譽證書。   

下(xià)一屆CTF挑戰賽，我們期待你(nǐ)的加入！