對(duì)于很多信息安全領域的技術人員來說，CTF賽并不陌生，每年國(guó)内外會(huì)都(dōu)會(huì)組織多場大大小小的CTF賽事(shì)。我們的組織的CTF挑戰賽是專門爲渠道(dào)技術人員而開(kāi)設的一種(zhǒng)以技術考核和競技爲主的培訓形式。通過(guò)技術培訓加CTF挑戰賽的形式，進(jìn)一步提升渠道(dào)技術人員的能(néng)力，爲核心渠道(dào)輸送優質的産品及安全技能(néng)培訓。

12月27日-29日，華東區第四季度技術培訓會(huì)暨第二屆CTF挑戰賽在杭州總部召開(kāi)。本屆CTF挑戰賽主要針對(duì)的是華東區的新老簽約渠道(dào)，旨在讓各渠道(dào)技術人員能(néng)夠更好(hǎo)地了解和掌握公司定位和産品介紹，并通過(guò)CTF挑戰賽的形式來讓大家一展所長(cháng)。 

本次技術培訓會(huì)主要分爲統一身份認證和管理平台内容培訓和數據庫安全内容培訓。

在第一方面(miàn)的培訓中，技術人員主要向(xiàng)大家介紹了堡壘機在企業内部的使用内容，包括在身份認證、權限控制、運維審計産品中的實際使用，并從每個行業的特點出發(fā)，詳細講解了堡壘機如何幫助他們解決大部分的核心問題。

在企業内部的實際使用中，我們可能(néng)需要對(duì)每一個員工進(jìn)行從新員工入職到離職的整個賬号生命周期管理，統一身份認證和管理平台一體機（IAM 一體機）就(jiù)可以完全做到這(zhè)一點，他可以控制企業内部每一位員工的業務訪問的權限控制問題。  

對(duì)于數據庫安全内容的培訓，主要從以下兩(liǎng)個方面(miàn)來展開(kāi)：

1、從數據庫的安全風險出發(fā)分析，讓各位技術人員了解安全企業内部數據安全的風險，包括準入安全、行爲安全和業務安全風險等，并從各個風險點出發(fā)介紹我們的NGDAP數據庫統一防禦平台可以防止各種(zhǒng)方式的威脅，而其中核心的安全思想就(jiù)是“白名單”。

2、從介紹黑客的攻擊手段出發(fā)，通過(guò)SQL注入的攻擊方式演示手動和自動攻擊的方法，讓大家知道(dào)SQL注入攻擊方式的核心；WEBSHELL的危害，從系統的信息洩露到連接數據庫，全方位的讓大家知道(dào)這(zhè)種(zhǒng)攻擊手段的重要危害。

培訓會(huì)的最後(hòu)，我們迎來了最受期待的CTF挑戰賽，本次挑戰賽的内容涉及堡壘機的配置、NGDAP的防護配置、模拟黑客攻擊的滲透等。每個學(xué)員通過(guò)實踐上機操作完成(chéng)考核題目，這(zhè)不僅是對(duì)大家這(zhè)兩(liǎng)天培訓結果的檢驗，更是對(duì)自身技術的提升，通過(guò)考核的學(xué)員還(hái)將(jiāng)獲得公司頒發(fā)的榮譽證書。   

下一屆CTF挑戰賽，我們期待你的加入！