1.1CISAW 简介
信息安全保障人员认证体系是中国网络安全审查认证和市场监管大数据中心面向信息安
全保障领域不同与业、行业、岗位、不同层次信息安全技术和管理人员的培训认证体系,
特别是不信息安全工作直接密切相关的中高级管理人员、与业技术人员等推出的信息安全保 障人员资格认证和与业水平认证。
CISAW 认证依据 RB/T 202-2013 《信息安全保障人员认证准则》开展认证培训。 通过 CISAW 认证,表明获证人员:
l 通过了 ISCCC-COP-R02 《信息安全保障人员认证考试大纲》要求的相应从业方向、业 务领域的技术知识水平不应用能力考试; (特别:预备级人员需通过信安中心认定的学历教 育选修课程考试和基础课程考试)
l 履行了 ISCCC-COP-R01 《信息安全保障人员认证规则》规定的义务;
l 达到了信息安全保障人员应具有的职业素养、教育绊历、从业绊历的要求(预备级无从 业绊历要求) ;
l 证书可作为有关证书采信部门对上岗人员要求的资格证明和能力证明 。
所有获证人员除符合本准则要求之外,还应遵守本国戒地区的有关法律、法规。
CISAW 通过考试和其它评价方式证明获证人员具备了在一定的与业方向上从事信息安全保 障工作的个人素质和相应的技术知识不应用能力,以供用人单位采信,戒选用具备能力资格 的信息安全保障人员到合适的岗位。
图 1 CISAW 认证级别
CISAW 体系总体分为预备人员认证和在职人员认证,在职人员认证又包括了技术专业认证和 应用领域认证两个类别,CISAW 之电子数据取证同样也是区分了不同认证等级:
【预备级】——在校大学生、研究生
要求:通过 4 门以上经认定的考试课程
注:该课程目前以团体课程形式与校方合作,不接受个人报名。
【基础级】——从业人员
要求:本科+1 年相关工作经验、专科+3 年相关工作经验、5 年相关工作经验(以上 3 个条 件满足其中任一)
【专业级】——资深从业人员
要求: 研究生以上+2 年相关工作经验、本科+4 年相关工作经验、专科+6 年相关工作经验、 7 年工作经验者+2 年相关工作经历(以上 4 个条件满足其中任一)
1.2 培训费用
CISAW-CDF 线上班电子数据取证方向基础级/专业级:6800元,学员自行缴纳报名费1080元;
CISAW-CDF 线下班电子数据取证方向专业级:13920元,学员自行缴纳报名费1080元;
培训/考试:基础/专业级线上培训时间8学时,专业级线下5天含考试(需达到认证条件)。
2. CISAW 电子数据取证方向基础/专业级线上班
2.1 课程内容
第一部分: 电子数据基本理论
数据恢复概述包含电子数据分类、电子数据取证、国内外发展现状、人员的素质要求、发展 趋势等几个方面内容。
第二部分: 电子数据取证原则与流程
包含法律法规、相关立法及规定、与其他证据的区别、电子数据审查体系、电子数据取证标 准等几个方面内容。
第三部分: 电子数据取证实训技术基础-数据获取
学习电子数据取证技术基础,关于数据获取的相关知识。
第四部分: 电子数据取证技术-数字校验
讨论电子数据取证技术,数据校验。重点学习哈希算法和哈希值。
第五部分: 电子数据取证技术-文件过滤
l 文件过滤
l 文件名和扩展名过滤
l 文件类型库
l 文件类型描述
l 排序:升序、降序
l 通过文件名过滤
l 通过文件类型过滤
l 组合过滤
l 保存过滤条件
l 修改文件类型库
l 高级过滤条件
l 排除和隐藏
第六部分: 电子数据取证技术-数据恢复原理-回收站取证
学习有关回收站的知识:回收站的取证分析,属于电子数据取证技术中的数据恢复、痕迹分 析、行为分析的范围。
3. CISAW 电子数据取证方向专业级线下班
3.1 电子数据取证:Windows 取证高级分析
第一部分:文件签名和文件过滤
1. 过滤的概念和方法
2. 文件签名
3. 过滤加密的文件
4. 提取邮件的附件
5. 提取压缩文件中的数据
6. 深入学习并综合使用磁盘快照的各项功能;
7. 课堂练习:配合磁盘快照,分步骤过滤所有的办公文档、图片;
8. 课后练习: 章节练习
第二部分:十六进制搜索和逻辑搜索
1.常见文字编码原理及应用
2.常见关键词编码及十六进制搜索 3.模糊搜索高级语法(GREP)
4.回顾文件过滤、哈希、磁盘快照的基本操作和学习要点
第三部分:时间和行为-文件系统痕迹分析
1. 时间属性概述
2. 2.行为和痕迹分析
3.LNK 文件,最近打开的文件和目录
4.Jumplist 跳转文件,最近打开文件的位置分析 5.发现拷贝的文件、编辑痕迹分析、痕迹分析
6.USN 日志,文件和目录的创建、删除、改名痕迹
7.$LogFile
8.格式化和目录更新时间 9.ADS 数据流:创建、过滤
第四部分:时间和行为-程序运行痕迹
1.打印痕迹分析,
2.用时间过滤,查找附近时间产生的文件 3.WPS、ET 编辑痕迹
4.WPS 备份文件痕迹 5.程序运行痕迹
6.软件安装痕迹
7.应用程序访问记录 8.文件元数据
第五部分:时间和行为-互联网痕迹
1. 电子邮件客户端
2. 百度云盘的痕迹
3.分析百度云盘的数据库,使用时间解码工具
4.浏览器历史记录 5.远程登录痕迹
第六部分:时间和行为-注册表痕迹
1.注册表分析概述 2.系统信息
3.用户信息
4.访问过的文件
5.访问过的目录
6.使用过的 USB 设备 7.账户和密码
第七部分:时间和行为-日志
1.从恶意代码入侵,看日志分析 2.Windows Defender 日志
3.Security 日志:恶意登录行为 4.连接过的 USB 设备
5.外连的恶意网址
3.2 苹果计算机取证分析实战
学习、掌握苹果计算机的取证和分析方法,应首先对苹果计算机有一个整体、全面的了解, 要知道苹果计算机和常用的Windows 计算机有哪些不同?这些不同之处对取证分析有哪些 影响。只有全面了解了苹果计算机和 macOS 操作系统,才能采用正确的方法,使用正确的工 具完成对苹果计算机的取证和分析,得到全面地分析结果。
第一部分:苹果计算机概述
1. 苹果家族、苹果设备类型,苹果计算机发展历史
2. 苹果 MacOS 操作系统
3. 苹果存储设备类型
第二部分:苹果计算机勘验
1. 苹果计算机-关机状态
2. T2 加密和 FileVault
3. 苹果计算机-运行状态
4. 连接中的加密存储设备
第三部分:苹果系统数据格式和存储位置
1. 苹果计算机-关机状态
2. 目录结构
3. 办公软件和文件格式
4. MacOS APP:邮件
5. MacOS APP:照片
6. MacOS APP:iMoive
7. MacOS 三种虚拟机
8. 连接过的移动终端、
9. iCloud 取证、钥匙圈和 FileVault 破解
第四部分:数据删除和废纸篓
1. 数据删除时发生了什么?
2. 什么时间,删除过什么?
3. 什么是.DB_Store,X-Ways 解析结果
4. 学习使用 Python 脚本解析.DB_Store
第五部分:时间和行为
1. 可以相信创建时间吗?添加时间和上次打开时间
2. MacOS 时间规则总结,最近打开的文件和程序
3. 最近访问的服务器
4. 最近加载的磁盘
5. 学习使用 Python 脚本解析时间和行为
3.3 Linux 取证分析实战
基于《Linux 取证分析实战》一书,帮助具有一定取证能力的专业人士拓展能力,理解Linux 下的证据位置、 日志和分析工具。
1. Linux 取证概述
2. Linux 概述
3. 存储介质和文件系统中的证据
4. Linux 目录结构和文件分析
5. Linux 日志调查取证
6. 重构系统引导和初始化步骤
7. 安装了哪些软件
8. 网络痕迹分析
9. 时间和位置分析
10. 重构用户桌面和登录行为
11. 连接过的设备
3.4 手机取证分析
1. 功能机数据取证
2. iOS 手机数据取证
3. 安卓手机数据取证
4. 密码破解与权限获取
5. 基于 ADB 的逻辑数据提取
6. 基于漏洞的全镜像数据获取
7. 基于生产模式的几种镜像数据获取
8. 电话本、短信、通话记录数据库解密与恢复
9. QQ 数据库解密与恢复
10. 微信数据库解密与恢复
考试费用
CISAW-CDF 线上班电子数据取证方向基础级/专业级:6800元,学员自行缴纳报名费1080元;
CISAW-CDF 线下班电子数据取证方向专业级:13920元,学员自行缴纳报名费1080元;
培训费6800元/人:11月27日前将考试认证费6800元/人汇至以下帐户,:
开户名称 | 北京青蓝智慧科技有限公司 |
开户银行 | 中国工商银行北京分行房山良乡分理处 |
帐 号 | 0200026409200210901 |
注:请提前通知培训机构联系人开具培训发票,并提供相关开票信息。
联系方式: 马老师 13521730416