CISP-IRE（注冊信息安全專業人員-應急響應工程師）是中國信息安全測評中心推出的高含金量認證，聚焦網絡安全事件應急處置全流程，考試內容覆蓋技術、流程與合規三大維度，以下為核心考試內容：

1.應急響應基礎

流程與模型：重點考察PDCERF（準備、檢測、抑制、根除、恢復、跟蹤）應急響應模型，以及NIST、SANS等國際標準流程。

事件分級：需掌握《網絡安全事件應急預案》中的事件分級標準（如特別重大、重大、較大、一般事件），并能結合場景判斷事件等級。

預案制定：要求設計應急響應預案框架，包括角色分工、溝通機制、資源清單等。

2.事件監測與分析

日志分析：涉及Windows事件日志（如4624登錄成功、4625登錄失敗）、Linux系統日志（/var/log/auth.log）、Web日志（Nginx/Apache訪問日志）的關聯分析，需能識別異常行為（如暴力破解、敏感目錄掃描）。

流量分析：熟練使用Wireshark/Tshark過濾協議（如HTTP、DNS、SMB）、追蹤TCP會話、提取惡意流量特征（如C2通信）。

威脅狩獵：基于MITRE ATT&CK框架，通過EDR日志分析橫向移動、權限提升等攻擊戰術。

3.應急處置與恢復

惡意代碼處置：掌握病毒、木馬、勒索軟件的清除方法（如隔離感染主機、終止惡意進程、刪除注冊表項），需熟悉典型樣本（如WannaCry、GandCrab）的行為特征。

系統加固：要求配置防火墻規則、禁用危險服務（如SMBv1）、更新補丁，并驗證加固效果。

數據恢復：了解快照還原、文件系統修復（如chkdsk、fsck）、數據庫備份恢復等操作。

4.攻擊溯源與取證

內存取證：使用Volatility分析內存鏡像，提取進程、網絡連接、注冊表等關鍵信息，識別隱藏進程或Rootkit。

硬盤取證：掌握FTK/EnCase等工具的使用，能恢復刪除文件、分析文件時間戳、提取瀏覽器歷史記錄。

攻擊鏈還原：結合IOC（如IP、域名、哈希值）和日志數據，繪制攻擊時間軸，定位入侵入口點（如弱口令、未授權訪問）。

5.法律法規與合規

國內法律：需熟悉《網絡安全法》中應急響應條款（如第六十四條“未及時處置安全事件最高罰100萬”）、《數據安全法》對數據泄露的處置要求。

等保2.0：重點掌握三級及以上系統在應急響應方面的合規要求（如“定期開展應急演練”“7×24小時應急值守”）。