對于很多信息安全領域的技術人員來說(shuō)，CTF賽并不陌生(shēng)，每年國内外會都會組織多場大大小小的CTF賽事。我們的組織的CTF挑戰賽是專門爲渠道技術人員而開設的一種以技術考核和競技爲主的培訓形式。通過技術培訓加CTF挑戰賽的形式，進一步提升渠道技術人員的能力，爲核心渠道輸送優質的産品及安全技能培訓。

12月27日-29日，華東區第四季度技術培訓會暨第二屆CTF挑戰賽在杭州總部召開。本屆CTF挑戰賽主要針對的是華東區的新老簽約渠道，旨在讓各渠道技術人員能夠更好地了解和掌握公司定位和産品介紹，并通過CTF挑戰賽的形式來讓大家一展所長。 

本次技術培訓會主要分爲統一身份認證和管理平台内容培訓和數據庫安全内容培訓。

在第一方面的培訓中，技術人員主要向大家介紹了堡壘機(jī)在企業内部的使用内容，包括在身份認證、權限控制、運維審計産品中的實際使用，并從每個行業的特點出發，詳細講解了堡壘機(jī)如(rú)何幫助他(tā)們解決大部分的核心問題。

在企業内部的實際使用中，我們可(kě)能需要對每一個員工進行從新員工入職到離(lí)職的整個賬号生(shēng)命周期管理，統一身份認證和管理平台一體機(jī)（IAM 一體機(jī)）就(jiù)可(kě)以完全做到這一點，他(tā)可(kě)以控制企業内部每一位員工的業務訪問的權限控制問題。  

對于數據庫安全内容的培訓，主要從以下兩個方面來展開：

1、從數據庫的安全風險出發分析，讓各位技術人員了解安全企業内部數據安全的風險，包括準入安全、行爲安全和業務安全風險等，并從各個風險點出發介紹我們的NGDAP數據庫統一防禦平台可(kě)以防止各種方式的威脅，而其中核心的安全思想就(jiù)是“白(bái)名單”。

2、從介紹黑(hēi)客的攻擊手段出發，通過SQL注入的攻擊方式演示手動和自動攻擊的方法，讓大家知道SQL注入攻擊方式的核心；WEBSHELL的危害，從系統的信息洩露到連接數據庫，全方位的讓大家知道這種攻擊手段的重要危害。

培訓會的最後，我們迎來了最受期待的CTF挑戰賽，本次挑戰賽的内容涉及堡壘機(jī)的配置、NGDAP的防護配置、模拟黑(hēi)客攻擊的滲透等。每個學員通過實踐上機(jī)操作完成考核題目，這不僅是對大家這兩天培訓結果的檢驗，更是對自身技術的提升，通過考核的學員還(hái)将獲得(de)公司頒發的榮譽證書(shū)。   

下一屆CTF挑戰賽，我們期待你的加入！