简介
注册信息安全专业人员-渗透测试,英文为(Certified Information Security Professional – Penetration Test Engineer)简称 CISP-PTE。是由中国信息安全测评中心与奇安信集团下属的网神信息技术(北京)股份有限公司是以“保护大数据时代的安全”为企业使命,以“数据驱动安全”为技术思想,专注于为政府和企业提供新一代网络安全产品和信息安全服务的提供商。奇安信集团与中国信息安全测评中心联合成立注册信息安全专业人员攻防领域考试中心,由奇安信集团子公司网神信息技术(北京)股份有限公司具体运营,负责注册信息安全专业人员渗透测试工程师(CISP-PTE)资质及注册信息安全专业人员渗透测试专家(CISP-PTS)资质的培训知识体系制定、考试系统开发维护、业务推广指导、市场宣传支持及持证人员的服务。CISP攻防领域注册考试,专注于培养、考核高级实用型网络安全渗透测试方向与应急响应方向专业人才,是业界首个理论与实践相结合的网络安全专项技能水平实际操作能力考察注册考试。
CISP-PTE/CISP-PTS考试要求
成为注册信息安全专业人员渗透测试工程师(CISP-PTE)、注册信息安全专业人员渗透测试专家(CISP-PTS),必须同时满足以下基本要求:1、申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE),要求具备一定渗透测试能力,或有意向从事渗透测试的人员,包含信息安全相关专业高校生;申请成为注册信息安全专业人员渗透测试专家(CISP-PTS),要求具备熟练的渗透测试能力;
2、申请成为注册信息安全专业人员渗透测试工程师(CISP-PTE)、注册信息安全专业人员渗透测试专家(CISP-PTS)无学历与工作经验的报考要求;
3、通过注册信息安全专业人员攻防领域考试中心组织的CISP-PTE/CISP-PTS考试;
4、同意并遵守CISP-PTE/CISP-PTS职业准则;
5、满足CISP-PTE/CISP-PTS注册要求并成功通过CISP-PTE/CISP-PTS审核;
注册信息安全专业人员渗透测试工程师/渗透测试专家资质证书有效期三年,证书失效后,需重新参加CISP-PTE/CISP-PTS注册考试;CISP-PTE/CISP-PTS考试方向
该注册考试是为了锻炼考生实际解决网络安全问题的能力,有效增强我国网络安全防御能力,促进国家企事业单位网络防御能力不断提高,以发现人才,选拔优秀人才而设立的技能水平考试。
考试内容从多个角度出发,通过客观题与实际操作题相结合(CISP-PTE)或全部为实际操作题(CISP-PTS)的形式,来考核考生的能力,通过多个得分点,对考生全面的考核,考生需要了解最新的网络安全技术,跟踪最新的网络安全动态,能够在真实的网络环境中发现问题和解决问题。同时,也可以为网络安全专业的学生提高自身价值和自身影响力,提供更好的学习素材,为更多热爱网络安技术、有志于从事网络安全事业的人员提供了一个更加具有优势的平台。
考生应掌握Web安全基础知识,了解HTTP协议基础,以及一些常见的Web安全漏洞,包括注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞。考生应该能够理解和发现这些漏洞,并且学会修复这些漏洞的方法,掌握更多的Web安全技术。
考生应了解中间件的安全知识,包括Apache、IIS、Tomcat,以及JAVA开发的中间件Weblogic、 Websphere、Jboss等(其中,Weblogic、Websphere、Jboss相关知识仅要求参加CISP-PTS考试的学员掌握)。了解中间件的特性以及安全加固的方法,避免在安全设置上产生安全问题影响整个安全体系,了解最新的安全漏洞,能够对最新的漏洞做出响应,提高整体安全水平。
考生应了解操作系统的安全基础知识,包括Windows、Linux操作系统账户的分配与安全设置,文件系统权限的管理,日志审计的基本方法,以及第三方应用安全。由此可以加强考生对操作系统安全的理解,了解常见的攻击手段,以及操作系统安全加固的基础知识,通过日志审计进行安全事件分析,掌握最新的系统内核漏信息,能够及时修复漏洞,提高操作系统的安全性能。
考生应了解数据库的安全基础知识,这里以MSsql、Mysql、Oracle、Redis、MongoDB数据库为主(其中,Oracle、Redis、MongoDB相关知识仅要求参加CISP-PTS考试的学员掌握),了解数据库的使用方法和语法结构,掌握数据库的安全设置以及权限,角色的分配。了解常用的利用数据库来进行文件操作和权限提升的方法以及应对措施,控制数据库运行权限,保证数据库中的数据完整和安全运营。
通过以上内容的学习,要求考生可以发现和修复网络中的漏洞,掌握更多的安全技能,提高个人的技术能力。具备渗透测试工程师的素养。
下图为CISP-PTE/ CISP-PTS的知识体系结构框架:
CISP-PTE/ CISP-PTS知识体系结构框架
(注:其中红色字体为仅在CISP-PTS注册培训及考试中要求掌握的知识内容。)
为了确保授课质量,我们推荐的培训课程安排见下表,各授权培训机构也可根据需要自行调整。
序号 | CISP-PTE/CISP-PTS |
1 | 渗透测试基础、实操演练 |
2 | 操作系统安全、实操演练 |
3 | Web安全、实操演练 |
4 | 数据库安全(PTE、PTS分别要求掌握内容)、实操演练 |
5 | 中间件安全(PTE、PTS分别要求掌握内容)、实操演练 |
6 | 高级渗透测试(PTS要求掌握内容)、实操演练 |
具体考试内容、范围及考试形式请下载《注册信息安全专业人员-渗透测试方向(PTE、PTS)知识体系大纲》进行阅读了解。
CISP-PTE/CISP-PTS注册流程
CISP-PTE/CISP-PTS职业准则
作为国家注册信息安全专业人员应该遵循其应有的道德准则,中国信息安全测评中心为CISP认证人员设定了职业道德准则。(1)维护国家、社会和公众的信息安全
自觉维护国家信息安全,拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为
自觉维护网络社会安全,拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为;
自觉维护公众信息安全,拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为。
(2)诚实守信,遵纪守法
不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为;
不利用个人的信息安全技术能力实施或组织各种违法犯罪行为;
不在公众网络传播反动、暴力、黄色、低俗信息及非法软件。
(3)努力工作,尽职尽责
热爱信息安全工作岗位,充分认识信息安全专业工作的责任和使命
为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献
帮助和指导信息安全同行提升信息安全保障知识和能力,为有需要的人谨慎负责地提出应对信息安全问题的建议和帮助
(4)发展自身,维护荣誉
通过持续学习保持并提升自身的信息安全知识;
利用日常工作、学术交流等各种方式保持和提升信息安全实践能力;
以CISP身份为荣,积极参与各种证后活动,避免任何损害CISP声誉形象的行为。
CISP-PTE/CISP-PTS考生申请资料要求
1.学员需要填写如下申请资料:《注册信息安全专业人员(攻防领域)考试及注册申请表》
填写申请表格时应注意:申请表格可采用电子模版录入填写,也可手写,填写过程中应确保内容的真实准确,手写申请表格应用正楷字体,字迹要求清晰可辨。
注:填写注册申请表第二部分时,需要由申请人所在单位(部门)领导签字并加盖本单位公章。
2.申请(CISP-PTE/CISP-PTS)注册资质除了填写申请书外,还需要准备以下资料:
- 个人近期免冠2寸彩色蓝底证件照片3张(非蓝底照片为不合格照片,将不予采用)
- 身份证复印件1份
- 学历学位复印件1份
3.资料的提交时间
学员应在报名同时将所有资料全部提交。
课程安排