注册信息安全专业人员渗透测试工程师(CISP-PTE)
世纪是信息科学与技术飞速发展的时代。信息成为一种重要的战略资源。信息的获取、存储、处理及其安全保障能力成为一个国家综合国力的重要组成部分。目前,信息产业已成为世界第一大产业,信息科学技术正处于空前繁荣的阶段。信息安全是信息的影子,哪里有信息,哪里就有信息安全问题。在信息科学与技术空前繁荣的同时,危害信息安全的事件不断发生,根据 CNCERT 中心2016 年 12 月最新数据显示,公布的 CNVD 漏洞中 60%为应用程序漏洞,被篡改的 GOV 类网站有 116 个,被植入木马的 GOV 类网站有 126 个。2016 年中国互联网新增数据库泄露、网页被篡改、服务器被攻击等危害信息安全的事件数量超过一万个,比 2015 年增长约 36%。普华永道 2016 年的一项调查显示,过去两年中国大陆和香港企业遭受的网络攻击数量飙升了 969%,每家公司平均每天遭到 7 次攻击。仅 2015 年,就发生了十大酒店客人开房数据泄露、超 30 省市数千万社保用户敏感信息泄露、中国人寿 10 万份保单或被泄露、武汉 10 万条高考生信息泄露等大案。业内人士指出,产业链式的网络攻击虽然严重,但是更让人担忧的是,网络信息安全人才的短缺致使安全团队无法“扩军”,人才储备量远远跟不上网络安全风险的增长量。
网络安全人才决定网络安全技术的交替、更迭,而人才的短缺直接影响政府事业机关网络防御能力,也导致中小型企业很难组建自己的安全团队。网络安全防范能力堪忧,严重影响我国网络安全建设。
《网络安全法》第三条提出 “国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。” 因此培养“高素质的网络安全和信息化人才队伍”亟需解决!
通过举办“CISP-PTE”技能水平考试,锻炼考生实际解决网络安全问题的能力,发现人才,有效增强网络安全防御能力,促进国家企事业单位网络防御能力不断提高。同时引导广大网络安全工作者在推动信息安全工作中建功立业,引导广大信息安全工作者在建设和谐社会、和谐部门中发挥中坚作用,引导广大信息安全工作者在营造信息化发展的良好氛围中勇当先锋,团结动员广大安全从业者为网络安全建设又好又快地发展做出积极的贡献。为企事业单位选拔优秀的网络安全防御人员。
一、CISP-PTE考试要求
成为注册信息安全专业人员-渗透测试工程师(CISP-PTE),必须同时满足一下基本要求:
1、申请成为注册信息安全专业人员-渗透测试工程师(CISP-PTE),具备一定渗透测试能力,或有意向从事渗透测试的人员,包含信息安全相关专业高校生;
2、申请成为注册信息安全专业人员-渗透测试工程师(CISP-PTE)无学历与工作经验的报考要求;
3、通过 CISP-攻防领域考试中心组织的 CISP-PTE 考试;
4、同意并遵守 CISP-PTE 职业准则;
5、满足 CISP-PTE 注册要求并成功通过 CISP-PTE 审核;
6、注册信息安全专业人员-渗透测试工程师资质证书有效期三年,证书失效后,需重新参加 CISP-PTE 注册考试;
二、CISP-PTE 考试方向
该注册考试是为了锻炼考生实际解决网络安全问题的能力,有效增强我国网络安全防御能力,促进国家企事业单位网络防御能力不断提高,以发现人才,选拔优秀人才而设立的技能水平考试。考试内容从多个角度出发,客观题与实操题相结合的形式,来考核考生的能力,通过多个得分点,对考生全面的考核,考生需要了解最新的网络安全技术,跟踪最新的网络安全动态,能够在真实的网络环境中发现问题和解决问题。也可以为网络安全专业的学生提高自身价值,提高自身影响力,提供更好学习素材也为更多的网络安全爱好者提供了一个更加具有优势的平台。考生应掌握 WEB 安全基础知识,了解HTTP协议基础,以及一些常见的web安全漏洞包括注入漏洞,XSS漏洞,CSRF漏洞,SSRF漏洞,文件处理漏洞,访问控制漏洞,会话管理漏洞。考生应该能够理解和发现这些漏洞,并且学会修复这些漏洞的方法,掌握更多的安全技术。
考生应了解中间件的安全知识,包括 Apache,IIS,Tomcat,以及JAVA开发的中间件 Weblogic,Jboss, Websphere等。了解中间件的特性以及安全加固的方法,避免在安全设置上产生安全问题影响整个安全体系,了解最新的安全漏洞,能够对最新的漏洞做出响应,提高整体安全标准。
考生应了解操作系统的安全基础知识,包括Windows,Linux操作系统账户的分配与安全设置,文件系统权限的管理,日志审计的基本方法,以及第三方应用安全。由此可以加强考生对操作系统安全的理解,了解常见的攻击手段,以及操作系统安全加固的基础知识,通过日志审计进行安全事件分析,掌握最新的系统内核漏信息,能够及时修复漏洞,提高操作系统的安全性能。
考生应了解数据库的安全基础知识,这里以Mssql,Mysql,Oracle,Redis数据库为主,了解数据库的使用方法和语法结构,掌握数据库的安全设置以及权限,角色的分配。了解常用的利用数据库来进行文件操作和权限提升的方法以及应对措施,控制数据库运行权限,保证数据库中的数据完整和安全运营。
通过以上内容的学习,要求考生可以发现和修复网络中的漏洞,掌握更多的安全技能,提高个人的技术能力。具备渗透测试工程师的素养。
具体考试范内容、范围及形式请下载《CISP-PTE知识体系大纲》。
三、CISP-PTE 注册流程
四、CISP-PTE 职业准则
1.必须诚实,公正,负责,遵守《网络安全法》的各项规定,禁止对非授权网络环境进行渗透测试。
2.必须勤奋和胜任工作,提高专业能力和水平,努力为国家网络安全发展做出贡献。
3.必须保护信息系统,应用程序和系统的价值。
4.必须接受中国信息安全测评中心的监督,在任何情况下,不损坏中国信息安全测评中心或注册过程的声誉,对中国信息安全测评中心针对 CISP-PTE 进行的调查应给于充分的合作。
5.必须按规定向中国信息安全测评中心缴纳的费用。
五、CISP-PTE 考生申请资料要求
1.学员需要填写如下申请资料:
《注册信息安全专业人员-渗透测试工程师(CISP-PTE))考试及注册申请表》填写申请表格时应注意:申请表格可采用电子模版录入填写,也可手写,填写过程中应确保内容的真实准确,手写申请表格应用正楷字体,字迹要求清晰可辨。
注:填写注册申请表第二部分时,需要由申请人所在单位(部门)领导签字并加盖本单位公章。
2.申请(CISP-PTE)注册资质除了填写申请书外,还需要准备以下资料:
个人近期免冠2寸彩色白底证件照片3张
身份证复印件1份
学历学位复印件1份
3.资料的提交时间学员应在报名同时将所有资料全部提交。
六、CISP-PTE收费标准
1、培训费用:14800元
2、考试费用
3、收款单位账号
公司名称:北京西普学苑教育科技有限公司
开户行名称:北京银行北航支行
开户行账号:20000027703200000462484