安全牛课堂 | CISP-PTE考试大纲详解

成为注册信息安全专业人员渗透测试工程师 (CISP-PTE)、注册信息安全专业人员渗透测试专家（CISP-PTS)，必须同时满足以下基本要求：

1、申请成为注册信息安全专业人员渗透测试工程师 (CISP-PTE），要求具备一定渗透测试能力，或有意向从事渗透测试的人员，包含信息安全相关专业高校生：申请成为注册信息安全专业人员渗透测试专家 （CISP-PTS），要求具备熟练的渗透测试能力。

2、申请成为注册信息安全专业人员渗透测试工程师 (CISP-PTE)、注册信息安全专业人员渗透测试专家(CISP-PTS） 无学历与工作经验的报考要求。

3、通过注册信息安全专业人员攻防领域考试中心组织的 CISP-PTE/ CISP-PTS 考试。

4、同意并遵守 CISP-PTE/CISP-PTS 职业准则。

5、满足 CISP-PTE/CISP-PTS注册要求并成功通过 CISP-PTE/CISP-PTS 审核。

考生应掌握 Web安全基础知识，了解HTTP 协议基础，以及一些常见的web安全漏洞，包括注入漏洞、xSS 漏洞、CSFF 漏洞、SSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞。考生应该能够理解和发现这些漏洞，并且学会修复这些漏洞的方法，掌握更多的web安全技术。

考生应了解中间件的安全知识，包括 Apache、IIS、Tomcat，以及JAVA 开发的中间件weblogic、 websphere、Jboss 等。了解中间件的特性以及安全加固的方法，避免在安全设置上产生安全问题影响整个安全体系，了解最新的安全漏洞，能够对最新的漏洞做出响应，提高整体安全水平。

考生应了解操作系统的安全基础知识，包括 Windows、Linux 操作系统账广的分配与安全设置，文件系统权限的管理，日志审计的基本方法，以及第三方应用安全。由此可以加强考生对操作系统安全的理解，了解常见的攻击手段，以及操作系统安全加固的基础知识，通过日志审计进行安全事件分析，掌握最新的系统内核漏信息，能够及时修复漏洞，提高操作系统的安全性能。

考生应了解数据库的安全基础知识，这里以 MSsql、Mysal、Oracle、Redis、MOngODB 数据库为主（其中,Oracle、Redis、MongoDB 相关知识仅要求参加 CISP-

PTS 考试的学员掌握），了解数据库的使用方法和语法结构，掌握数据库的安全设罝以及权限，角色的分配。了解常用的利用数据库来进行文件操作和杈限提升的方法以及应对措施，控制数据库运行权限，保证数据库中的数据完整和安全运营。

持有以上资质的人员，当证书有效期届满三年、需要进行资质维持时，须参加 CISP 攻防 领域注册资质维持测评考试，且考试成绩合格，经中国信息安全测评中心审核通过后，方可办理资质维持续证。

维持时间

建议提前三个月开始申请维持，每个月10日-15日期间提交当月维持报维持申请，后安排维持人员参加考试，超过提交时间自动延至下个月办理维持申请。每月初前2个工作日及月末最后两个工作日安排维持人员考试（遇节假日及周末将提前或者延后）。

维持资料

①《注册信息安全人员攻防领域注册维持申请表》电子版；

②《注册信息安全人员攻防领域注册维持申请表》打印后签字盖章的扫描版；

③《注册信息安全人员攻防领域维持申请承诺书》打印后签字扫描版；

④身份证扫描件，需保持清晰；

⑤蓝底照片电子版，不小于413*579（px），不得是原证书扫描件的裁剪；

⑥CISP-PTE原证书扫描件，必须是原件的扫描件；

⑦维持人员证书原件遗失需要提交户口本复印件本人页的扫描件；

⑧如证书原件丢失需提供《CISP证书遗失证明模板》打印后签字盖章的扫描版；

维持学习

维持考试CISP-PTE考试线上考试，考试时间为120分钟，考试题目数量为42道。其中，单项选择题40道，每题2分。实际操作解答题2道，每题10分，总分共100分。

参加考试者的考试结果总分达到或超过70分为合格。

考题的知识与能力考查范围，与同期CISP攻防领域注册考试对应方向的知识体系大纲保持一致。

考试方式CISP攻防领域资质维持考试方式采用线上双平台同步进行：

• 一台电脑：用于通过浏览器登录线上考试地址进行考试。建议使用Chrome浏览器访问。

• 一部设备（手机、电脑、平板均可）安装“腾讯会议”视频会议应用软件，用于监考。