2021年CISP-PTS考試范圍是什么

CISP-PTS是注冊滲透測試希賽網(wǎng)的意思，英文全稱是Certified Information Security Professiona - Penetration Testing Speciaist。那么2021年CISP-PTS考試范圍是什么?

2021年CISP-PTS考試范圍

該注冊考試是為了鍛煉考生實際解決網(wǎng)絡(luò)安全問題的能力，有效增強我國網(wǎng)絡(luò)安全防御能力，促進企事業(yè)單位網(wǎng)絡(luò)防御能力不斷提高，以發(fā)現(xiàn)人才，選拔優(yōu)秀人才而設(shè)立的技能水平考試。

考試內(nèi)容從多個角度出發(fā)，通過客觀題與實際操作題相結(jié)合(CISP-PTE)或全部為實際操作題(CISP-PTS)的形式，來考核考生的能力，通過多個得分點，對考生全面的考核，考生需要了解最新的網(wǎng)絡(luò)安全技術(shù)，跟蹤最新的網(wǎng)絡(luò)安全動態(tài)，能夠在真實的網(wǎng)絡(luò)環(huán)境中發(fā)現(xiàn)問題和解決問題。同時，也可以為網(wǎng)絡(luò)安全專業(yè)的學生提高自身價值和自身影響力，提供更好的學習素材，為更多熱愛網(wǎng)絡(luò)安技術(shù)、有志于從事網(wǎng)絡(luò)安全事業(yè)的人員提供了一個更加具有優(yōu)勢的平臺。

考生應(yīng)掌握 Web 安全基礎(chǔ)知識，了解 HTTP 協(xié)議基礎(chǔ)，以及一些常見的 Web安全漏洞，包括注入漏洞、XSS 漏洞、CSRF 漏洞、SSRF 漏洞、文件處理漏洞、訪問控制漏洞、會話管理漏洞?？忌鷳?yīng)該能夠理解和發(fā)現(xiàn)這些漏洞，并且學會修復(fù)這些漏洞的方法，掌握更多的 Web 安全技術(shù)。

考生應(yīng)了解中間件的安全知識，包括 Apache、IIS、Tomcat，以及 JAVA 開發(fā)的中間件 Weblogic、 Websphere、Jboss 等(其中，Weblogic、Websphere、Jboss相關(guān)知識僅要求參加 CISP-PTS 考試的學員掌握)。了解中間件的特性以及安全加固的方法，避免在安全設(shè)置上產(chǎn)生安全問題影響整個安全體系，了解最新的安全漏洞，能夠?qū)ψ钚碌穆┒醋龀鲰憫?yīng)，提高整體安全水平。

考生應(yīng)了解操作系統(tǒng)的安全基礎(chǔ)知識，包括 Windows、Linux 操作系統(tǒng)賬戶的分配與安全設(shè)置，文件系統(tǒng)權(quán)限的管理，日志審計的基本方法，以及第三方應(yīng)用安全。由此可以加強考生對操作系統(tǒng)安全的理解，了解常見的攻擊手段，以及操作系統(tǒng)安全加固的基礎(chǔ)知識，通過日志審計進行安全事件分析，掌握最新的系統(tǒng)內(nèi)核漏信息，能夠及時修復(fù)漏洞，提高操作系統(tǒng)的安全性能。

考生應(yīng)了解數(shù)據(jù)庫的安全基礎(chǔ)知識，這里以 MSsql、Mysql、Oracle、Redis數(shù)據(jù)庫為主(其中，Oracle、Redis 相關(guān)知識僅要求參加 CISP-PTS 考試的學員掌握)，了解數(shù)據(jù)庫的使用方法和語法結(jié)構(gòu)，掌握數(shù)據(jù)庫的安全設(shè)置以及權(quán)限，角色的分配。了解常用的利用數(shù)據(jù)庫來進行文件操作和權(quán)限提升的方法以及應(yīng)對措施，控制數(shù)據(jù)庫運行權(quán)限，保證數(shù)據(jù)庫中的數(shù)據(jù)完整和安全運營。

通過以上內(nèi)容的學習，要求考生可以發(fā)現(xiàn)和修復(fù)網(wǎng)絡(luò)中的漏洞，掌握更多的安全技能，提高個人的技術(shù)能力。具備滲透測試工程師的素養(yǎng)。

具體考試內(nèi)容、范圍及考試形式請下載《CISP-PTE/CISP-PTS 知識體系大綱》進行閱讀了解。

CISP-PTS發(fā)展背景：

21 世紀是信息科學與技術(shù)飛速發(fā)展的時代，信息成為一種重要的戰(zhàn)略資源。信息的獲取、存儲、處理及其安全保障能力成為一個綜合國力的重要組成部分。目前，信息產(chǎn)業(yè)已成為世界第一大產(chǎn)業(yè)，信息科學與技術(shù)正處于空前繁榮的階段。信息安全是信息的影子，哪里有信息，哪里就有信息安全問題。在信息科學與技術(shù)發(fā)展欣欣向榮的同時，危害信息安全的事件也不斷發(fā)生。

面對嚴峻的網(wǎng)絡(luò)空間安全形勢，國內(nèi)外多位信息安全領(lǐng)域資深希賽網(wǎng)、學者指出：不斷增長的產(chǎn)業(yè)鏈式網(wǎng)絡(luò)攻擊雖然日趨嚴重，但是更讓人擔憂的是，網(wǎng)絡(luò)安全人才的短缺致使各個層級的網(wǎng)絡(luò)安全團隊難以“擴軍”，信息安全領(lǐng)域人才的儲備量遠遠跟不上網(wǎng)絡(luò)安全風險的增長量。

網(wǎng)絡(luò)安全人才決定網(wǎng)絡(luò)安全技術(shù)的交替、更迭，而人才的短缺直接影響政府事業(yè)機關(guān)網(wǎng)絡(luò)防御能力，也導(dǎo)致中、小型企業(yè)很難組建自己的安全團隊。網(wǎng)絡(luò)安全防范能力堪憂，嚴重影響我國網(wǎng)絡(luò)安全建設(shè)。

《網(wǎng)絡(luò)安全法》第三條提出 “堅持網(wǎng)絡(luò)安全與信息化發(fā)展并重，遵循積極利用、科學發(fā)展、依法管理、確保安全的方針，推進網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和互聯(lián)互通，鼓勵網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用，支持培養(yǎng)網(wǎng)絡(luò)安全人才，建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護能力?！?因此，培養(yǎng)“高素質(zhì)的網(wǎng)絡(luò)安全和信息化人才隊伍”的工作刻不容緩!

中國信息安全測評中心主導(dǎo)的注冊信息安全專業(yè)人員攻防領(lǐng)域考試中心，通過舉辦“CISP-PTE / CISP-PTS”技能水平認證考試，鍛煉考生實際解決網(wǎng)絡(luò)安全問題的能力，發(fā)現(xiàn)人才，有效增強網(wǎng)絡(luò)安全防御能力，促進企事業(yè)單位網(wǎng)絡(luò)防御能力不斷提高。同時引導(dǎo)廣大網(wǎng)絡(luò)安全工作者在推動信息安全工作中建功立業(yè)，引導(dǎo)廣大信息安全工作者在建設(shè)信息化強國過程中發(fā)揮中堅作用，引導(dǎo)廣大信息安全工作者在我國信息化建設(shè)與發(fā)展的征途中勇當先鋒，團結(jié)動員廣大網(wǎng)絡(luò)安全從業(yè)者為我國網(wǎng)絡(luò)安全建設(shè)又好又快地發(fā)展做出積極的貢獻，為企、事業(yè)單位培養(yǎng)和選拔網(wǎng)絡(luò)安全滲透測試相關(guān)崗位的優(yōu)秀人才。