注册信息安全专业人员渗透测试方向（PTE、PTS）白皮书

CISP-PTE/CISP-PTS白皮书

咨询及索取

关于中国信息安全测评中心 CISP-PTE/CISP-PTS 考试相关的更多信息，请与注册信息安全专业人员攻防领域考试中心联系。

CISP攻防领域运营中心联系方式：

【地址】北京市西城区西直门外南路26号院1号楼2层A区

【邮编】100044

奇安信集团下属的奇安信网神信息技术（北京）股份有限公司是以“保护大数据时代的安全”为企业使命，以“数据驱动安全”为技术思想，专注于为政府和企业提供新一代网络安全产品和信息安全服务的提供商。奇安信集团与中国信息安全测评中心联合成立注册信息安全专业人员攻防领域考试中心，由奇安信集团子公司奇安信网神信息技术（北京）股份有限公司具体运营，负责注册信息安全专业人员渗透测试工程师（CISP-PTE）资质及注册信息安全专业人员渗透测试专家（CISP-PTS）资质的培训知识体系制定、考试系统开发维护、业务推广指导、市场宣传支持及持证人员的服务。CISP 攻防领域注册考试，专注于培养、考核高级实用型网络安全渗透测试方向与应急响应方向专业人才，是业界首个理论与实践相结合的网络安全专项技能水平实际操作能力考察注册考试。

引言

21 世纪是信息科学与技术飞速发展的时代，信息成为一种重要的战略资源。信息的获取、存储、处理及其安全保障能力成为一个国家综合国力的重要组成部分。目前，信息产业已成为世界第一大产业，信息科学与技术正处于空前繁荣的阶段。信息安全是信息的影子，哪里有信息，哪里就有信息安全问题。在信息科学与技术发展欣欣向荣的同时，危害信息安全的事件也不断发生。

面对严峻的网络空间安全形势，国内外多位信息安全领域资深专家、学者指出：不断增长的产业链式网络攻击虽然日趋严重，但是更让人担忧的是，网络安全人才的短缺致使各个层级的网络安全团队难以“扩军”，信息安全领域人才的储备量远远跟不上网络安全风险的增长量。

网络安全人才决定网络安全技术的交替、更迭，而人才的短缺直接影响政府事业机关网络防御能力，也导致中、小型企业很难组建自己的安全团队。网络安全防范能力堪忧，严重影响我国网络安全建设。

《网络安全法》第三条提出 “国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。” 因此，培养“高素质的网络安全和信息化人才队伍”的工作刻不容缓！

中国信息安全测评中心主导的注册信息安全专业人员攻防领域考试中心，通过举办“CISP-PTE / CISP-PTS”技能水平认证考试，锻炼考生实际解决网络安全问题的能力，发现人才，有效增强网络安全防御能力，促进国家企事业单位网络防御能力不断提高。同时引导广大网络安全工作者在推动信息安全工作中建功立业，引导广大信息安全工作者在建设信息化强国过程中发挥中坚作用，引导广大信息安全工作者在我国信息化建设与发展的征途中勇当先锋，团结动员广大网络安全从业者为我国网络安全建设又好又快地发展做出积极的贡献，为企、事业单位培养和选拔网络安全渗透测试相关岗位的优秀人才。

一、CISP-PTE/CISP-PTS 考试要求

成为注册信息安全专业人员渗透测试工程师（CISP-PTE）、注册信息安全专业人员渗透测试专家（CISP-PTS），必须同时满足以下基本要求：

1、申请成为注册信息安全专业人员渗透测试工程师（CISP-PTE），要求具备一定渗透测试能力，或有意向从事渗透测试的人员，包含信息安全相关专业高校生；申请成为注册信息安全专业人员渗透测试专家（CISP-PTS），要求具备熟练的渗透测试能力；

2、申请成为注册信息安全专业人员渗透测试工程师（CISP-PTE）、注册信息安全专业人员渗透测试专家（CISP-PTS）无学历与工作经验的报考要求；

3 、通过注册信息安全专业人员攻防领域考试中心组织的 CISP-PTE/CISP-PTS 考试；

4、同意并遵守 CISP-PTE/CISP-PTS 职业准则；

5、满足 CISP-PTE/CISP-PTS 注册要求并成功通过 CISP-PTE/CISP-PTS 审核；

注册信息安全专业人员渗透测试工程师/渗透测试专家资质证书有效期三年，证书失效后，需重新参加 CISP-PTE/CISP-PTS 注册考试。

二、CISP-PTE/CISP-PTS 考试方向

该注册考试是为了锻炼考生实际解决网络安全问题的能力，有效增强我国网络安全防御能力，促进国家企事业单位网络防御能力不断提高，以发现人才，选拔优秀人才而设立的技能水平考试。

考试内容从多个角度出发，通过客观题与实际操作题相结合（CISP-PTE）或全部为实际操作题（CISP-PTS）的形式，来考核考生的能力，通过多个得分点，对考生全面的考核，考生需要了解最新的网络安全技术，跟踪最新的网络安全动态，能够在真实的网络环境中发现问题和解决问题。同时，也可以为网络安全专业的学生提高自身价值和自身影响力，提供更好的学习素材，为更多热爱网络安技术、有志于从事网络安全事业的人员提供了一个更加具有优势的平台。

考生应掌握 Web 安全基础知识，了解 HTTP 协议基础，以及一些常见的 Web安全漏洞，包括注入漏洞、XSS 漏洞、CSRF 漏洞、SSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞。考生应该能够理解和发现这些漏洞，并且学会修复这些漏洞的方法，掌握更多的 Web 安全技术。

考生应了解中间件的安全知识，包括 Apache、IIS、Tomcat，以及 JAVA 开发的中间件 Weblogic、 Websphere、Jboss 等（其中，Weblogic、Websphere、Jboss 相关知识仅要求参加 CISP-PTS 考试的学员掌握）。了解中间件的特性以及安全加固的方法，避免在安全设置上产生安全问题影响整个安全体系，了解最新的安全漏洞，能够对最新的漏洞做出响应，提高整体安全水平。

考生应了解操作系统的安全基础知识，包括 Windows、Linux 操作系统账户的分配与安全设置，文件系统权限的管理，日志审计的基本方法，以及第三方应用安全。由此可以加强考生对操作系统安全的理解，了解常见的攻击手段，以及操作系统安全加固的基础知识，通过日志审计进行安全事件分析，掌握最新的系统内核漏信息，能够及时修复漏洞，提高操作系统的安全性能。

考生应了解数据库的安全基础知识，这里以 MSsql、Mysql、Oracle、Redis、 MongoDB 数据库为主（其中，Oracle、Redis、MongoDB 相关知识仅要求参加 CISP-PTS 考试的学员掌握），了解数据库的使用方法和语法结构，掌握数据库的安全设置以及权限，角色的分配。了解常用的利用数据库来进行文件操作和权限提升的方法以及应对措施，控制数据库运行权限，保证数据库中的数据完整和安全运营。

通过以上内容的学习，要求考生可以发现和修复网络中的漏洞，掌握更多的安全技能，提高个人的技术能力。具备渗透测试工程师的素养。

下图为 CISP-PTE/ CISP-PTS 的知识体系结构框架：

CISP-PTE/CISP-PTS知识体系结构框架

（注：其中红色字体为仅在 CISP-PTS 注册培训及考试中要求掌握的知识内容。）

具体考试内容、范围及考试形式请下载《注册信息安全专业人员-渗透测试方向（PTE、PTS）知识体系大纲》进行阅读了解。

三、CISP-PTE/CISP-PTS 注册流程

申请者首先向授权培训机构咨询，并提交注册申请，由授权运营中心对申请者进行考试资质审核，未通过审核者需重新提交注册申请；审核通过后，申请者应缴纳费用，完成缴费后按照中国信息安全测评中心的统一安排参加考试，考试未通过者需进行补考；考试通过后，中国信息安全测评中心将对通过者进行注册资质审核，未通过审核者需要重新提交注册申请；审核通过者将获得中国信息安全测评中心颁发的资质证书。持证人员应接受中国信息安全测评中心的监督，如出现违反要求的行为，中国信息安全测评中心将视情况撤销持证人员所获得的资质证书，如需重新获得资质证书，应重新按以上流程进行申请。

下图所示为CISP-PTE/CISP-PTS的注册流程：

四、CISP职业准则

作为国家注册信息安全专业人员应该遵循其应有的道德准则，中国信息安全测评中心为CISP注册人员设定了职业道德准则。

（1）维护国家、社会和公众的信息安全

自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为；

自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为；

自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为。

（2）诚实守信，遵纪守法

不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为；

不利用个人的信息安全技术能力实施或组织各种违法犯罪行为；

不在公众网络传播反动、暴力、黄色、低俗信息及非法软件。

（3）努力工作，尽职尽责

热爱信息安全工作岗位，充分认识信息安全专业工作的责任和使命；

为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献；

帮助和指导信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责地提出应对信息安全问题的建议和帮助。

（4）发展自身，维护荣誉

通过持续学习保持并提升自身的信息安全知识；

利用日常工作、学术交流等各种方式保持和提升信息安全实践能力；

以CISP身份为荣，积极参与各种证后活动，避免任何损害CISP声誉形象的行为。

五、CISP-PTE/CISP-PTS 考生申请资料要求

1.学员需要填写如下申请资料：

《注册信息安全专业人员（攻防领域）考试及注册申请表》

填写申请表格时应注意：申请表格可采用电子模版录入填写，也可手写，填写过程中应确保内容的真实准确，手写申请表格应用正楷字体，字迹要求清晰可辨。

2.申请（CISP-PTE/CISP-PTS）注册资质除了填写申请书外，还需要准备以下资料：

个人近期免冠 2 寸彩色蓝底证件照片 3 张（非蓝底照片为不合格照片，将不予采用）

身份证复印件 1 份

3.资料的提交时间

学员应在报名同时将所有资料全部提交。

六、CISP-PTE/CISP-PTS 收费标准

1．CISP-PTE 收费标准

单位：（元）

2、CISP-PTS 收费标准

单位：（元）

每位考生初次缴纳考试费后，拥有参加初次考试及两次免费补考共三次考试机会。如初次考试及两次补考均为通过，则后续再参加补考时需缴纳补考费。

高校在校学生报考CISP-PTE/CISP-PTS，享受初次考试费优惠政策。CISP-PTE初次考试费对在校学生优惠按3000元/人收取；CISP-PTS初次考试费对在校学生优惠按4800元/人收取。除以上优惠外，在校学生考生应缴纳的其它注册考试相关费用与社会考生相同，无其它优惠。在校学生考生申请享受初次考试费优惠时需提供有效期内的学生证扫描/复印件作为证明，且必须是在校学习有效期内完成缴费、培训及考试，否则将失去在校学生申请初次考试费优惠资格。

以上考生需要缴纳的费用，由CISP攻防领域授权培训机构收取。其中，注册考试费部分由授权培训机构代收取，并由授权培训机构统一缴纳给CISP攻防领域运营中心（奇安信网神信息技术（北京）股份有限公司），然后由奇安信网神信息技术（北京）股份有限公司与中国信息安全测评中心另行结算。

3、收款单位账号

开户行：招商银行北京建国路支行

开户名：奇安信网神信息技术（北京）股份有限公司

账号：110902261210404

七、注册信息安全专业人员攻防领域维持考试要求

1、CISP 攻防领域维持考试介绍

CISP 攻防领域维持考试服务对象

CISP 攻防领域维持考试面向的服务对象为 CISP 攻防领域注册资质持有者，包括 CISP-PTE、CISP-PTS。

持有以上资质的人员，当证书有效期届满三年、需要进行资质维持时，须参加 CISP 攻防领域注册资质维持测评考试，且考试成绩合格，经中国信息安全测评中心审核通过后，方可办理资质维持续证。

CISP 攻防领域维持考试申请

CISP 攻防领域维持考试，由中国信息安全测评中心总体管理、监督与指导，由 CISP 攻防领域考试中心进行组织开展，由 CISP 攻防领域授权培训机构负责为维持人员提供咨询及提供报名申请服务。

只有经过 CISP 攻防领域考试中心授权、并经过中国信息安全测评中心审核批准的 CISP 攻防领域授权培训机构，才具有办理 CISP 攻防领域资质维持工作的资格。其它任何非授权培训机构，均无权代表 CISP 攻防领域考试中心为维持人员提供咨询及报名申请服务。

CISP 攻防领域维持考试流程

CISP 攻防领域维持考试的流程如下图 2 所示，首先，需要申请资质维持的学员可向所选择的 CISP 攻防领域授权培训机构咨询维持考试申请的相关事宜，然后需按照授权培训机构的指导，提交《CISP 攻防领域续证维持申请表》及其它办理资质维持所需的材料、缴纳维持考试费，报名参加 CISP 攻防领域维持考试，维持考试费由授权培训机构代收。如果所提交材料未达到维持所必须的基本要求，则需要补充材料或等待满足条件后再次申请。提交的各项材料确认无误后，授权培训机构向 CISP 攻防领域考试中心提交维持考生的申请资料及维持考试费，并根据考试中心的统一安排，确定考试时间，并将考试时间通知给学员，在确定的时间内登录 CISP 攻防领域维持考试平台参加考试。如果考试未通过可以申请补考，直至考试通过。每位考生有两次免费补考机会，前两次补考不需要缴纳补考费，如两次补考均未通过，则从第三次补考开始，需要缴纳补考费后方可进行补考。

考试结束后，CISP 攻防领域考试中心将通过维持考试的维持人员考试成绩及相关材料，统一提交给中国信息安全测评中心进行审核。经审核后，各项条件均通过审核的维持人员，中国信息安全测评中心将为其制作及颁发新的 CISP 攻防领域资质证书。新证书的有效期同样为三年。

2、参加 CISP 攻防领域维持考试的要求

设备准备

CISP 攻防领域资质维持考试采用线上双平台同步进行的考试方式，即准备两台终端设备，在考试时分别登录不同的平台共同完成考试与监考工作：

一台电脑：用于通过浏览器登录线上考试地址进行考试。建议使用 Chrome 浏览器访问。

一台监控设备：手机、电脑、平板均可，提前安装“腾讯会议”视频会议应用软件，用于监考。该设备必须保证摄像和语音功能可以正常使用。

以上两部设备，需要参加维持考试的考生提前准备好。

考试系统及监考系统

CISP 攻防领域维持考试，采用专用线上考试系统进行答题，采用腾讯会议进行监控。线上考试系统网址、登录用户名、登录密码、以及腾讯会议 ID 及密码，将在考试前，由各授权培训机构的负责人发放给参考人员。

考试环境要求

考生应选择独立安静房间独自参加考试。整个考试期间，房间必须保持安静明亮，房间内不得有其他人，也不允许出现其他声音。不得由他人替考，也不得接受任何方式助考。

安装“腾讯会议”的设备需放置在考生电脑的侧后边（左/右后侧 45°）。请开启前置摄像头，并确保考生和答题页面能同时收录进屏幕（如下图 3 所示）。

图 3 CISP 维持考试设备摆放方式

考试纪律要求

1) 考生须准备好本人身份证，提前 30 分钟进入两个平台，按照监考老师要求，完成网络设备调试、身份验证核查。

2) 开考后，迟到超过 30 分钟及以上登录进入考场者，取消考试资格。

3) 考试期间，音频和视频必须全程开启，不得佩戴口罩保证面部清晰可见，头发不可遮挡耳朵，不得佩戴耳饰。

4) 考试过程中，考生必须保持安静，不得随意起立、走动；不得大声喧哗或引起异常响动扰乱线上考试的考场秩序。

5) 考生应当自觉服从考试工作人员管理，严格遵从考试工作人员关于网络远程考场入场、离场、打开视频，打开考试平台的指令，不得以任何理由妨碍考试工作人员履行职责，不得扰乱网络远程笔试考场的秩序，不得录屏录像录音。

6) 考试过程中应保持网络畅通，如突发网络故障或其他特殊情况，应迅速排除，并及时向监考老师报告，如 5 分钟内没有主动联系监考老师，将视为该考生的考试结束。

7) 考试全程，考生应严格遵守考试纪律。如发现任何违纪行为，将立刻取消该考生的考试资格，并上报中国信息安全测评中心，根据实际的违纪行为严重程度，按照中国信息安全测评中心对违纪人员的相关处理规定进行处理。

3、CISP 攻防领域维持考试费用

 维持考试费

申请CISP攻防领域注册资质维持及报名参加维持考试的人员，应缴纳CISP攻防领域注册资质维持考试费。CISP攻防领域维持考试渗透测试方向各级别的维持考试费如下：

 维持考试补考费

参加CISP攻防领域维持考试的人员，每人有两次免费补考机会，如果考生首次维持考试成绩没有通过，后续补考的前两次补考不需要缴纳补考费。如果考生在随后的两次补考中，仍然全部未通过，则从第三次补考开始，考生需要缴纳补考费。补考费为维持考试费的50%。CISP攻防领域维持考试渗透测试方向各级别的维持考试补考费如下：

 超期维持费

CISP及包括CISP攻防领域在内的子品牌资质证书，超期 6 个月以上 10 个月内(含)递交维持申请材料者，除交纳正常维持年金外，还应补交一年维持年金 500 元。证书超期即将届满 1 年，须提前 60 天提出维持换证申请。