CISP-PTS是注册的渗透测试工程师。所以身为IT从业人员,在我工作之初,希望能够注册CISP-PTS。所以在2019年初,我参加了CISP-PTS考试。使我高兴的是,我居然能顺利通过考试。由于CISP-PTS是目前国内在网络安全渗透测试技术领域中,具有国家一级资质的国家一级资质注册考试,拥有CISP-PTS不仅能在行业内赢得较高的声誉,还能获取更多的领域知识,薪水的增长自然是不言而喻。

  与CISP-PTE(注册渗透测试工程师)相比,CISP-PTE对应聘者的知识掌握深度、广度和实际操作经验和能力的要求更高,考题难度也明显增加,考试推出至今,全国参加CISP-PTS考试顺利通过,取得该专家级资格的人员总数约在50人左右,它通过的门槛很高,显而易见。

  本文以CISP-PTS考试为例,介绍CISP-PTS的知识内容、考试难度、考试特点,并就CISP-PTS未来发展等方面,谈了一些个人感受和建议,供大家学习借鉴。

  就CISP-PTS的知识体系结构而言,CISP-PTS仅从知识覆盖面来看,与CISP-PTE基本相同;但CISP-PTS对知识域和知识子领域的要求比CISP-PTE要广得多(例如需要更多类型的数据库),其中涉及到中间件的安全问题,渗透测试方法要求掌握内网渗入知识等),并在考试中更加注重检查考生对目前主流渗透测试技术的掌握和实施过程中的重点专业程度,熟练程度。

  由于CISP-PTE比CISP-PTE具有更高的要求,CISP-PTS在考试中取消了选择题型,10个大型测验都是实践性作业。用4个小时,完成这10道渗入测试场景中的10道高难度题,得出并提交正确答案,的确是非常困难的。唯有打好扎实的基础,做好充分的备考准备,经过系统的训练和刻苦的训练,才有可能在考试中获得70%以上的正确答案,并通过考试获得CISP-PTS的注册资格。

  另外,在参加培训的过程中讲授方面,本人感到最深的体会是:CISP-PTS培训希望培养出的人才,不只是简单的渗透测试技师,多想一想能对渗透测试工作系统,全面的了解和掌握,能针对客户的实际IT环境和业务场景,依靠自己的经验,制定出适合客户单位需求的合理的测试方案,并能很好地组织团队进行渗透测试的技术经理和领导者。

  对此,专家讲师在培训中也特别强调,明确指出CISP-PTS和CISP-PTE讲课最大的不同不只是知识内容的延伸,而更侧重于将学习人员作为未来渗透测验的专家,负责人,应比一般渗透测验工程师更宏观、更完善、更全面的分析思考,并通过自己更丰富的专业知识和经验,考虑到接近项目经理的整个渗透测试工作流程,适用的技术方法,在测试结果中可能存在的风险、质量控制和验证等问题。惟有如此,才能更好地胜任今后承担的渗透测试实施总体规划设计和管理工作。

  与此同时,在现行CISP-PTS注册考试中,受考试形式的限制,课程体系中所包含的内容,教学训练时要讲授,而且特别注重培养学员的整体渗透测验工作,综合把握能力,在当前考试中并不能完全考察和体现。在这个问题上,的确有点令人遗憾。造成这一遗憾的原因,是由于目前考察人员渗透试验项目的工程综合管理能力的确难以在短期内达到客观、公正、全面的量化评价。

  CISP-PTS、CISP-PTE等考试都需要实际的作业解决方案,相当于渗透实地调查,所需的时间本来是比较长的,整个测验需要4个小时。而且,在规定时间内,即使再增加时间,也不能要求考生在现场模拟渗透测试报告的编写,或者制订渗透测试方案。由于这些工作需要通过长期的分析和调查,了解模板信息系统的实际状况、所面临的风险、业务流程、安全要求等诸多信息,才能有针对性地完成,而不是完全凭空想象,否则就完全失去了考核评估的意义。

  关于CISP-PTS获奖者的培训,我想将来可以将其纳入继续教育中,例如,定期对CISP-PTS学员进行座谈,通过举办沙龙、知识讲座、新技术分享会等活动,组织大家互相交流,既能从专家老师、其他同学那里获得信息观念,还可以把知识,信息,也可以提取出实际工作中遇到的问题,用一种脱口秀的方式来描述,展示,让大家集思广益。如此不但能持续有效地提升大家的视野,对具体的渗透测试工作,实际项目执行中可能遇到的问题和情景,也能积累更丰富的经验,作为CISP-PTS持证者所获得的极高价值延伸价值!

  CISP-PTS的确受到广大网络安全渗透测试从业人员,尤其是高级网络安全渗透测试人才的关注和欢迎。通过CISP-PTS考试系统的推出,标志着我国在网络安全人才培养上的探索有了新的进展,也证实了CISP作为国内网络空间安全人才培养方面最权威的国家注册体系。有效实施网络安全人才培养战略,取得了丰硕成果。

  今后,包括CISP渗透测试领域在内的CISP注册考试系统,将配合国家即将发布的重要信息基础设施安全岗位划分和安全能力要求的相关标准,在更大范围内,进一步培养各大网络安全技术领域的高端人才,同时也紧跟国际、国内网络安全技术知识发展脉络,使CISP认证培训知识体系与国内外工业领域的先进知识成果同步,从而更好地促进我国网络空间安全发展战略的实施,优秀的高端人才,为我国网络安全的发展做出更大、更好的贡献。

赛虎学院作为CISP授权机构,通过率常年保持在99 %以上,各地的学员皆可报名,每个月都能安排培训,就近选择培训地点。

扫码咨询二维码咨询相关问题: