CISP-PTS与CISP-PTE(注册渗透测试工程师)与申请人的知识掌握深度、广度和实际操作经验和能力相比,考试难度也显著增加,自考试启动以来,全国参加CISP-PTS注册考试并成功完成,获得专家资格总数约50人,通过门槛可见。

  关于CISP-PTS注册考试的知识内容、难度、特点以及CISP-PTS未来的发展,我将讨论一些个人感受和建议,供您学习和参考。

  在CISP-PTS知识体系架构方面,CISP-从知识覆盖的角度来看,PTS与CISP-PTE基本相同,但CISP-PTS比CISP-PTE要求更广泛(如掌握更多类型的数据库、中间件所涉及的安全问题、渗透测试方法所需的内部网络渗透知识等)。在考场中,考生更注重对当前主流渗透测试技术的深入掌握和实施过程的关键专业水平和熟练程度。正是因为这些要求高于CISP-PTE,所以在注册考试中,CISP-PTS取消了选择题型,所有10道大型试题都是实际操作题。在4小时内,很难完成这10道高难度渗透测试场景的实际操作试题,得到并提交正确答案。只有打好坚实的基础,做好充分的备考准备,通过系统的训练和刻苦的练习,考试中解题的准确率才能达到70%以上,通过考试成功获得CISP-PTS注册资格。

  另外,在培训过程中的讲座教学中,我最深刻的体会是:CISP-PTS培训希望培养人才,不仅是简单的渗透测试技术人员,更希望能够深入了解和掌握渗透测试工作系统,能够根据客户的实际IT环境和需求场景,根据自己的经验制定合理的渗透测试计划,能够组织团队实施渗透测试工作技术经理和领导。

  在培训教学中,专家讲师也强调了这一点,明确提出CISP-PTS和CISP-PTE讲座的主要区别不仅在于知识内容的拓展,更在于培养学习者作为未来渗透测试的专家和负责人。他们应该比普通渗透测试工程师进行更宏观、更完善、更全面的分析和思考,并通过自己更丰富的专业知识和经验,以接近项目经理的身份考虑整个渗透测试过程、适当的技术方法、可能出现的风险、测试效果的质量控制和验证等一系列问题。只有这样,我们才能更加重视未来渗透测试实施的总体规划、设计和管理。

  同时,在目前的CISP-PTS注册考试中,受考试形式的限制,对课程体系中包含的、教学培训中教授的、特别注重培养的学生对渗透考试工作的整体和综合控制能力,在目前的考试中并不能得到充分的调查和展示。这真的有点遗憾。造成这种遗憾的原因是,目前对人员渗透测试项目综合管理能力的调查确实难以在短时间内实现客观、公正、全面的定量和评价。

  CISP-PTS、CISP-PTE等注册考试应进行实际操作答案,相当于真实的现场渗透测试,时间相对较长,整个考试需要4小时才能完成。但在有限的考试中,即使增加时间,考生也不可能模拟现场的渗透测试报告,或制定渗透测试计划。因为这些工作需要通过长期的分析和研究,了解模板信息系统的具体情况、风险、工作流程、安全需求等信息,才能有目的地完成,不能完全凭空想象,否则就完全失去了评价的意义。

  我认为,对于CISP-PTS获奖者的培训,未来可以融入继续教育,如CISP-PTS获奖者定期讨论、沙龙、特别讲座、新技术分享活动,组织相互交流,可以从专家、教师、其他学生了解信息概念、知识、信息,也可以抽象实际工作中遇到的问题,以密集的安全方式描述、呈现,让大家集思广益。这不仅可以继续有效地提高每个人的视野,而且可以在渗透测试的具体工作和实际项目实施中可能遇到的问题和场景中积累更丰富的经验。作为CISP-PTS持有人,它获得了非常有价值的扩展!

  CISP-PTS确实受到了广大网络安全渗透测试从业者的关注和欢迎,尤其是高级网络安全渗透测试人才。CISP-PTS注册考试的启动反映了我国对网络安全人才培养的探索取得了新的可喜进展,也证实了CISP作为我国网络空间安全人才培养中最权威的国家注册体系,有效实施和创新了国家网络安全人才培养战略。

  未来,包括CISP渗透测试领域在内的CISP注册测试系统将配合我国将出台的关键信息基础设施安全岗位划分和能力要求的相关标准,进一步覆盖各重要网络安全技术领域高端人才的培养。同时,将紧跟国际国内网络安全技术和知识的发展脉络,实现整个CISP认证培训知识结构的更新与国内外先进知识成果的同步,为我国网络空间安全发展战略的实施培养更多更好的高端人才,为我国网络安全事业的发展做出更多更好的贡献。

CISP相关问题请咨询:客服按钮

赛虎学院作为CISP授权机构,通过率高,各地的学员皆可报名,每个月都能安排培训,就近选择培训地点。