返回列表
内容详情
随着网络安全形势的日益严峻,对具备专业渗透测试技能的人才需求急剧增加。CISP-PTE证书在政府、金融、能源、通信等关键基础设施领域有广泛应用。持证者往往被优先纳入安全运维团队,甚至作为第三方安全服务机构参与等保测评、攻防演练等核心项目。CISP-PTE考试不仅要求理论知识,还强调实际动手能力,考试内容涵盖信息收集、漏洞分析、利用、维持访问和清理痕迹等多个方面。国家注册信息安全专业人员(英文名称Certified Information Security Professional,简称“CISP"),是由中国信息安全测评中心于2002年推出的、业内公认的国内信息安全领域最权威的国家级认证,是国家对信息安全人员资质最高认可。CISP作为我国信息安全人员资质认定的主要形式,已经成为我国科学、快速培养高素质信息安全人才的重要途径。CISP认证是国内知名度最高、业内公认的信息安全领域最权威的国家级资质认证。
我会定于2025年6月中下旬(具体时间电话或微信咨询)举办《注册渗透测试工程师》(CISP-PTE)及实操网络专题高级研讨班。学习结束后,参加考核合格者由中国信息安全测评中心颁发《注册渗透测试工程师》(CISP-PTE)证书。现将有关事项通知如下:
一、 注册信息安全专业人员CISP简介
中国信息安全测评中心是国家信息安全保障体系中的重要基础设施之一,具有专门面向党政机关、基础信息网络和重要信息系统开展风险评估的国家专控队伍。注册信息安全专业人员CISP(Certified Information Security Professional),是经中国信息安全测评中心实施的国家认证,对信息安全人员执业资质的认可。该证书是面向信息安全企业、信息安全咨询服务机构、信息安全测评机构、政府机构、社会各组织、团体、大专院校以及企事业单位中负责信息系统建设、运行维护和管理工作的信息安全专业人员所颁发的专业资质证书。该证书是中国信息安全测评中心为满足社会各界对于专业安全人员的迫切需求,建立和发展的一套信息安全保障人才体系战略,从 2002 年开始启动的执业认证资质。
二、 培训内容:CISP-PTE课程介绍
注册信息安全专业人员渗透测试工程师英文全称为Certified Information Security Professional - Penetration Test Engineer (简称CISP-PTE)。由中国信息安全测评中心针对攻防专业领域实施的资质培训,是国内唯一针对网络安全渗透测试专业人才的资格认证,是国内最为主流及被业界认可的专业攻防领域的资质认证,CISP-PTE认证是国家对信息安全人员资质的最高认可。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告基本知识和能力。详见附件1。
三、 培训和考试方式、时间安排和题型
(一)线上直播:2025年6月中下旬(具体时间微信咨询), #腾讯会议:XXX 会议密码:XXX(报名后告知)。
(二)在线录播:报名后开通在线课程(回放视频)
(三)线下考试:每个月全国省会城市都可以预约考试。
(四)CISP-PTE 考试试题结构:CISP-PTE 考试题型为客观题、实操题。客观题为单项选择题,共 20 题,每题1分;实操题共 80分。总分共100分,考试时间180分钟,70分以上(含 70 分)为通过。
四、 参加对象
无学历、专业及工作经验要求,在校学生及社会人士均可学习报考。
五、 培训费用
培训费:19800元/人,(包含培训费、考试费和三年注册费等所有费用。协会会员普通单位人员优惠800元/人,高级及其理事会员以上单位优惠1800/人)。
六、 证书颁发
培训考试合格者,由中国信息安全测评中心统一颁发《注册信息安全专业人员CISP-PTE》证书。证书样本如下所示:
图:《注册信息安全专业人员CISP-PTE》证书及其封面
七、 报名须知
请参加培训的学员填写报名回执表以邮件、微信等方式反馈给我部。
八、 联系方式
联系电话:18582584084(微信同号)
联 系 人:何老师
报名邮箱:315261489@qq.com
附件1: CISP-PTE知识体系和培训课程大纲
一. CISP-PTE知识体系
在整个注册信息安全专业人员-渗透测试(CISP-PTE)的知识体系结构中, 共包括 web 安全基础、中间件安全基础、操作系统安全基础、数据库安全基础这 四个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
图:CISP-PTE知识体系
CISP-PTE 知识体系使用组件模块化的结构,包括知识类、知识体、知识域、知识子域四个层次。CISP-PTE五个知识类,分别为:
Ø web 安全:主要包括 HTTP 协议、注入漏洞、XSS 漏洞、SSRF 漏洞、CSRF漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞,代码审计等相关的技术知识和实践;
Ø 中间件安全:主要包括 Apache、IIS、Tomcat、weblogic、Jboss、websphere等相关的技术知识和实践;
Ø 操作系统安全:主要包括 Windows 操作系统、Linux 操作系统相关技术知识和实践;
Ø 数据库安全:主要包括 Mssql 数据库、Mysql 数据库、Oracle 数据库、Redis 数据库相关技术知识和实践;
Ø 渗透测试:主要包括信息收集,漏洞发现,漏洞利用相关技术知识和实践。
二. 培训课程大纲
培训时间 | 培训内容 | 随堂实验 |
第一天 《渗透测试基础》 | 1.渗透测试概念与流程 2. Web架构的介绍 3. BurpSuite及其它渗透工具4.Web典型漏洞介绍 | 1.经典案例剖析一 2.经典案例剖析 二 3.更多实验视情况而定 |
第二天~第三天 《Web渗透技术(一)》 | 1.XSS漏洞 2.CSRF漏洞 3.SSRF漏洞 4.会话管理漏洞 | 1.端口扫描及分析 2. 存储/反射型跨站漏洞的利用 3.Cookie欺骗 4.更多实验视情况而定 |
第四天 《Web渗透技术(二)》 | 1.SQL/XML注入漏洞 2.远程文件包含漏洞(RFI) 3. 本地文件包含漏洞(LFI) 4.远程命令执行漏洞(RCE) | 1. MySQL手工注入 2.SQL注入绕过实践 3.自动化注入应用 4. Struts2漏洞利用 5.更多实验视情况而定 |
第五天 《安全配置(一)》 | 1. Mssql数据库安全 2. MySQL数据库安全 3.Oracle数据库安全 4. Redis数据库安全 | 1.数据库安全配置 2.Redis数据库访问漏洞利用 3.更多实验视情况而定 |
第六天 《安全配置(二)》 | 1. Windows系统安全 2.Linux系统安全 3.中间件安全 | 1. Windows/Linux安全配置 2.中间件安全配置 3.中间件日志分析 4.更多实验视情况而定 |
第七天 《综合实训练习》 | 1.实训案例一 2.实训案例二 3.实训案例三 4.更多实验视情况而定 | |
第八天 | 1.综合模拟练习 2.考前知识串讲 3.疑难解答与沟通 | |
