2021CISP-PTE知識(shí)體系框架與考試題型

2021CISP-PTE（注冊(cè)滲透測(cè)試工程師）考試內(nèi)容以考試大綱為基礎(chǔ)，如有考生想要參加并獲得CISP-PTE認(rèn)證，建議先了解考綱，下文就是小編整理的CISP-PTE知識(shí)體系框架與考試題型，可供考生參考。

第2章 注冊(cè)信息安全專業(yè)人員-滲透測(cè)試知識(shí)體系

概述注冊(cè)信息安全專業(yè)人員-滲透測(cè)試方向分為：

注冊(cè)信息安全專業(yè)人員滲透測(cè)試工程師，英文為 Certified InformationSecurity Professional - Penetration Testing Engineer ，簡(jiǎn)稱CISP-PTE。證書持有人員主要從事信息安全技術(shù)領(lǐng)域網(wǎng)站滲透測(cè)試工作，具有規(guī)劃測(cè)試方案、編寫項(xiàng)目測(cè)試計(jì)劃、編寫測(cè)試用例、測(cè)試報(bào)告的基本知識(shí)和能力。

注冊(cè)信息安全專業(yè)人員滲透測(cè)試希賽網(wǎng)，英文為 Certified InformationSecurity Professional - Penetration Testing Specialist ，簡(jiǎn)稱CISP-PTS。證書持有人員主要從事漏洞研究、代碼分析工作，最新網(wǎng)絡(luò)安全動(dòng)態(tài)跟蹤研究以及策劃解決方案能力。

2.1 知識(shí)體系框架結(jié)構(gòu)

知識(shí)體系使用組件模塊化的結(jié)構(gòu)，包括知識(shí)類、知識(shí)體、知識(shí)域、知識(shí)子域四個(gè)層次。

知識(shí)類：是對(duì)滲透測(cè)試知識(shí)領(lǐng)域的總體劃分，包含信息安全專業(yè)人員需要掌握的四大知識(shí)類別;

知識(shí)體：是知識(shí)類中由屬于同一技術(shù)領(lǐng)域的知識(shí)內(nèi)容構(gòu)成的相對(duì)獨(dú)立、成體系的知識(shí)集合;

知識(shí)域：是對(duì)知識(shí)體進(jìn)一步分解細(xì)化形成的完整的知識(shí)組件;

知識(shí)子域：是構(gòu)成知識(shí)域的基本模塊，由一至多個(gè)具體知識(shí)要點(diǎn)構(gòu)成。

本大綱規(guī)定了知識(shí)子域中每一個(gè)知識(shí)要點(diǎn)的內(nèi)容和深度要求，分為“了解”、“理解”和“掌握”三類。

了解：是最低深度要求，學(xué)員需要正確認(rèn)識(shí)該知識(shí)要點(diǎn)的基本概念和原理;

理解：是中等深度要求，學(xué)員需要在正確認(rèn)識(shí)該知識(shí)要點(diǎn)的基本概念和原理的基礎(chǔ)上，深入理解其內(nèi)容，并可以進(jìn)一步的判斷和推理;

掌握：是較高深度要求，學(xué)員需要正確認(rèn)識(shí)該知識(shí)要點(diǎn)的概念、原理，并在深入理解的基礎(chǔ)上靈活運(yùn)用。

圖 2-1 描述了知識(shí)體系的結(jié)構(gòu)

圖 2-1：知識(shí)體系的組件模塊結(jié)構(gòu)

在整個(gè)知識(shí)體系結(jié)構(gòu)中，共包括 web 安全、中間件安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全，滲透測(cè)試五個(gè)知識(shí)類，每個(gè)知識(shí)類根據(jù)其邏輯劃分為多個(gè)知識(shí)體，每個(gè)知識(shí)體包含多個(gè)知識(shí)域，每個(gè)知識(shí)域由一個(gè)或多個(gè)知識(shí)子域組成。

知識(shí)體系結(jié)構(gòu)共包含五個(gè)知識(shí)類，分別為：

web 安全：主要包括 HTTP 協(xié)議、注入漏洞、XSS 漏洞、SSRF 漏洞、CSRF漏洞、文件處理漏洞、訪問(wèn)控制漏洞、會(huì)話管理漏洞，代碼審計(jì)等相關(guān)的技術(shù)知識(shí)和實(shí)踐。

中間件安全：主要包括 Apache、IIS、Tomcat、weblogic、websphere、Jboss 等相關(guān)的技術(shù)知識(shí)和實(shí)踐。

操作系統(tǒng)安全：主要包括 Windows 操作系統(tǒng)、Linux 操作系統(tǒng)相關(guān)技術(shù)知識(shí)和實(shí)踐。

數(shù)據(jù)庫(kù)安全：主要包括 Mssql 數(shù)據(jù)庫(kù)、Mysql 數(shù)據(jù)庫(kù)、Oracle 數(shù)據(jù)庫(kù)、Redis 數(shù)據(jù)庫(kù)相關(guān)技術(shù)知識(shí)和實(shí)踐。

滲透測(cè)試：主要包括信息收集，漏洞發(fā)現(xiàn)，漏洞利用相關(guān)技術(shù)知識(shí)和實(shí)踐。

圖 2-2 描述了 CISP-PTE/ CISP-PTS 的知識(shí)體系結(jié)構(gòu)框架：

圖 2-2：CISP-PTE/ CISP-PTS知識(shí)體系結(jié)構(gòu)框架

(注：其中紅色字體為僅在 CISP-PTS 注冊(cè)培訓(xùn)及考試中要求掌握的知識(shí)內(nèi)容。)

2.2 考試試題結(jié)構(gòu)

CISP-PTE 考試題型為選擇題與實(shí)操題,總分共 100 分，其中選擇題 20 分，實(shí)操題 80 分，得到 70 分以上(含 70 分)為通過(guò)。

CISP-PTS 考試題型全部為實(shí)操題,總分共 100 分，得到 70 分以上(含 70 分)為通過(guò)。

表 2-1：CISP-PTE/ CISP-PTS 試題結(jié)構(gòu)

更多備考信息盡在希賽網(wǎng)CISP頻道-考試輔導(dǎo)欄目，敬請(qǐng)期待……