CISP-PTE认证是什么？

注册信息安全专业人员渗透测试工程师，英文全称为Certified Information Security Professional - Penetration Test Engineer （简称CISP-PTE），是由中国信息安全测评中心针对攻防专业领域实施的资质培训， 是国内唯一针对网络安全渗透测试专业人才的资格认证，是国内最为主流及被业界认可的专业攻防领域的资质认证，CISP-PTE认证也是国家对信息安全人员资质的最高认可。

CISP-PTE认证的职业发展方向

CISP-PTE 职业发展方向

CISP-PTE认证应用广泛，市场人才需求急剧增加

• 微型企业：5.6%
• 小微型企业：24.9%
• 中小型企业：30.1%
• 中型企业：10.2%
• 大中型企业：21.3%
• 大型企业：7.6%
• 其他：0.3%

网络安全行业作为新兴赛道，尚在快速发展阶段
我国在网络安全人才的缺口高达50万~100万人，专业学习渗透测试人才则更加紧缺

拿下CISP-PTE 认证，证明实力，领跑竞争对手

• 

  薪资待遇高

  全国网络安全人才平均年薪33.77万元，领跑各大行业。
  对于渗透测试相关人才，工资在每月12k-35k不等，需求量及工资水平相对很高。

• 

  证书含金量高

  CISP-PTE是渗透测试方向国内认可度极高的一个认证，由中国信息安全测评中心颁发证书，政府背书，值得拥有。

• 

  企业认可的能力凭证

  CISP-PTE认证是政府、国企及重点行业从业，以及企业获取信息安全服务资质，参与网络安全项目的必备证书。

• 

  就业加分项

  系统学习渗透测试方向专业知识，掌握实操技能，帮助持证人在众多应聘者中，脱颖而出。

• 

  企业价值

  提升企业的信誉度和专业性，赢得更广阔的信任度和市场，拥有一批获得CISP—PTE认证的国家一流渗透测试人才，能保障企业的发展更上一层。

针对性的技能培训+硬核资料，有效提升通过率

01
系统化学习，紧抓考试大纲内容

CISP-PTE官方教材
CISP-PTE测试工具
CISP-PTE实操真题
CISP-PTE笔试真题题库
CISP-PTE实操重点复习资料
CISP-PTE笔试重点复习资料

02
CISP-PTE 培训资料，全面覆盖考点

官方授权机构全程陪伴，6大优势助力备考，让你取证无忧

• 01

  16年IT培训经验
  老牌培训机构信得过

• 02

  官方授权
  培训质量有保证

• 03

  CISP-PTE考试
  通过率98.35%

• 04

  讲师项目在职
  经验丰富 技术主流

• 05

  教辅材料丰富
  实验/考试全覆盖

• 06

  移动端刷题
  灵活高效

谁适合参加CISP-PTE认证

CISP-PTE认证新手接纳度高，是进入渗透测试领域的通行证

• 

  信息安全从业者

  对于正在从事或者准备从事信息安全的人员，一门证书可以作为加分项

• 

  IT从业者

  社会各界从事计算机应用技术软件、网络、信息系统和信息服务等的人群

• 

  找工作/想转岗

  不明确方向的应届生多一个就业机会职业发展不好，想转其它岗位提供一个发展机会

CISP-PTE认证考试须知

• 学员无学历与工作经历要求，可直接报考
• CISP-PTE培训完第二天考试
• 由中国信息安全测评中心出试卷
• CISP-PTE 考试题型为客观题、实操题
• 客观题为单项选择题，共 20 题，每题 1 分，实操题共 80 分。总分共 100 分，得到 70 分以上(含 70 分)为通过
• 证书有效期为三年，三年到期需要重新参加认证考试

国家注册信息安全专业人员CISP-PTE认证课程大纲

• 知识类
• 知识体
• 知识域
• 知识子域

第一部分
操作系统安全基础 第二部分
数据库安全基础 第三部分
中间件安全基础 第四部分
WEB安全基础

Windows系统安全	账户安全	账户的基本概念
		账户风险与安全策略
	文件系统安全	文件系统基础知识
		NTFS权限设置
	日志分析	系统日志的分类
		日志的审计方法
Linux系统安全	账户安全	账户的基本概念
		账户风险与安全策略
	文件系统安全	文件系统基础知识
		NTFS权限设置
	日志分析	系统日志的分类
		日志的审计方法

关系型数据库	MSSQL	MSSQL角色与权限
		MSSQL存储过程安全
	MYSQL	MYSQL权限与设置
		MYSQL内置函数风险
	Oracle	Oracle角色与权限
		Oracle安全风险
非关系型数据库	Redis	Redis权限与设置
		Redis未授权访问风险

主流的中间件	Apache	Apache服务器的安全设置
		Apache服务器文件名解析漏洞
		Apache服务器日志审计方法
	IIS	IIS服务器的安全设置
		IIS服务器常见漏洞
		IIS服务器日志审计方法
	Tomcat	Tomcat服务器的安全设置
		Tomcat服务器的日志审计方法
JAVA开发的中间件	Weblogic	Weblogic的安全设置
		Weblogic的漏洞利用与防范
		Weblogic的日志审计方法
	Websphere	Websphere的安全设置
		Websphere的漏洞利用与防范
		Websphere的日志审计方法
	Jboss	Jboss的安全设置
		Jboss的漏洞利用与防范
		Jboss的日志审计方法

HTTP协议	HTTP请求方法	HTTP1.0的请求方法
		HTTP1.1新增的请求方法
	HTTP状态码	HTTP状态码分类
		HTTP状态码的含义
	HTTP协议响应头信息	HTTP响应头的类型
		HTTP响应头的含义
	HTTP协议的URL	URL的定义
		URL的格式
注入漏洞	SQL注入	SQL注入概念
		SQL注入漏洞类型
		SQL注入漏洞安全防护
	XML注入	XML注入概念
		XML注入漏洞检测与防护
	代码注入	远程文件包含漏洞（RFI）
		本地文件包含漏洞（LFI）
		命令执行漏洞（CI）
XSS漏洞	存储式XSS	存储式XSS的概念
		存储式XSS的检测
		存储式XSS的安全防护
	反射式XSS	反射式XSS的概念
		反射式XSS的利用与修复
	DOM式XSS	DOM式XSS的特征
		DOM式XSS的防御
请求伪造漏洞	SSRF漏洞	服务端请求伪造漏洞概念
		服务端请求漏洞的检测与防护
	CSRF漏洞	跨站请求伪造漏洞概念
		跨站请求漏洞的危害与防御
文件处理漏洞	任意文件上传	上传漏洞的原理与分析
		上传漏洞的检测与防范
	任意文件下载	文件下载漏洞的原理与分析
		文件下载漏洞的检测与防范
访问控制漏洞	横向越权	横向越权漏洞的概念
		横向越权漏洞的检测与防范
	垂直越权	垂直越权漏洞的概念
		垂直越权漏洞的检测与防范
会话管理漏洞	会话劫持	会话劫持漏洞的概念与原理
		会话劫持漏洞基本防御方法
	会话固定	会话固定漏洞的概念与原理
		会话固定漏洞基本防御方法
第6天 考试