很多人都知道CISP-PTS是注册渗透测试工程师。因此作为IT的从业者,从我工作开始就希望可以注册一个CISP-PTS。因此在2019年初,我就参加了CISP-PTS注册考试。让我欣喜的是,我竟然顺利通过了考试。之所以欣喜是因为CISP-PTS是当前国内在网络安全渗透测试技术领域内,最高级别的国家级专业人员资质注册的考试,有了CISP-PTS不仅可以在领域内获得很高的赞誉,还是获得更多的领域知识,加薪当然就不用多说了。
CISP-PTS与CISP-PTE(注册渗透测试工程师)相比,对申请人员的知识掌握深度、广度与实际操作经验与能力的要求更高,考试难度也明显加大,考试推出至今,全国参加CISP-PTS注册考试并顺利通过、取得该项专家级资质的人员总数大致在50人左右,其通过的门槛之高可见一斑。
作为过来人,就CISP-PTS注册考试的知识内容、考试难度、考试特点以及对CISP-PTS未来的发展,我谈一些个人的感受和建议,供大家学习和参考。
在CISP-PTS知识体系架构方面,CISP-PTS单纯从知识覆盖范围上来说,基本与CISP-PTE相同,但是CISP-PTS在每个知识类所掌握的知识域及知识子域的要求上,比CISP-PTE要求更广泛(如要求掌握更多类型的数据库、中间件所涉及的安全问题、渗透测试方法中要求掌握内网渗透知识等),并且在考试中更加注重检验考生对当前主流渗透测试技术的掌握深入程度和实施过程重点专业程度、熟练程度。正因为有这些比CISP-PTE更高的要求,所以在注册考试中,CISP-PTS取消了选择题型,所有的10道大型考试题均为实际操作题目。在4个小时内,完成这10道高难度的渗透测试场景实际操作试题,得出并提交正确答案,确实难度很大。只有打好坚实的基础,并且做好充分的备考准备,通过系统的培训与刻苦的训练,才有可能在考试中的答题正确率须达到70%以上,成功通过考试取得CISP-PTS注册资质。
此外,在参加培训过程中的授课教学方面,我感受最深的体会是:CISP-PTS培训希望培养的人才,不仅仅是单纯的渗透测试技术人员,更希望是能够对渗透测试工作系统、全面的了解和掌握,能够针对客户的实际IT环境与业务场景,依靠自身的经验制定出适合客户单位需要的合理渗透测试方案,并且能够组织团队良好的开展渗透测试工作的技术管理者和领导者。
这一点在培训授课时专家讲师也专门强调,明确指出CISP-PTS与CISP-PTE授课相比最主要的区别不仅仅是知识内容的扩展,而且是更加注重培养学习人员未来作为渗透测试的专家、负责人,应该比普通渗透测试工程师进行更加宏观、更加完善和全面的分析思考,并且通过自身更加丰富的专业知识与经验,以接近项目经理的身份考虑整个渗透测试工作的流程、适合的技术方法、可能存在的风险、测试效果质量把控与验证等方面的问题。只有如此,才能更加胜任未来所肩负的渗透测试实施的总体规划设计与管理工作。
同时,在目前的CISP-PTS注册考试中,受考试形式的限制,对课程体系中所包含、教学培训中所讲授、并且专门注重培养的学员对渗透测试工作的总体、综合把控能力,在目前的考试中并不能完全的考察和体现出来。这一点确实是略显遗憾的地方。形成这种遗憾的原因,是因为目前对人员渗透测试项目工程综合管理能力的考察确实很难通过短时间内就能够做到客观、公正、全面的量化和评测。
CISP-PTS、CISP-PTE等注册考试需要进行实际操作解题,相当于真实的现场渗透测试,所需时间本来就比较长,整个考试需要4个小时才能完成。而在限时考试中,即使再增加时间,也不可能要求考生在现场模拟编写渗透测试报告,或制定渗透测试方案。因为这些工作都需要通过长时间的分析与调研,了解模板信息系统的实际情况、面临的风险、业务流程、安全需求等诸多信息,才能够有针对性的完成,而不能完全凭空想象,否则就完全失去了考核评测的意义。
我认为,对于CISP-PTS获得者这方面的培养,在未来可以融入继续教育方面,比如针对CISP-PTS获得者定期开展座谈、沙龙、知识讲座、新技术分享会等活动,组织大家进行相互交流,既可以从专家老师、其它同学那里了解到信息的理念、知识、信息,也可以将实际工作中遇到的问题抽象出来,以脱密的安全方式描述、展现,让大家集思广益。这样不仅能够继续有效的提升大家的视野,对渗透测试具体工作、实际项目实施中可能遇到的问题和场景,也能够积累更加丰富的经验,作为CISP-PTS持证人员所获得的非常有含金量的价值扩展!
CISP-PTS确实受到了广大网络安全渗透测试从业者、特别是高级网络安全渗透测试人才的关注与欢迎。CISP-PTS注册考试的推出,体现了我国在网络安全人才培养方面的探索取得了新的可喜进展,也印证了CISP作为国内网络空间安全人才培养方面最权威的国家级注册体系,对国家网络安全人才培养战略的有效落实与创新成果。
未来,包括CISP渗透测试领域在内的CISP注册考试体系,将配合国家即将颁布的关键信息基础设施安全岗位划分与能力要求方面的相关标准,进一步覆盖各重要网络安全技术领域高端人才的培养,同时还将紧扣国际、国内网络安全技术与知识的发展脉络,实现整个CISP认证培训知识体系的更新与国内外业界先进知识成果的同步,从而为我国的网络空间安全发展战略的实施培养更多、更好的高端人才,我我们国家网络安全事业的发展做出更多、更好的贡献。
好了上述就是关于我的CISP-PTS考试感想与建议分享。如果想了解更多关于CISP-PTS考试的信息,请继续关注。