很多人都知道CISP-PTS是注冊滲透測試工程師。因此作為IT的從業者，從我工作開始就希望可以注冊一個CISP-PTS。因此在2019年初，我就參加了CISP-PTS注冊考試。讓我欣喜的是，我竟然順利通過了考試。之所以欣喜是因為CISP-PTS是當前國內在網絡安全滲透測試技術領域內，最高級別的國家級專業人員資質注冊的考試，有了CISP-PTS不僅可以在領域內獲得很高的贊譽，還是獲得更多的領域知識，加薪當然就不用多說了。

CISP-PTS與CISP-PTE（注冊滲透測試工程師）相比，對申請人員的知識掌握深度、廣度與實際操作經驗與能力的要求更高，考試難度也明顯加大，考試推出至今，全國參加CISP-PTS注冊考試并順利通過、取得該項專家級資質的人員總數大致在50人左右，其通過的門檻之高可見一斑。

作為過來人，就CISP-PTS注冊考試的知識內容、考試難度、考試特點以及對CISP-PTS未來的發展，我談一些個人的感受和建議，供大家學習和參考。

在CISP-PTS知識體系架構方面，CISP-PTS單純從知識覆蓋范圍上來說，基本與CISP-PTE相同，但是CISP-PTS在每個知識類所掌握的知識域及知識子域的要求上，比CISP-PTE要求更廣泛（如要求掌握更多類型的數據庫、中間件所涉及的安全問題、滲透測試方法中要求掌握內網滲透知識等），并且在考試中更加注重檢驗考生對當前主流滲透測試技術的掌握深入程度和實施過程重點專業程度、熟練程度。正因為有這些比CISP-PTE更高的要求，所以在注冊考試中，CISP-PTS取消了選擇題型，所有的10道大型考試題均為實際操作題目。在4個小時內，完成這10道高難度的滲透測試場景實際操作試題，得出并提交正確答案，確實難度很大。只有打好堅實的基礎，并且做好充分的備考準備，通過系統的培訓與刻苦的訓練，才有可能在考試中的答題正確率須達到70%以上，成功通過考試取得CISP-PTS注冊資質。

此外，在參加培訓過程中的授課教學方面，我感受最深的體會是：CISP-PTS培訓希望培養的人才，不僅僅是單純的滲透測試技術人員，更希望是能夠對滲透測試工作系統、全面的了解和掌握，能夠針對客戶的實際IT環境與業務場景，依靠自身的經驗制定出適合客戶單位需要的合理滲透測試方案，并且能夠組織團隊良好的開展滲透測試工作的技術管理者和領導者。

這一點在培訓授課時專家講師也專門強調，明確指出CISP-PTS與CISP-PTE授課相比最主要的區別不僅僅是知識內容的擴展，而且是更加注重培養學習人員未來作為滲透測試的專家、負責人，應該比普通滲透測試工程師進行更加宏觀、更加完善和全面的分析思考，并且通過自身更加豐富的專業知識與經驗，以接近項目經理的身份考慮整個滲透測試工作的流程、適合的技術方法、可能存在的風險、測試效果質量把控與驗證等方面的問題。只有如此，才能更加勝任未來所肩負的滲透測試實施的總體規劃設計與管理工作。

同時，在目前的CISP-PTS注冊考試中，受考試形式的限制，對課程體系中所包含、教學培訓中所講授、并且專門注重培養的學員對滲透測試工作的總體、綜合把控能力，在目前的考試中并不能完全的考察和體現出來。這一點確實是略顯遺憾的地方。形成這種遺憾的原因，是因為目前對人員滲透測試項目工程綜合管理能力的考察確實很難通過短時間內就能夠做到客觀、公正、全面的量化和評測。

CISP-PTS、CISP-PTE等注冊考試需要進行實際操作解題，相當于真實的現場滲透測試，所需時間本來就比較長，整個考試需要4個小時才能完成。而在限時考試中，即使再增加時間，也不可能要求考生在現場模擬編寫滲透測試報告，或制定滲透測試方案。因為這些工作都需要通過長時間的分析與調研，了解模板信息系統的實際情況、面臨的風險、業務流程、安全需求等諸多信息，才能夠有針對性的完成，而不能完全憑空想象，否則就完全失去了考核評測的意義。

我認為，對于CISP-PTS獲得者這方面的培養，在未來可以融入繼續教育方面，比如針對CISP-PTS獲得者定期開展座談、沙龍、知識講座、新技術分享會等活動，組織大家進行相互交流，既可以從專家老師、其它同學那里了解到信息的理念、知識、信息，也可以將實際工作中遇到的問題抽象出來，以脫密的安全方式描述、展現，讓大家集思廣益。這樣不僅能夠繼續有效的提升大家的視野，對滲透測試具體工作、實際項目實施中可能遇到的問題和場景，也能夠積累更加豐富的經驗，作為CISP-PTS持證人員所獲得的非常有含金量的價值擴展!

CISP-PTS確實受到了廣大網絡安全滲透測試從業者、特別是高級網絡安全滲透測試人才的關注與歡迎。CISP-PTS注冊考試的推出，體現了我國在網絡安全人才培養方面的探索取得了新的可喜進展，也印證了CISP作為國內網絡空間安全人才培養方面最權威的國家級注冊體系，對國家網絡安全人才培養戰略的有效落實與創新成果。

未來，包括CISP滲透測試領域在內的CISP注冊考試體系，將配合國家即將頒布的關鍵信息基礎設施安全崗位劃分與能力要求方面的相關標準，進一步覆蓋各重要網絡安全技術領域高端人才的培養，同時還將緊扣國際、國內網絡安全技術與知識的發展脈絡，實現整個CISP認證培訓知識體系的更新與國內外業界先進知識成果的同步，從而為我國的網絡空間安全發展戰略的實施培養更多、更好的高端人才，我我們國家網絡安全事業的發展做出更多、更好的貢獻。

好了上述就是關于我的CISP-PTS考試感想與建議分享。如果想了解更多關于CISP-PTS考試的信息，請繼續關注中培偉業。