CISP-IRE（注冊信息安全專業(yè)人員-應急響應工程師）考試聚焦網(wǎng)絡安全事件處置實戰(zhàn)能力，其考試時長、題型設計及備考重點均圍繞“高效應急響應”這一核心目標展開。以下為詳細說明：

一、考試時長與形式

總時長：2小時（120分鐘）

考試為線下機考，全程需在規(guī)定時間內(nèi)完成100道單項選擇題（部分題目為多選變形題，如“以下哪些是應急響應流程的階段？”）。

時間分配建議：

基礎題（30%）：快速作答（約30分鐘），涵蓋應急響應流程、法律法規(guī)等記憶性內(nèi)容。

工具與案例題（70%）：重點作答（約90分鐘），涉及日志分析、流量取證、攻擊鏈還原等實操類題目。

及格標準：滿分100分，70分及格，通過率約60%-70%（取決于實操題得分）。

二、考試內(nèi)容與題型特點

題型分布：

理論題（30%）：考察應急響應流程、等保2.0合規(guī)要求、MITRE ATT&CK框架等基礎知識。

工具實操題（40%）：需結(jié)合Wireshark、Volatility、Autopsy等工具分析PCAP包或內(nèi)存鏡像，例如“通過Wireshark過濾出SMB協(xié)議流量并提取可疑文件傳輸記錄”。

案例分析題（30%）：模擬真實攻擊場景（如勒索病毒處置、APT攻擊溯源），要求設計處置方案并還原攻擊路徑。

實操題示例：

題目：“某企業(yè)服務器被植入后門，日志顯示異常進程‘/tmp/update.sh’持續(xù)外聯(lián)，請使用Volatility提取內(nèi)存中的進程列表，并標記可疑進程。”

解題思路：

使用Volatility的pslist插件提取進程；

對比正常進程與可疑進程（如無簽名、父進程異常）；

結(jié)合網(wǎng)絡連接（netscan插件）驗證外聯(lián)行為。