CISP IRE考试考多久？

CISP-IRE（注册信息安全专业人员-应急响应工程师）考试聚焦网络安全事件处置实战能力，其考试时长、题型设计及备考重点均围绕“高效应急响应”这一核心目标展开。以下为详细说明：

一、考试时长与形式

总时长：2小时（120分钟）

考试为线下机考，全程需在规定时间内完成100道单项选择题（部分题目为多选变形题，如“以下哪些是应急响应流程的阶段？”）。

时间分配建议：

基础题（30%）：快速作答（约30分钟），涵盖应急响应流程、法律法规等记忆性内容。

工具与案例题（70%）：重点作答（约90分钟），涉及日志分析、流量取证、攻击链还原等实操类题目。

及格标准：满分100分，70分及格，通过率约60%-70%（取决于实操题得分）。

二、考试内容与题型特点

题型分布：

理论题（30%）：考察应急响应流程、等保2.0合规要求、MITRE ATT&CK框架等基础知识。

工具实操题（40%）：需结合Wireshark、Volatility、Autopsy等工具分析PCAP包或内存镜像，例如“通过Wireshark过滤出SMB协议流量并提取可疑文件传输记录”。

案例分析题（30%）：模拟真实攻击场景（如勒索病毒处置、APT攻击溯源），要求设计处置方案并还原攻击路径。

实操题示例：

题目：“某企业服务器被植入后门，日志显示异常进程‘/tmp/update.sh’持续外联，请使用Volatility提取内存中的进程列表，并标记可疑进程。”

解题思路：

使用Volatility的pslist插件提取进程；

对比正常进程与可疑进程（如无签名、父进程异常）；

结合网络连接（netscan插件）验证外联行为。