國務(wù)院學(xué)位委員會學(xué)科評議組(網(wǎng)絡(luò)空間安中國科學(xué)技術(shù)大學(xué)永信至誠科技集團股份有限公司東南大學(xué)暨南大學(xué)武漢大學(xué)湖南大學(xué)哈爾濱工業(yè)大學(xué)天津大學(xué)四川大學(xué)中國信息安全測評中心中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司中通服華信咨詢設(shè)計研究院華為技術(shù)有限公司中國刑事警察學(xué)院中國煙草總公司福建省公司編委會主任：方濱興編委會副主任：俞能海蔡晶晶主編：劉建偉李小勇苗守野魏建國郭新海何志堅魏晶晶許偉杰張慧翔鄭世敏— 前言 論結(jié)合實踐的方式創(chuàng)新提出了立體化綜合評價安全測評人才能力的GPE方法，對指導(dǎo)—Ⅲ—網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇目錄第一章網(wǎng)絡(luò)安全測評狀況綜述011.1國內(nèi)外網(wǎng)絡(luò)安全測評政策法規(guī) 1.1.1國際網(wǎng)絡(luò)安全測評政策法規(guī) 1.1.2國內(nèi)網(wǎng)絡(luò)安全測評政策法規(guī) 1.2.1人才培養(yǎng)狀況 061.2.2人才應(yīng)用狀況 1.3.1安全測評法律法規(guī)及標(biāo)準(zhǔn)不健全 1.3.2安全測評人員能力有待提升 1.3.3安全測評管理機制不規(guī)范 1.3.4安全測評工具國產(chǎn)化較弱 第二章用人單位安全測評人才現(xiàn)狀分析14 2.1.1性別、年齡及學(xué)歷情況 2.1.2行業(yè)、地域及崗位情況 2.1.3安全測評人才資格認(rèn)證情況 目錄 202.2.1常用的安全測評方式、工具及技術(shù) 2.2.2安全測評人才需求單位 2.2.3用人單位對安全測評人才的滿意度情況 2.3用人單位進行安全測評的對象 2.3.1政府進行安全測評的對象 2.3.2行業(yè)進行安全測評的對象 2.3.3企事業(yè)進行安全測評的對象 第三章院校安全測評人才培養(yǎng)現(xiàn)狀分析32 3.1.1安全測評人才學(xué)歷情況 3.1.2安全測評人才培養(yǎng)院校及所設(shè)專業(yè)情況 3.1.3安全測評人才地域分布情況 3.2.1相關(guān)專業(yè)教學(xué)實驗室/學(xué)科平臺建設(shè)情況 3.2.2網(wǎng)絡(luò)靶場建設(shè)情況 3.2.3學(xué)生意向就業(yè)單位分布 3.3.1師資隊伍中實戰(zhàn)教師占比情況 V網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇3.3.2安全測評相關(guān)課程設(shè)置情況 3.3.3安全測評相關(guān)教材編寫出版情況 第四章安全測評人才能力評價方法58 584.1.1通用能力 4.1.2專業(yè)能力 4.1.3評價等級 4.2安全測評人才崗位分層評價概述 4.2.1安全測評人才分類 4.2.2安全測評人才分層 4.3.1崗位要求及特點描述 4.3.2崗位分層級方式描述 4.3.4滲透測試工程師崗位中級人才評價 4.3.6有效的評價方式 71 4.4.1崗位要求及特點描述 目錄4.4.2崗位分層級方式描述 4.4.3網(wǎng)絡(luò)安全攻防工程師崗位高級人才評價 744.4.4網(wǎng)絡(luò)安全攻防工程師崗位中級人才評價 4.4.5網(wǎng)絡(luò)安全攻防工程師崗位初級人才評價 4.4.6有效的評價方式 4.5.1崗位要求及特點描述 4.5.2崗位分層級方式描述 4.5.3等級保護測評師崗位高級人才評價 4.5.4等級保護測評師崗位中級人才評價 4.5.5等級保護測評師崗位初級人才評價 4.5.6有效的評價方式 4.6.1崗位要求及特點描述 4.6.2崗位分層級方式描述 4.6.3安全產(chǎn)品測評工程師崗位高級人才評價 4.6.4安全產(chǎn)品測評工程師崗位中級人才評價 4.6.5安全產(chǎn)品測評工程師崗位初級人才評價 924.6.6有效的評價方式 —網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇第五章安全測評人才在國家網(wǎng)絡(luò)安全建設(shè)中的作用97 5.1.1為政策法規(guī)制定提供依據(jù) 5.1.2為政策法規(guī)優(yōu)化提供建議 5.2.1推動行業(yè)監(jiān)管能力提升 995.2.2提升監(jiān)管隊伍水平提升 5.3.1提供底層數(shù)據(jù)和分析支撐 5.3.2參與標(biāo)準(zhǔn)制定與實施 5.3.3促進國際標(biāo)準(zhǔn)對接 5.4.1促進風(fēng)險隱患排查與產(chǎn)業(yè)安全加固 5.4.2促進安全產(chǎn)品技術(shù)創(chuàng)新與策略優(yōu)化 第六章網(wǎng)絡(luò)安全測試評估工作的指導(dǎo)性建議105 6.1.1完善關(guān)鍵信息基礎(chǔ)設(shè)施安全測評標(biāo)準(zhǔn) 6.1.2健全數(shù)據(jù)安全測評制度與標(biāo)準(zhǔn) 網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書一安全測試評估篇目錄6.1.3研制人工智能安全測評政策法規(guī)及標(biāo)準(zhǔn) 6.2.1加快轉(zhuǎn)變安全測評人才培養(yǎng)模式 6.2.2推動安全測評產(chǎn)業(yè)創(chuàng)新發(fā)展 6.2.3筑牢安全測評人才思想防線 6.2.4深化產(chǎn)教融合人才培養(yǎng)機制 6.3.1構(gòu)建國家安全測評統(tǒng)一標(biāo)準(zhǔn)體系 6.3.2加強測評機構(gòu)資質(zhì)審批與監(jiān)管 6.3.3提升安全測評獨立性與公正性 6.4.1釋放創(chuàng)新能量突破關(guān)鍵技術(shù) 6.4.2推進安全測評工具國產(chǎn)化 第一章網(wǎng)絡(luò)安全測評狀況綜述2 3 第一章網(wǎng)絡(luò)安全測評狀況綜述元或年營業(yè)額2%的罰款(以較高者為準(zhǔn)),而對于重要實體，最高罰款為7萬歐元或年營4 亞太地區(qū)各國根據(jù)自身的網(wǎng)絡(luò)環(huán)境和安全需求，制定了不同的網(wǎng)絡(luò)安全測評法律框架和規(guī)定。新加坡網(wǎng)絡(luò)安全局(CSA)于2018年推出了《網(wǎng)絡(luò)安全法》(Cyber5 第一章網(wǎng)絡(luò)安全測評狀況綜述2021年9月1日正式實施的《中華人民共和國數(shù)據(jù)安全法》指出，國家支持有關(guān)部安全保護能力。6 2024年5月15日，中央網(wǎng)絡(luò)安全和信息化委員會辦2024年5月24日，中國工業(yè)和信息化部制定并印發(fā)安全人才的缺口估計在70萬到140萬之間，而實際從事網(wǎng)絡(luò)安全工作的人數(shù)約為十萬7 第一章網(wǎng)絡(luò)安全測評狀況綜述8 9 第一章網(wǎng)絡(luò)安全測評狀況綜述 第一章網(wǎng)絡(luò)安全測評狀況綜述 第一章網(wǎng)絡(luò)安全測評狀況綜述1.3.4安全測評工具國產(chǎn)化較弱 全測評人才性別比例懸殊，男性占比高達(dá)91%,女性占比僅為9%。如圖2-1 第二章用人單位安全測評人才現(xiàn)狀分析圖2-1用人單位網(wǎng)絡(luò)安全人才性別分布從用人單位安全測評人才年齡分布來看，26-30歲的人才占比最高，達(dá)32%;其次是31-35歲，占比均為21%;21-25歲占17%。從數(shù)據(jù)上看，26-35歲年齡段的網(wǎng)安從業(yè)者，是當(dāng)前網(wǎng)絡(luò)安全測評相關(guān)崗位的主力軍，綜合占比達(dá)53%,證明，這一年齡層在用人單位側(cè)更受到歡迎。如圖2-2所示?！?6-30歲■31-35歲■21-25歲■41歲及以上■36-40歲■20歲及以下圖2-2用人單位安全測評人才年齡分布占比22%;高職/高專以及高中以下學(xué)歷占比9%,博士背景的人才占比1%。了90%,本科及碩士學(xué)歷背景的安全測評人才已成為是行業(yè)最重要的有生力量。高職/高專以及高中以下學(xué)歷安全測評從業(yè)者占比9%,說明雖然本科學(xué)歷已逐漸網(wǎng)■本科■碩士高職/高專■博士及以上■高中及以下圖2-3用人單位安全測評人才學(xué)歷分布2.1.2行業(yè)、地域及崗位情況從行業(yè)分布上看，金融行業(yè)占比最高，達(dá)20%;其次是網(wǎng)絡(luò)安全行業(yè)，占比15%;再■金融■網(wǎng)絡(luò)安全■通信■政府■交通■醫(yī)療■互聯(lián)網(wǎng)■傳媒■煙草其他■科研圖2-4用人單位安全測評人才行業(yè)分布 第二章用人單位安全測評人才現(xiàn)狀分析北京四川江蘇托丁0天津黑龍江重慶其他山西內(nèi)蒙古o8北京四川江蘇托丁0天津黑龍江重慶其他山西內(nèi)蒙古o8世4圖2-5用人單位安全測評人才地域分布 網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇3.崗位分布情況網(wǎng)絡(luò)安全測試評估是網(wǎng)絡(luò)安全實戰(zhàn)人才必須具備的一項重要能力，包括網(wǎng)絡(luò)運維、安全運營、安全攻防等多個工作崗位都涉及到一部分的安全測評工作，因為涉及到不同的安全測評場景，不同崗位都需要從自身角色定位幫助組織發(fā)現(xiàn)和修復(fù)潛在的安全風(fēng)險。從崗位分布上看，運維工程師、安全運營工程師、滲透測試工程師和網(wǎng)絡(luò)安全管理崗位的需求較高，運維工程師崗位占比最多，占比17%,其次是安全運營工程師和滲透測試工程師，占比均為16%。如圖2-6所示。圖2-6用人單位安全測評人才崗位分布崗位分布反映出以下趨勢：(1)運維工程師崗位在安全測評工作中扮演重要角色運維工程師在系統(tǒng)安全管理中扮演著關(guān)鍵角色，他們不僅支持安全測評的實施，還負(fù)責(zé)將測評結(jié)果轉(zhuǎn)化為具體的安全措施，確保系統(tǒng)的長期安全性和穩(wěn)定性。在安全測評中發(fā)現(xiàn)嚴(yán)重漏洞或在實際攻擊發(fā)生時，運維工程師與安全團隊密切合作，執(zhí)行應(yīng)急響應(yīng)計劃，確保系統(tǒng)的快速恢復(fù)和數(shù)據(jù)保護。(2)網(wǎng)絡(luò)安全測評工作涉及技術(shù)崗位多樣化占據(jù)崗位分布前8位的崗位包括滲透測試工程師、安全服務(wù)工程師、Web安全工程師等，其工作內(nèi)容都包含安全測評，但因為涉及到不同的安全測評場景，不同崗位都需要從自身角色定位幫助組織發(fā)現(xiàn)和修復(fù)潛在的安全風(fēng)險。這體現(xiàn)出，雖然用人單位的安全測評工作需求持續(xù)走高，但安全測評工作主要分散在多個崗位中，沒有單獨的崗位負(fù)責(zé)，容易導(dǎo)致標(biāo)準(zhǔn)等不一致情況。 第二章用人單位安全測評人才現(xiàn)狀分析(3)實務(wù)技術(shù)崗位在安全測評工作中占據(jù)主流地位從崗位分布情況分析，與網(wǎng)絡(luò)安全運維、滲透測試等技能強關(guān)聯(lián)的網(wǎng)絡(luò)安全類崗位需求占據(jù)需求前8位中的5位(運維工程師、滲透測試工程師、網(wǎng)絡(luò)工程師、安全攻防研究員、安全服務(wù)工程師、Web安全工程師),體現(xiàn)出安全測評市場對網(wǎng)絡(luò)安全實戰(zhàn)能力的渴求。安全測評需要對系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用程序進行實際測試，包括滲透測試、漏洞掃描、代碼審計等。這些工作需要熟練使用各種安全工具，并理解其技術(shù)原理和操作方法。實務(wù)技術(shù)崗位的人員通常具備這些操作能力，能夠直接參與和執(zhí)行具體的安全測評任務(wù)。他們還具備對系統(tǒng)架構(gòu)、網(wǎng)絡(luò)協(xié)議、應(yīng)用開發(fā)等技術(shù)的深入理解，能夠更準(zhǔn)確地評估和解釋測評結(jié)果，并提出切實可行的改進建議。調(diào)研數(shù)據(jù)顯示，當(dāng)前我國安全測評人員中，未考取任何資格證書的人員占比43%,相較而言CISP證書持有率較高，為32%,其次是數(shù)據(jù)安全評估師證書，持有率占比9%。這體現(xiàn)出CISP證書在信息安全領(lǐng)域具備較高的知名度，更受到市場的青睞。由于其廣泛的適用范圍，CISP證書持有者可以擔(dān)任信息安全領(lǐng)域多項工作，如信息安全管理、審計、咨詢、滲透測試等，其中也包含了安全測評相關(guān)工作范疇。綜合來看，安全測評相關(guān)工作崗位并未對專業(yè)資格認(rèn)證的持有情況設(shè)置嚴(yán)格要求，安全測評人員對于資格證書對于職業(yè)發(fā)展和專業(yè)認(rèn)可的重視程度也有待提高。如圖2-7所示。綜合來看，安全測評人才主要從業(yè)人群為26-35歲年齡段的男性網(wǎng)安從業(yè)者，學(xué)歷以本科為主。地域分布主要集中在北京、廣東等IT行業(yè)較為發(fā)達(dá)，且許多大型國央企單位網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇和網(wǎng)絡(luò)安全公司的總部所在地。崗位集中在安全運維、滲透測試和安全運營等方面，且近半數(shù)人員未取得相關(guān)證書，人才能力及證書結(jié)構(gòu)失衡問題顯著;此外人才結(jié)構(gòu)單一，年輕人為主力軍，缺乏多樣性和互補性，不利于行業(yè)的創(chuàng)新和全面發(fā)展。相較而言，金融、通信、能源和政府單位等行業(yè)領(lǐng)域?qū)W(wǎng)絡(luò)安全測評人才的需求較為旺盛，這些行業(yè)對網(wǎng)絡(luò)安全測評人才的重視程度通常與其所處理的數(shù)據(jù)敏感性、系統(tǒng)的復(fù)雜性以及潛在的安全風(fēng)險成正比。依據(jù)組織形式不同，安全測評分為監(jiān)管機構(gòu)組織開展的合規(guī)檢查和用人單位自行開展的安全檢查兩類。在國家政策的引導(dǎo)下，監(jiān)管機構(gòu)先后制定了網(wǎng)絡(luò)安全等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護、涉密信息系統(tǒng)分級保護、商用密碼應(yīng)用安全評估(簡稱“3保1評”)法律法規(guī)及標(biāo)準(zhǔn)體系，保障各行業(yè)各領(lǐng)域合規(guī)檢查走向規(guī)范化、制度化、常態(tài)化軌道。在我國，80%的用人單位采用“網(wǎng)絡(luò)安全等級保護測評”的方式落實和深化合規(guī)檢查工作；占比50%、46%、42%的用人單位分別以“關(guān)鍵信息基礎(chǔ)設(shè)施保護測評”“涉密信息系統(tǒng)分級保護測評”“商用密碼應(yīng)用安全性評估”的方式開展合規(guī)檢查工作；僅有9%的用人單位從未開展過合規(guī)檢查。這說明合規(guī)檢查有廣泛的覆蓋率，已發(fā)展成用人單位發(fā)現(xiàn)安全風(fēng)險、強化網(wǎng)絡(luò)和數(shù)據(jù)安全治理的關(guān)鍵環(huán)節(jié)和重要抓手。如圖2-8所示。 在滿足國家監(jiān)管合規(guī)要求的同時，為了發(fā)現(xiàn)潛在風(fēng)險發(fā)現(xiàn)、評估安全現(xiàn)狀和安全策略，用人單位也采取了多樣化的方式開展自行安全檢查。其中滲透測試和攻防演練是最主練，45%的用人單位組織過紅隊開展自查。如圖2-9所示。勒索演練圖2-9用人單位自行安全檢查方式因業(yè)務(wù)需求、知識水平、技術(shù)成熟度等差異，各單位開展安全檢查的形式也有所不同。33%的單位依托內(nèi)部員工開展安全檢查；32%的單位邀請安全廠商開展安全檢查；性、合規(guī)性與資質(zhì)認(rèn)證、流程標(biāo)準(zhǔn)化也成為了用人單位最看重的三大要素。如圖2-10、2-11所示?！鐾ㄟ^內(nèi)部員工開展■邀請第三方測評機構(gòu)■從未開展過安全檢查圖2-10用人單位安全檢查形式網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇圖2-11用人單位看重第三方安全測評機構(gòu)的要素Nessus圖2-12用人單位常用的安全測評工具日志分析、灰盒測試、配置文件比對等。其中漏洞掃描用于檢測計算機系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用 圖2-13用人單位常用的安全測評技術(shù)2.2.2安全測評人才需求單位31-50人50人及以上0人圖2-14用人單位具有安全測評能力的人數(shù)制因素。其中30%的用人單位年均預(yù)算不足20萬；21%的用人單位年均預(yù)算在21~50萬；網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇無預(yù)算20萬以下21-50萬51-100萬100-200萬200萬以上圖2-15用人單位安全測評年均預(yù)算隨著數(shù)字化轉(zhuǎn)型的加速發(fā)展，各行業(yè)各領(lǐng)域?qū)Π踩珳y評人員的需求將逐漸增大。從用人單位的單位性質(zhì)來看，國企對安全測評人員的需求量最高，占比為34%;其次為央企，占比為30%;民營企業(yè)對安全測評人員的需求量為15%。如圖2-16所示?！鰢蟆鲅肫竺駹I企業(yè)■事業(yè)單位■國家行政機關(guān)■外資企業(yè)圖2-16用人單位安全測評人才需求2.2.3用人單位對安全測評人才的滿意度情況安全測評人才的技術(shù)水平，是衡量用人單位網(wǎng)絡(luò)安全保障能力的重要指標(biāo)之一。安全測試人才的技術(shù)水平直接關(guān)系到用人單位能否有效識別、評估、應(yīng)對網(wǎng)絡(luò)安全弱點、風(fēng)險和威脅。58%的用人單位安全測評人才“熟悉常用測試工具，但是不能獨立開展安全測 第二章用人單位安全測評人才現(xiàn)狀分析評，表現(xiàn)一般”;31%的用人單位安全測評人才“精通常用測試工具，能夠獨立開展安全測評，進行代碼審計和靜態(tài)分析方面，表現(xiàn)優(yōu)秀”;還有8%的用人單位沒有安全測評人才。這說明我國安全測評人才能夠熟悉掌握安全測試工具，但獨立開展安全測評的能力有待提升。如圖2-17所示。一般，熟悉常用測試工具，但不能獨立優(yōu)秀，精通常用測試工具，能夠獨立開展安全測評，進行代碼審計和靜態(tài)分析■單位沒有安全測評人員很差，不熟悉常用測試工具，也不能獨立開展安全測評圖2-17用人單位安全測評人員技術(shù)水平行業(yè)經(jīng)驗豐富，熟悉業(yè)務(wù)場景和系統(tǒng)架構(gòu)，是衡量人才制定安全測評策略方案有效性的重要指標(biāo)。掌握單位的信息系統(tǒng)架構(gòu)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、數(shù)據(jù)流向等，有助于人才制定明確的測試方案，選擇適合的測試平臺與工具，發(fā)現(xiàn)安全弱點、風(fēng)險和威脅。45%的用人單位安全測評人才有一定的安全測試項目經(jīng)驗，熟悉行業(yè)業(yè)務(wù)場景；36%的用人單位安全測評人才主導(dǎo)或參與多個安全測試項目，對行業(yè)業(yè)務(wù)場景有一定了解；但仍有11%的用人單位安全測評人才缺乏安全測評經(jīng)驗，不熟悉行業(yè)業(yè)務(wù)場景。如圖2-18所示。一般，有一定的安全測試項目經(jīng)驗，較為熟悉行業(yè)業(yè)務(wù)場景豐富，主導(dǎo)或深度參與多個安全測試項目，熟悉行業(yè)業(yè)務(wù)場景不足，缺乏安全測試項目經(jīng)驗，不熟悉行業(yè)業(yè)務(wù)場景■單位沒有安全測評人員圖2-18安全測評人員行業(yè)經(jīng)驗 網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇安全測評人員通常會在完成安全測評工作后對安全測評結(jié)果進行報告說明，注明測評范圍、測評環(huán)境、測評流程、測評工具和測評結(jié)果等，安全測評報告也是對一次安全測評工作的成果綜合展示。問卷調(diào)研發(fā)現(xiàn)，安全測評報告水平存在差異。對比測評結(jié)果與安全現(xiàn)狀，僅有35%的安全測評報告，精準(zhǔn)識別了安全弱點、風(fēng)險和威脅，并提供了詳盡的整改建議；55%的安全測評報告，僅能夠識別部分安全弱點、風(fēng)險和威脅，并提供一些整改建議；還有10%的安全測評報告，較為形式化，識別不出有實質(zhì)影響的弱點、風(fēng)險和威脅。如圖2-19所示。2.3用人單位進行安全測評的對象2.3.1政府進行安全測評的對象根據(jù)調(diào)查數(shù)據(jù)分析，政府單位進行安全測評的對象主要集中在IT基礎(chǔ)設(shè)施、物理環(huán)境設(shè)備、應(yīng)用類軟/硬件產(chǎn)品和網(wǎng)絡(luò)安全產(chǎn)品這四大類，占比均超過62%。此外，政府單位也高度重視對密碼產(chǎn)品和人員的安全測評，占比分別為48%和43%,這些也是政府單位進行網(wǎng)絡(luò)安全評估的重點，如圖2-20所示。 第二章用人單位安全測評人才現(xiàn)狀分析大數(shù)據(jù)系統(tǒng)圖2-20政府進行安全測評的對象分布情況2.3.2行業(yè)進行安全測評的對象礎(chǔ)設(shè)施安全的重要需求。如圖2-21所示。圖2-21各行業(yè)進行安全測評的對象分布情況網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇安全威脅密切相關(guān)。同時，不同行業(yè)因其業(yè)務(wù)形態(tài)和面臨的安全威脅不同，呈現(xiàn)出不同的安全測評對以下以IT基礎(chǔ)設(shè)施、應(yīng)用類軟/硬件、密碼產(chǎn)品、數(shù)據(jù)資源、第三方服務(wù)商和供應(yīng)鏈五個1.IT基礎(chǔ)設(shè)施安全測評在IT基礎(chǔ)設(shè)施安全測評的行業(yè)分布中，能源行業(yè)和交通行業(yè)占比稍高，分別是21%和18%,如圖2-3。由于能源行業(yè)和交通行業(yè)的IT基礎(chǔ)設(shè)施分布十分廣泛，少數(shù)電力站和交通信號設(shè)施還會架設(shè)在較為偏遠(yuǎn)偏僻的位置，這些行業(yè)IT基礎(chǔ)設(shè)施遭受的網(wǎng)絡(luò)攻擊面也更大，因此安全測評的需求也更明顯。如圖2-22所示。圖2-22IT基礎(chǔ)設(shè)施安全測評行業(yè)分布情況2.應(yīng)用類軟/硬件安全測評在應(yīng)用類軟/硬件安全測評的行業(yè)分布中，交通行業(yè)和醫(yī)療行業(yè)占比稍高，分別是18%和17%,金融行業(yè)、通信行業(yè)和能源行業(yè)緊隨其后，如圖2-23所示。通過對調(diào)查數(shù)據(jù)業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施都反映出對應(yīng)用類軟/硬件的安全存在普遍的安全測評需求。 第二章用人單位安全測評人才現(xiàn)狀分析圖2-23應(yīng)用類軟/硬件安全測評行業(yè)分布情況3.密碼產(chǎn)品安全測評在密碼產(chǎn)品安全測評的行業(yè)分布中，金融行業(yè)占比最高，達(dá)到了20%,通信行業(yè)占比也達(dá)到17%。密碼技術(shù)是金融、通信等行業(yè)的業(yè)務(wù)安全底座，因此金融、通信等行業(yè)對密碼產(chǎn)品的安全測評也走在前列。如圖2-24所示。4.數(shù)據(jù)資源安全測評在數(shù)據(jù)資源安全測評的行業(yè)分布中，醫(yī)療行業(yè)占比最高，達(dá)到了25%,通信行業(yè)占比也超過了20%,金融行業(yè)緊隨其后，如圖2-25。通過對調(diào)查數(shù)據(jù)分析后發(fā)現(xiàn)，醫(yī)療、通信、在第三方服務(wù)商和供應(yīng)鏈安全測評的行業(yè)分布中，通信行業(yè)占比最高，達(dá)到了26%,能源行業(yè)占比也超過了20%。這些重點行業(yè)在使用第三方服務(wù)商和供應(yīng)鏈時迫切需要評通過上述分析發(fā)現(xiàn)，各行業(yè)用人單位均對軟/硬件基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全/密碼產(chǎn)品等 一第二章用人單位安全測評人才現(xiàn)狀分析—位對人員的安全測評需求更高，反映出用人單位對人員進行安全評估的迫切要求。如圖圖2-27企事業(yè)單位進行安全測評的對象分布情況 分別占比62%、24%,?？圃谧x和博士在讀分別占比8%、6%。這說明本科及碩士研究生 第三章院校安全測評人才培養(yǎng)現(xiàn)狀分析3.1.2安全測評人才培養(yǎng)院校及所設(shè)專業(yè)情況1.安全測評人才培養(yǎng)院校種類情況聚焦到安全測評人才培養(yǎng)院校上，普通本科院校培養(yǎng)的人數(shù)占比最高，為58%;其次是985院校、211院校(非985),分別占比19%、10%。整體來看，本科及以上院校占比97%,這表明本科及以上院校在適應(yīng)市場需求、調(diào)整課程體系方面具有較高的靈活性和響應(yīng)速度，能夠為社會輸送大批安全測評專業(yè)人才；高職高專在安全測評人才培養(yǎng)中的占比僅為3%,這反映了高職高專在培養(yǎng)此類人才方面存在一定的局限性。如圖3-2所示?！?11(非985)2.安全測評人才培養(yǎng)院校所設(shè)專業(yè)情況我國院校中，安全測評在讀學(xué)生占比最高的專業(yè)是信息安全和網(wǎng)絡(luò)空間安全，分別為26%、25%;其次是計算機科學(xué)與技術(shù)專業(yè)、網(wǎng)絡(luò)工程專業(yè)和軟件工程專業(yè)。這說明我國院 )夠圖3-3安全測評人才所讀專業(yè)■10%及以下圖3-4院校具備安全測試評估能力的人才占比 第三章院校安全測評人才培養(yǎng)現(xiàn)狀分析對院校安全測評人才來說，積極參與校外安全測評工作有助于接觸前沿的安全測評技術(shù)與工具，將知識和技能應(yīng)用于實際業(yè)務(wù)，快速開闊視野和增進安全測評能力。但在我國，由于學(xué)業(yè)壓力、機會缺失等因素，76%的院校人才從未參與過校外安全測評工作，24%的院校人才有參與接觸。如圖3-5所示。圖3-5參與過校外安全測評工作的學(xué)生分布校外安全測評工作包括攻防演練、眾測活動、日常挖漏洞等多樣化的形式，有益于人才提升測試評估技能與經(jīng)驗，與技術(shù)專家切磋經(jīng)驗及接觸意向單位等。參與過校外安全測試評估工作中的人才中，有57%參與過“國家級大型攻防演練”;42%有“日常挖漏洞提交漏洞庫”的經(jīng)歷；有38%的人才參與過“大型機構(gòu)組織的攻防演練”。如圖3-6所示。圖3-6在校學(xué)生參與過的校外安全測評活動網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇作為評估數(shù)字化建設(shè)安全現(xiàn)狀的有效方式，全國各地正在如火如荼地培育安全測評人才，院校安全測試評估人才在全國各個省(自治區(qū)、直轄市)及新疆生產(chǎn)建設(shè)兵團的院校均有分布。其中，廣東省是數(shù)字經(jīng)濟大省，政企單位在數(shù)字化轉(zhuǎn)型過程中的安全測評需求發(fā)展迅猛，推動了院校培養(yǎng)安全測評人才，人才占比最高，達(dá)8.7%;北京市、四川省高校資源豐富，有較強的學(xué)科基礎(chǔ)與師資力量，院校安全測評人才分別占比7.6%、6.7%;浙江省、河南省在制造業(yè)、電子信息產(chǎn)業(yè)發(fā)展勢頭強勁，安全測評需求也逐漸增強，院校安全測評人才分別占比6.4%、5.7%;同時，福建省、河北省、江蘇省、山東省的在校安全測評人才占比也均超過了5%。如圖3-7所示。山西省天津市陜西省上海市圖3-7院校網(wǎng)絡(luò)安全測評人才地域分布根據(jù)七大行政區(qū)劃分，華東地區(qū)的院校安全測評人才占比最高，達(dá)到了32.1%;華北地區(qū)、華中地區(qū)分列二、三，分別為19.7%和14.9%;東北地區(qū)和西北地區(qū)安全測評人才培養(yǎng)數(shù)量較低，人才分別占比5.8%和4.4%。如圖3-8所示。 第三章院校安全測評人才培養(yǎng)現(xiàn)狀分析5.0%東北華南圖3-8院校網(wǎng)絡(luò)安全測評人才培養(yǎng)區(qū)域分布3.2.1相關(guān)專業(yè)教學(xué)實驗室/學(xué)科平臺建設(shè)情況教學(xué)實驗室/學(xué)科平臺，29%的院校處于初步建設(shè)階段，6%的院校正在規(guī)劃此項工作但圖3-9院校安全測評相關(guān)教學(xué)實驗室/學(xué)科平臺建設(shè)情況 網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書一安全測試評估篇不同專業(yè)建立安全測評教學(xué)實驗室/學(xué)科平臺的階段也有所差異，總體上看，大部分與技術(shù)專業(yè)已建立、初步建設(shè)或規(guī)劃中的占比均超過了90%。尤其是有68%的網(wǎng)絡(luò)空間安全專業(yè)、57%的信息安全專業(yè)，已建立多個安全測評教學(xué)實驗室/學(xué)科平臺，高于全部相較其他專業(yè)，計算機科學(xué)與技術(shù)專業(yè)的教學(xué)實驗室/學(xué)科平臺建設(shè)有待加強，其中54%的院校該專業(yè)在初步建設(shè)階段，23%的院校該專業(yè)沒有建設(shè)計劃。如圖3-10所示。密碼科學(xué)與技術(shù)專業(yè)計算機學(xué)與技術(shù)專業(yè)其他專業(yè)■建立了多個安全測評教學(xué)實驗室/學(xué)科平臺■初步建設(shè)階段，完善中■規(guī)劃中，尚未建設(shè)■沒有建設(shè)計劃2.安全測評相關(guān)教學(xué)實驗室/學(xué)科平臺方向設(shè)安全測評教學(xué)實驗室/學(xué)科平臺的方向側(cè)重點也有所不同。在已建立的安全測評教學(xué)實驗室/學(xué)科平臺的院校中，占比靠前的方向為網(wǎng)絡(luò)安全競賽(77%)、數(shù)據(jù)安全(64%)、人工智能安全(57%)、物聯(lián)網(wǎng)安全(49%)。如圖3-11所示。 數(shù)據(jù)安全車聯(lián)網(wǎng)安全圖3-11已建安全測評教學(xué)實驗室/學(xué)科平臺方向情況初步建設(shè)階段中的安全測評實驗室/平臺方向，占比靠前的分別為網(wǎng)絡(luò)安全競賽網(wǎng)絡(luò)安全競賽網(wǎng)絡(luò)安全競賽工控安全9%圖3-12初步建設(shè)階段且正在完善中的平臺方向情況 網(wǎng)絡(luò)安全競賽網(wǎng)絡(luò)安全競賽人工智能安全工控安全車聯(lián)網(wǎng)安全云安全物聯(lián)網(wǎng)安全平臺建設(shè)的重點方向，同時物聯(lián)網(wǎng)安全、工控安全、車聯(lián)網(wǎng)安全方向的實驗室/平臺建設(shè)網(wǎng)絡(luò)空間安全、信息安全、密碼科學(xué)與技術(shù)等專業(yè)作為與教學(xué)實驗室/學(xué)科平臺和數(shù)據(jù)安全教學(xué)實驗室/學(xué)科平臺是作為提升學(xué)生網(wǎng)絡(luò)和數(shù)據(jù)安全科建設(shè)的抓手。而車聯(lián)網(wǎng)安全和工控安全方向的教學(xué)實驗室/學(xué)科平臺建設(shè)，需要投入大 第三章院校安全測評人才培養(yǎng)現(xiàn)狀分析網(wǎng)絡(luò)安全競賽網(wǎng)絡(luò)安全競賽工控安全人工智能安全■建立了多個安全測評教學(xué)實驗室/學(xué)科平臺■初步建設(shè)階段，完善中■規(guī)劃中，尚未建設(shè)—41—網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇 云安全其他759%■建立了多個安全測評教學(xué)實驗室/學(xué)科平臺■初步建設(shè)階段，完善中圖3-16密碼科學(xué)與技術(shù)專業(yè)平臺方向情況3.2.2網(wǎng)絡(luò)靶場建設(shè)情況■建立了多個網(wǎng)絡(luò)靶場■初步建立階段，完善中■沒有建設(shè)計劃■規(guī)劃中，尚未建立圖3-17院校網(wǎng)絡(luò)靶場情況 第三章院校安全測評人才培養(yǎng)現(xiàn)狀分析51%的院校信息安全專業(yè)、53%的院校密碼科學(xué)與技術(shù)專業(yè)已建立多個網(wǎng)絡(luò)靶場，對安■建立了多個網(wǎng)絡(luò)靶場平臺■規(guī)劃中，尚未建設(shè)■初步建設(shè)階段，完善中圖3-18各專業(yè)建設(shè)網(wǎng)絡(luò)靶場情況全、網(wǎng)絡(luò)安全競賽、物聯(lián)網(wǎng)安全方向占比最高，分別占比為71%、70%和36%,這樣反映—43—網(wǎng)絡(luò)安全競賽 其他5%圖3-19院校已建立的網(wǎng)絡(luò)靶場方向網(wǎng)絡(luò)安全競賽其他圖3-20院校初步建設(shè)中的網(wǎng)絡(luò)靶場方向 %網(wǎng)絡(luò)安全競賽車聯(lián)網(wǎng)安全圖3-21院校規(guī)劃中的網(wǎng)絡(luò)靶場方向生能夠在實際操作中掌握和人工智能核心技術(shù)，驗證測試評估技能，學(xué)生的核心競爭力增強，為職業(yè)發(fā)展奠定了堅實基礎(chǔ)。如圖3-22、3-23、3-24所示。網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇物聯(lián)網(wǎng)安全圖3-22網(wǎng)絡(luò)空間安全專業(yè)網(wǎng)絡(luò)靶場建設(shè)方向圖3-23信息安全專業(yè)網(wǎng)絡(luò)靶場建設(shè)方向情況 第三章院校安全測評人才培養(yǎng)現(xiàn)狀分析網(wǎng)絡(luò)安全競賽網(wǎng)絡(luò)安全競賽數(shù)據(jù)安全物聯(lián)網(wǎng)安全人工智能安全車聯(lián)網(wǎng)安全工控安全云安全其他■建立了多個網(wǎng)絡(luò)靶場■初步建設(shè)階段，完善中圖3-24密碼科學(xué)與技術(shù)專業(yè)網(wǎng)絡(luò)靶場建設(shè)方向情況匹配程度是否看好。安全測評人才意向就業(yè)單位占比靠前的分別為企業(yè)(40%)政府(18%高等院校(14%)、科研院所(13%)、國防(12%)。如圖3-25所示?！龈叩仍盒！隹蒲性核鲎灾鲃?chuàng)業(yè)圖3-25學(xué)生意向就業(yè)單位分布情況從專業(yè)角度來看，網(wǎng)絡(luò)空間安全專業(yè)學(xué)生意向就業(yè)單位占比最高的為企業(yè)(46%),其次是高等院校和政府，占比均為14%;信息安全專業(yè)學(xué)生意向就業(yè)單位占比最高的為企業(yè)(36%),其次為政府(34%)和國防(13%);密碼科學(xué)與技術(shù)專業(yè)學(xué)生意向就業(yè)單位占比最高的高等院校(45%),其次為國防(27%)。如圖3-26所示。網(wǎng)絡(luò)空間安全專業(yè)網(wǎng)絡(luò)空間安全專業(yè)信息安全專業(yè)密碼科學(xué)與技術(shù)專業(yè)計算機學(xué)與技術(shù)專業(yè)網(wǎng)絡(luò)工程專業(yè)軟件工程程師、代碼審計工程師等十余個方向。安全測評人才的意向崗位中，26%的在校學(xué)生就業(yè)首選是滲透測試工程師，16%的在校學(xué)生就業(yè)首選是Web安全工程師，其次是安全服務(wù)工程師，占比為10%,這三個崗位最受人才青睞。如圖3-27所示。水25%-20%-水25%-20%-圖3-27學(xué)生意向從事崗位情況—48— 伶20%一伶20%一圖3-28網(wǎng)絡(luò)空間安全學(xué)生意向從事崗位情況20%-圖3-29信息安全學(xué)生意向從事崗位情況圖3-30密碼科學(xué)與技術(shù)專業(yè)學(xué)生意向從事崗位情況不足10%;38%的院校實戰(zhàn)教師數(shù)量不足，師資隊伍中實戰(zhàn)教師占比在11%至30%之間； 第三章院校安全測評人才培養(yǎng)現(xiàn)狀分析■不足■尚可圖3-31院校師資隊伍中實戰(zhàn)教師數(shù)量情況2.實戰(zhàn)教師占比隨著學(xué)生學(xué)歷上升而增加從另一個角度來看，不同層次的院校師資隊伍中，實戰(zhàn)教師的占比呈現(xiàn)出明顯的差異。?？圃谧x和本科院校中，實戰(zhàn)教師的占比較少。50%的?？茖W(xué)生認(rèn)為師資隊伍中嚴(yán)重缺乏實戰(zhàn)教師，僅4%的?？茖W(xué)生認(rèn)為實戰(zhàn)教師數(shù)量充足；在本科階段，39%本科學(xué)生認(rèn)為院校師資隊伍中嚴(yán)重缺乏實戰(zhàn)教師，認(rèn)為實戰(zhàn)教師數(shù)量充足的學(xué)生僅占10%。如圖3-32所示。碩士博士本科?？啤鰢?yán)重缺乏■不足■尚可■充足圖3-32不同學(xué)歷師資隊伍中實戰(zhàn)教師占比分布而在碩士和博士階段，師資隊伍中實戰(zhàn)教師的占比情況顯著提高。在碩士階段，有24%的學(xué)生認(rèn)為其院校的師資隊伍中嚴(yán)重缺乏實戰(zhàn)教師，有16%的學(xué)生認(rèn)為實戰(zhàn)教師數(shù)量充足；在博士階段，這一比例進一步改善，只有15%的學(xué)生認(rèn)為師資隊伍中嚴(yán)重缺乏 圖3-33課程開設(shè)占比圖3-34安全測評相關(guān)課程數(shù)量 網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書一安全測試評估篇另一方面，在欠缺的安全測試評估能力方面，超過30%的學(xué)生認(rèn)為自身在滲透測試，病毒與木馬分析，逆向分析，漏洞挖掘、分析和利用等方面的能力有所欠缺。相比之僅有9%的學(xué)生認(rèn)為自身在加解密方面的能力不足。如圖3-35所示。病毒與木馬分析逆向分析追蹤溯源電子取證代碼審計Web安全操作系統(tǒng)安全以上數(shù)據(jù)可以說明，我國大部分院校開設(shè)了的安全測試相關(guān)課程。這些課程主要集安全測評相關(guān)教材的編寫出版情況可以在一定程度上反映出目前院校安全測試評估人才培養(yǎng)現(xiàn)狀?？傮w而言，安全測評相關(guān)的教材存在不同領(lǐng)域分布不均、院校使用率不在網(wǎng)絡(luò)安全相關(guān)專業(yè)的在校學(xué)生中，僅有43%的學(xué)生能夠列舉出與安全測試評估相關(guān)的教材，34%的學(xué)生認(rèn)為自己沒有接觸過安全測試評估相關(guān)教材，16%的學(xué)生不清楚自己是否接觸過。這說明目前我國網(wǎng)絡(luò)安全相關(guān)專業(yè)對于安全測試評估相關(guān)教材的使用 第三章院校安全測評人才培養(yǎng)現(xiàn)狀分析校學(xué)生對安全測評教材缺乏接觸；同時，部分學(xué)生不清楚自己是否接觸過相關(guān)教材，這體現(xiàn)出學(xué)生對安全測評這一概念以及對應(yīng)教材缺乏具體的認(rèn)識，安全測評相關(guān)教材的編寫和使用需要進一步提高針對性。如圖3-36所示。此外，能夠列舉出安全測評相關(guān)教材的在校學(xué)生中，能列舉出的數(shù)量也較少，80%的學(xué)生只能列舉出1本安全測評相關(guān)教材，僅有6%的學(xué)生列舉出兩本以上。這體現(xiàn)出院校安全測評教材的使用量仍然較少，學(xué)生獲取安全測評知識的渠道亟待增強。如圖3-37所示。2.針對安全測評出版書籍較少據(jù)調(diào)查，目前在售的名稱直接包含“安全測評”關(guān)鍵詞的相關(guān)書籍?dāng)?shù)量為12本，且其1否2是3網(wǎng)絡(luò)安全等級保護測評體系指南是4網(wǎng)絡(luò)安全測評培訓(xùn)教程否5網(wǎng)絡(luò)安全等級測評師培訓(xùn)教材否6否7網(wǎng)絡(luò)安全等級保護2.0定級測評實施與運維否8是9否否網(wǎng)絡(luò)安全等級保護測評要求應(yīng)用指南否否 第三章院校安全測評人才培養(yǎng)現(xiàn)狀分析網(wǎng)絡(luò)與內(nèi)容安全是所有課程中相關(guān)教材數(shù)量最多的，總數(shù)達(dá)到61本；其次是軟件安全與測試，共有44本相關(guān)教材；其他課程的教材數(shù)量與這兩類課程相比大幅減少，密碼學(xué)及工程實踐、區(qū)塊鏈工程實踐、網(wǎng)絡(luò)攻防原理與技術(shù)3類課程教材數(shù)量在10-20本之間；數(shù)據(jù)庫系統(tǒng)原理與安全、工業(yè)互聯(lián)網(wǎng)安全、漏洞分析技術(shù)實驗3類課程教材數(shù)量在10本以下，其中漏洞分析技術(shù)實驗相關(guān)教材數(shù)量最少，僅為4本。 力評價GPE方法。基于安全測評GPE方法，對安全測評人才涉及的四類崗位，進行多 第四章安全測評人才能力評價方法專業(yè)能力(ProfessionalAbility)和評價等級(EvaluationLevel)三個方面，形成了一種綜理測試設(shè)計尖施通用能力(GeneralAbility)是指在不同崗位和工作環(huán)境中都需定義說明學(xué)、編程語言等知識，從而建立一個多領(lǐng)域的復(fù)雜知識系統(tǒng)。定義說明專業(yè)能力(ProfessionalAbility)是指綜合思想意識、理論知識、實戰(zhàn)技能的能力集合，支撐人才在測試設(shè)計、測試實施和測試報告的關(guān)鍵環(huán)節(jié)中高效、準(zhǔn)確地完成任務(wù)。如表4-2所示。定義說明是指安全測評崗位人才根據(jù)項目的安全需求和目標(biāo)，設(shè)計出全面且有針對性的安全測試方案的能力。2.能深入理解系統(tǒng)架構(gòu)，業(yè)務(wù)流程，根據(jù)業(yè)務(wù)需求，制定是指安全測評崗位人才根據(jù)測試方案，運用測評工具和技術(shù)，對測試用例進行測試的能力。2.靈活運用專業(yè)知識和技術(shù)，執(zhí)行脆弱性測試、滲透測試、漏洞分析等具體任務(wù)；3.具備在測評過程中及時發(fā)現(xiàn)并解決問題的能力，高效、有序地完成測評任務(wù)，最大化利用時間和資源。是指能整理和分析測試過程中收集的數(shù)據(jù)，并通過客觀描述測試過程、發(fā)現(xiàn)問題、影響1.能夠通過收集測試數(shù)據(jù)準(zhǔn)確分析測評結(jié)果，識別出關(guān)鍵安全問題和潛在風(fēng)險；2.具備撰寫清晰、全面、結(jié)構(gòu)化的測評報告的能力，確保報告內(nèi)容詳實、邏輯嚴(yán)謹(jǐn)；3.能基于測評結(jié)果提出切實可行的安全改進建議和解決方評價等級(EvaluationLevel)是指對安全測評人才在通用能力和專業(yè)能力兩個方面進 第四章安全測評人才能力評價方法以繼續(xù)分層，反映出安全測評人才能力水平。這種等級分類不僅有助于用人單位明確人才的當(dāng)前能力水平，根據(jù)不同的能力水平安排崗位，也為人才發(fā)展方向提供了指導(dǎo)。如表4-3所示。定義說明高級全架構(gòu)設(shè)計等；成功。面對新型安全挑戰(zhàn)時表現(xiàn)創(chuàng)新能力，能夠提出和實施創(chuàng)新的解決方案；略進步；中級配置評估等；溝通和協(xié)調(diào)團隊成員，共同完成任務(wù)；3.具備較強的問題解決能力，能夠識別和分析安全問題并提本的安全配置檢查等技能；2.熟練掌握和使用基礎(chǔ)的網(wǎng)絡(luò)安全工具；3.在團隊合作中表現(xiàn)出積極性，能夠遵循指示并完GPE方法為安全測評崗位人才分類分級的評價提供了思路，基于GPE評價模型，可晰地了解自己的現(xiàn)狀和未來發(fā)展方向。未來，隨著技術(shù)的不斷進步和安全需求的變化，GPE方法將持續(xù)優(yōu)化和完善，為網(wǎng)絡(luò)安全人才的評估和培養(yǎng)提供科學(xué)有效的支持。11.使用自動化工具和手動技術(shù)掃描系統(tǒng)和應(yīng)用程序，發(fā)現(xiàn)并評估潛在的安全漏洞；2.模擬真實黑客攻擊，評估系統(tǒng)的弱點和易受攻擊面。2安全攻防工程師1.深入研究新興的安全漏洞和攻擊技術(shù)；2.評估漏洞的危害程度和潛在影響，并推導(dǎo)出相應(yīng)的防護策略和建31.評估和審查信息系統(tǒng)的等級保護合規(guī)性；2.制定符合等級保護要求的安全標(biāo)準(zhǔn)和流程。4安全產(chǎn)品測評工程師1.進行安全產(chǎn)品的功能測試，識別潛在的安全漏洞和風(fēng)險；2.參與安全評估流程，確保產(chǎn)品在設(shè)計、開發(fā)和發(fā)布階段的安全 X級X層(E)專業(yè)能力(P)通用能力理論知識實戰(zhàn)技能思想意識 網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書一安全測試評估篇高級九層八層率的全面提升。中級六層攻堅克難、領(lǐng)域?qū)＜椅鍖铀膶迂?zé)問題的推進解決。 第四章安全測評人才能力評價方法三層極溝通并有效解決。二層一層為組織機構(gòu)選拔、培養(yǎng)人才提供參考，在滲透測試三級九層分層體系基礎(chǔ)上，給出不同高位人才的評價要求和評價方法。高級人才的評價要求如表4-7所示。專業(yè)能力(P)通用能理論知識1.了解網(wǎng)絡(luò)安全相關(guān)概念及發(fā)展歷程，了解國內(nèi)外網(wǎng)絡(luò)安全法律法規(guī)和政策；工智能、區(qū)塊鏈等前沿技術(shù)應(yīng)用的主要安全威脅；1.精通網(wǎng)絡(luò)體系、通信協(xié)學(xué)基礎(chǔ)等相關(guān)網(wǎng)絡(luò)安全技術(shù)基本知識；2.精通漏洞管理、滲透測試方法和技術(shù)；3.精通理解網(wǎng)絡(luò)安全、滲透測試行業(yè)發(fā)展趨勢及網(wǎng)絡(luò)補方法；3.熟悉典型行業(yè)業(yè)務(wù)特點與安全態(tài)勢；4.精通安全體系化分析的實戰(zhàn)技能 1.跨部門統(tǒng)籌協(xié)調(diào)大規(guī)模多業(yè)務(wù)高防護場景滲透測試獲得共贏；方案落地應(yīng)用，并持續(xù)推動擴大應(yīng)用場景。業(yè)務(wù)可持續(xù)發(fā)展的視角給出體系化解決方案思路； 網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇專業(yè)能力(P)通用能力思想意識1.強烈的使命感，深度洞察和理解網(wǎng)絡(luò)安全及滲透測試相關(guān)技術(shù)方向和趨勢；2.從行業(yè)視角思考問題，持續(xù)探索滲透測試新技術(shù)新方法，展方向；3.具備資源統(tǒng)籌、協(xié)調(diào)能力，積極尋找長期共贏點，激勵并合理分配滿足各方訴專業(yè)能力(P)通用能理論知識1.了解網(wǎng)絡(luò)安全相關(guān)概念及發(fā)展歷程，了解國內(nèi)外網(wǎng)絡(luò)安全法律法規(guī)和政策；應(yīng)用的主要安全威脅；1.熟悉網(wǎng)絡(luò)體系、通信協(xié)學(xué)基礎(chǔ)等相關(guān)網(wǎng)絡(luò)安全技術(shù)基本知識；2.精通漏洞管理、滲透測試方法和技術(shù)；3.精通理解網(wǎng)絡(luò)安全、滲攻防原理。1.精通常見漏洞原理和修補方法；維度和基本方法；3.熟悉典型行業(yè)業(yè)務(wù)特點與安全態(tài)勢。實戰(zhàn)技能1.創(chuàng)新滲透測試技術(shù)和方法，并達(dá)到行業(yè)領(lǐng)先水平；方案具有前瞻性。效激勵各方獲得共贏；1.結(jié)合場景從行業(yè)視角和決方案；建設(shè)性意見。思想意識1.有使命感，在網(wǎng)絡(luò)安全和滲透測試領(lǐng)不斷深耕，能夠分解目標(biāo)并指引有效的體系化2.有全局意識和前瞻性視野，推動滲透測試關(guān)鍵項目建立，體系；應(yīng)用3.關(guān)注滲透測試領(lǐng)域內(nèi)人才成長和技能組成，具備建設(shè)人才梯隊的意識和能專業(yè)能力(P)通用能理論知識發(fā)展歷程，了解國內(nèi)外網(wǎng)絡(luò)安全法律法規(guī)和政策；用的主要安全威脅；2.精通漏洞管理、滲透測試方法和技術(shù)； 第四章安全測評人才能力評價方法專業(yè)能力(P)通用能理論知識3.熟悉網(wǎng)絡(luò)安全、滲透測3.了解典型行業(yè)業(yè)務(wù)特點實戰(zhàn)技能1.滲透測試技術(shù)應(yīng)用和方目標(biāo)。1.統(tǒng)籌協(xié)調(diào)大規(guī)模場景滲備攻防全局性視角；2.推動滲透測試相關(guān)方案1.結(jié)合場景從中短期體系建設(shè)視角給出解決方案；思想意識1.有創(chuàng)新意識，體系化和滲透測試架構(gòu)能力突出，持續(xù)優(yōu)化滲透測試技術(shù)和業(yè)務(wù)體系；2.具備攻防全局視角，具備攻防同步思考的意識和能力；3.具備跨部門協(xié)同、有效溝通、影響相關(guān)方的能力和技巧，積極組織協(xié)同推進，促成有4.3.4滲透測試工程師崗位中級人才評價專業(yè)能力(P)通用能理論知識1.熟悉滲透測試基本法規(guī)2.熟悉網(wǎng)絡(luò)系統(tǒng)架構(gòu)及3.熟悉測試需求分析的一般方法；4.熟悉團隊管理方法；5.熟悉項目管理方法。1.精通掌握常見軟硬件和術(shù)，包括對稱和非對稱加密。等滲透測試方法；發(fā)展趨勢。1.精通常見漏洞原理和修補方法；2.精通滲透測試報告編制要素；價維度和基本方法。 專業(yè)能力(P)通用能實戰(zhàn)技能1.帶領(lǐng)團隊對中型項目的關(guān)鍵點進行分析拆解，完成滲透測試方案設(shè)計；2.統(tǒng)籌協(xié)調(diào)并完成較復(fù)雜1.統(tǒng)籌協(xié)調(diào)較復(fù)雜滲透測解決困難；2.推動滲透測試相關(guān)方案系建設(shè)視角給出解決方案；思想意識1.有強烈的目標(biāo)導(dǎo)向意識，以結(jié)果為導(dǎo)向并輸入最優(yōu)解；2.有較強的攻關(guān)能力，主動思考并能夠解決工作中碰到的滲透測試相關(guān)核心難題；續(xù)發(fā)展。專業(yè)能力(P)通用能理論知識1.熟悉滲透測試基本法規(guī)2.熟悉網(wǎng)絡(luò)系統(tǒng)架構(gòu)及功能、滲透測試流程和設(shè)3.熟悉測試需求分析的一般方法；4.熟悉團隊管理方法；1.熟練掌握常見軟硬件和等滲透測試方法；補方法；2.熟悉滲透測試報告編制3.熟悉系統(tǒng)加固方案評價實戰(zhàn)技能1.帶領(lǐng)團隊對中型項目的關(guān)鍵點進行分析拆解，完成滲透測試方案設(shè)計；2.在測試中能夠引入前沿斷力，結(jié)合ROI和風(fēng)險優(yōu)先級給出整改方案；2.帶領(lǐng)團隊完成評估報告思想意識防護方案；2.關(guān)注流程、規(guī)范和解決方案的持續(xù)性改進；3.熟悉滲透測試行業(yè)發(fā)展?fàn)顩r，探索和應(yīng)用新方法新技術(shù)提專業(yè)能力(P)通用能理論知識1.熟悉滲透測試基本法規(guī)1.熟練掌握常見軟硬件和和方法；和修補方法； 第四章安全測評人才能力評價方法專業(yè)能力(P)通用能理論知識2.熟悉網(wǎng)絡(luò)系統(tǒng)架構(gòu)及3.了解測試需求分析的一般方法；4.了解團隊管理方法；5.了解項目管理方法。包括對稱和非對稱加密；盒等滲透測試方法；2.熟悉滲透測試報告編制3.了解系統(tǒng)加固方案評價維度和基本方法。實戰(zhàn)技能1.帶領(lǐng)團隊完成中型項目的滲透測試方案設(shè)計；方案的編寫。1.能夠根據(jù)具體場景，綜具，完成滲透測試；技術(shù)提升測試效率。1.能夠判斷測試中發(fā)現(xiàn)的風(fēng)險的優(yōu)先級，并能因地制宜的給出整改建議；2.帶領(lǐng)團隊完成評估報告編制。思想意識1.有風(fēng)險意識，能夠意識到安全風(fēng)險問題，并制定方案解決問題；2.強烈的主動意識，攻堅落地有難度的滲透測試項目或技術(shù)課題3.有技術(shù)能力和經(jīng)驗主動沉淀和輸出意識，精通滲透測試技術(shù)，并指導(dǎo)團隊提升為組織機構(gòu)選拔、培養(yǎng)人才提供參考，在滲透測試三級九層分層體系基礎(chǔ)上，給出不同高位人才的評價要求和評價方法。中級人才的評價要求如表4-9所示。專業(yè)能力(P)通用能理論知識1.了解滲透測試基本法規(guī)典型網(wǎng)絡(luò)架構(gòu)及功能；3.熟悉滲透測試的基本要素。1.熟悉常見漏洞利用技術(shù)和攻擊技術(shù)；2.了解社會工程學(xué)；等滲透測試方法。1.熟悉常用系統(tǒng)修補和加固的基本方法；2.熟悉滲透測試報告編制要素。 網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇專業(yè)能力(P)通用能實戰(zhàn)技能1.獨立完成單個系統(tǒng)的滲透測試方案設(shè)計；2.獨立完成滲透測試方案的編寫。1.熟練應(yīng)用各種漏洞掃描工具開展?jié)B透測試；測試的效率和準(zhǔn)確性；3.可以應(yīng)用POC/EXP等方法。1.能夠?qū)y試中發(fā)現(xiàn)的2.能獨立完成評估報告編制。思想意識1.具備獨立思考能力，具備較強的自驅(qū)力，對同類工作任務(wù)能夠做到舉一反三；2.積極跟進業(yè)界滲透測試、安全漏洞等相關(guān)進展，注重知識和經(jīng)驗沉淀；3.熟練掌握滲透測試相關(guān)工具和技術(shù)，根據(jù)需要制定不同的滲透測試方案。專業(yè)能力(P)通用能理論知識1.了解滲透測試基本法規(guī)和典型網(wǎng)絡(luò)架構(gòu)及功能；3.熟悉滲透測試的基本要素。1.熟悉常見漏洞利用技術(shù)和攻擊技術(shù)；等滲透測試方法。1.熟悉常用系統(tǒng)修補和加固的基本方法；2.熟悉滲透測試報告編制要素。實戰(zhàn)技能測試工具準(zhǔn)備等工作；2.獨立完成滲透測試方案1.熟練應(yīng)用各種漏洞掃描工具開展?jié)B透測試；測試的效率和準(zhǔn)確性。1.能夠?qū)y試中發(fā)現(xiàn)的改建議；估報告編制。思想意識1.具備獨立思考能力，有自驅(qū)力，能夠在少量指導(dǎo)下達(dá)成工作目標(biāo)；2.滲透測試相關(guān)工作高效完成，有所沉淀和分享；3.熟悉本職工作流程，能夠發(fā)現(xiàn)問題并積極提出改進意專業(yè)能力(P)通用能理論知識1.了解滲透測試基本法規(guī)和典型網(wǎng)絡(luò)架構(gòu)及功能；3.了解滲透測試的基本1.了解常見漏洞利用技術(shù)和攻擊技術(shù)；1.了解常用系統(tǒng)修補和加固的基本方法；2.了解滲透測試報告編制要素。 第四章安全測評人才能力評價方法專業(yè)能力(P)通用能理論知識實戰(zhàn)技能1.在指導(dǎo)下能完成測試需求分析、確定測試范圍與1.熟練應(yīng)用各種漏洞掃描工具開展?jié)B透測試；能夠判斷測試中發(fā)現(xiàn)的風(fēng)改建議。思想意識1.具備良好的安全意識和行為準(zhǔn)則，有主動意識和學(xué)習(xí)能力；2.有風(fēng)險利用成本、利用難度、對業(yè)務(wù)影響等意識，對存疑處能及時反饋 第四章安全測評人才能力評價方法4.4.2崗位分層級方式描述高級四層果轉(zhuǎn)化為可落地的技術(shù)方案和策略，為企業(yè)的網(wǎng)絡(luò)安全防御體系提對性的應(yīng)對策略和解決方案，協(xié)調(diào)各方資源進行快速響應(yīng)，確保威脅得4.設(shè)計并實施適應(yīng)企業(yè)發(fā)展和業(yè)務(wù)需求的安全架構(gòu)方案，評估現(xiàn)有網(wǎng)絡(luò)安全體系架構(gòu)三層源工作。 三層中級二層的漏洞類型進行研究和跟蹤，驗證漏洞的可利用級網(wǎng)絡(luò)安全人員進行技術(shù)指導(dǎo)和實踐輔導(dǎo)，跟進培訓(xùn)效果，根初級5.協(xié)助完成合規(guī)與審計中安全風(fēng)險的檢測評估與滲透測試網(wǎng)絡(luò)安全攻防工程師高級人才應(yīng)具備全局與前瞻視野，洞悉行業(yè)未來發(fā)展趨勢，引領(lǐng)技術(shù)的革新和進步，同時精通各類攻防技巧與編程藝術(shù)，能夠為企業(yè)制定并實施前瞻性的安全規(guī)劃與風(fēng)險防控方案的能力，如表4-11所示。 第四章安全測評人才能力評價方法專業(yè)能力(P)通用能理論知識實際的安全架構(gòu)；行業(yè)標(biāo)準(zhǔn)和最佳實踐，深入理解企業(yè)的業(yè)務(wù)流程和運營模式，使安全策略與之緊密結(jié)合，熟悉安全策略管理的制定和審核流程。剖析復(fù)雜的網(wǎng)絡(luò)安全威脅；知識，熟悉各類惡意軟件、僵尸網(wǎng)絡(luò)、APT攻擊的特點和應(yīng)對方法。2.精通網(wǎng)絡(luò)安全基礎(chǔ)知識、系統(tǒng)安全知識、應(yīng)用安全知識、各種網(wǎng)絡(luò)安全架構(gòu)法規(guī)及標(biāo)準(zhǔn)規(guī)范等。實戰(zhàn)技能踐經(jīng)驗，熟練掌握安全技術(shù)和產(chǎn)品的集成與應(yīng)用，能夠良好的系統(tǒng)分析和問題解決能力，能快速應(yīng)對架構(gòu)優(yōu)化中的挑戰(zhàn)；2.具備卓越的戰(zhàn)略思維和風(fēng)險評估能力，準(zhǔn)確把握安策略符合法規(guī)要求。應(yīng)對時，應(yīng)具備精湛的逆向挖掘威脅的細(xì)節(jié)，熟練運用力，在高壓環(huán)境下迅速做出復(fù)雜多變的威脅場景；脅檢測工具和技術(shù)，如沙箱分析、行為監(jiān)測等，具備強大的邏輯推理和數(shù)據(jù)分析能力，能夠從海量數(shù)據(jù)中識別威脅線索。1.擁有深厚的技術(shù)功底和豐富的實踐經(jīng)驗，能夠準(zhǔn)確評估和分析。帶隊完成重大項目的安全評審與風(fēng)險評估工作。思想意識1.堅守職業(yè)道德和職業(yè)操守，不進行非法攻擊和侵犯他人隱私的行為，確保工作符合相關(guān)的法律法規(guī)；行業(yè)趨勢的敏感度，不斷提升技術(shù)水平；—76— 高級四層(E)專業(yè)能力(P)通用能力思想意識4.具備處理安全事件和突發(fā)情況的能力，能夠迅速響應(yīng)并采取相應(yīng)的應(yīng)急措施；專業(yè)能力(P)通用能力理論知識1.深入了解網(wǎng)絡(luò)安全體系架構(gòu)和相關(guān)標(biāo)準(zhǔn)，如ISO27001等；2.掌握最新的網(wǎng)絡(luò)安全威脅和攻擊趨勢，以及相應(yīng)的防御策略；務(wù)需求相結(jié)合；手段和防御方式，熟知各種網(wǎng)絡(luò)攻擊和防御的原理，深入理解網(wǎng)絡(luò)安全架構(gòu)設(shè)計和原理，熟練掌握各類安全漏洞和風(fēng)險的利用方法及防御方式，能夠針對多種攻防場徑，并具備編制防御和應(yīng)急方案所需的理論知識。證授權(quán)、訪問控制等；和安全開發(fā)最佳實踐，能夠從開發(fā)角度評估應(yīng)用程序的和風(fēng)險有一定的了解；擊類型、手法以及其特征和應(yīng)對方法。熟練掌握應(yīng)急響標(biāo)準(zhǔn)操作程序。對各類操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)有深入了解。密碼學(xué)、人工智能在安全中的應(yīng)用等；最新信息；實戰(zhàn)技能并掌握其防火原理；2.具備良好的系統(tǒng)架構(gòu)設(shè)計能力，能夠整合不同的安全組件；3.熟練掌握安全策略的配的策略定制；式，深刻理解各類漏洞和風(fēng)險的原理及利用方式，熟練的工具和方法；術(shù)和手段，如網(wǎng)絡(luò)掃描、漏洞利用、社會工程學(xué)等；BurpSuite等；能夠根據(jù)需求開發(fā)定制化的術(shù)進行評估和驗證；2.擁有良好的創(chuàng)新思維和問題解決能力，能夠提出針評估方案；3.具有較為敏銳的風(fēng)險發(fā)現(xiàn)能力、風(fēng)險評估能力，精通各類風(fēng)險評估工具的使用 第四章安全測評人才能力評價方法專業(yè)能力(P)通用能實戰(zhàn)技能掌握各類安全工具的運行原者/防御者視角充分分析安全和規(guī)劃，以及安全防御架構(gòu)測試工具和腳本；5.熟練掌握網(wǎng)絡(luò)協(xié)議和系統(tǒng)架構(gòu)，能夠快速定位和分析安全問題；析工具，能夠快速識別異常能力，在高壓下保持冷靜和果斷決策。精通數(shù)據(jù)恢復(fù)和系統(tǒng)修復(fù)技術(shù)，保障系統(tǒng)的快速恢復(fù)。已收集的信息中快速發(fā)現(xiàn)存夠獨立或帶隊完成復(fù)雜的風(fēng)險評估工作。思想意識關(guān)的法律法規(guī)；行業(yè)趨勢的敏感度，不斷提升技術(shù)水平；4.具備處理安全事件和突發(fā)情況的能力，能夠迅速響應(yīng)并采取相應(yīng)的應(yīng)急措施；4.4.4網(wǎng)絡(luò)安全攻防工程師崗位中級人才評價專業(yè)能力(P)通用能力理論知識1.熟悉網(wǎng)絡(luò)攻擊的常見手法和趨勢，了解各類惡意軟件的特征和行為，掌握數(shù)據(jù)1.掌握多種編程語言和開發(fā)框架，了解操作系統(tǒng)的底層原理和機制，掌握常見的加密和解密算法；1.了解網(wǎng)絡(luò)安全的基本原開發(fā)的生命周期和流程，熟悉數(shù)據(jù)庫操作和數(shù)據(jù)處理技術(shù)， 專業(yè)能力(P)通用能理論知識段和防御方式，了解各種網(wǎng)了解網(wǎng)絡(luò)安全架構(gòu)設(shè)計和原案設(shè)計的理論知識。3.掌握事件調(diào)查的流程和技術(shù)和手段，具備一定的系全事件調(diào)查與處理。定了解，便于對工具進行開發(fā)和優(yōu)化；能夠支撐完成簡單的風(fēng)險評實戰(zhàn)技能段和方式，理解各類漏洞和風(fēng)險的原理及利用方式，熟悉各類安全防護工具的運行原理，具備安全攻擊和防御知識應(yīng)用實戰(zhàn)的能力，能夠參與簡單攻擊戰(zhàn)法和路徑的設(shè)計和規(guī)劃以及安全防御架1.掌握多種漏洞挖掘工具和技術(shù)，具備較強的代碼審行逆向分析，熟悉常見漏洞的利用方法和防范措施；3.具備較強的事件應(yīng)急處理能力，能夠運用數(shù)據(jù)恢復(fù)的數(shù)據(jù)分析和溯源，善于與團隊協(xié)作，協(xié)同調(diào)查和處理安全事件。1.掌握至少一種編程語言，如Python、C++等，具備良好的代碼規(guī)范和編程習(xí)慣，熟悉常見的安全算法和加密技術(shù)，能夠進行跨平臺的工具開發(fā)，能夠完成工具的開發(fā)和優(yōu)化；思想意識關(guān)的法律法規(guī)；行業(yè)趨勢的敏感度，不斷提升技術(shù)水平；4.具備處理安全事件和突發(fā)情況的能力，能夠迅速響應(yīng)并采取相應(yīng)的應(yīng)急措施； 第四章安全測評人才能力評價方法如表4-13所示。專業(yè)能力(P)通用能理論知識完成信息收集工作。1.了解各類常見漏洞的利用方法，熟悉各類漏洞掃描工具的原理和使用方法；2.熟悉監(jiān)測工具的原理和參數(shù)配置，了解異常行為的特征模式，熟知應(yīng)急流程和1.了解各類漏洞的形成機制級評級標(biāo)準(zhǔn)；實戰(zhàn)技能與渠道，熟悉基本的網(wǎng)絡(luò)掃分析數(shù)據(jù)的能力。對性的攻擊和防御； 思想意識關(guān)的法律法規(guī)；行業(yè)趨勢的敏感度，不斷提升技術(shù)水平；4.具備處理安全事件和突發(fā)情況的能力，能夠迅速響應(yīng)并采取相應(yīng)的應(yīng)急措施； 第四章安全測評人才能力評價方法人數(shù)約為8540人。4.5.2崗位分層級方式描述 師和高級等級保護測評師。為提升組織溝通、處置及管理效率，為網(wǎng)絡(luò)安全等級保護測評師提供清晰的職業(yè)發(fā)展路徑，有序促進企業(yè)等級保護測評能力的提升，等級保護測評師崗位劃分為三個級別四層。如表4-14所示。高級四層力、戰(zhàn)略思維、創(chuàng)新能力和團隊管理能力；體系設(shè)計和管理體系設(shè)計。1.熟悉和跟蹤國內(nèi)、外網(wǎng)絡(luò)安全的相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)的發(fā)展；2.對網(wǎng)絡(luò)安全等級保護標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)有較為深入的理解；驗和研究創(chuàng)新能力；經(jīng)驗，具有較強的組織協(xié)調(diào)和管理能力；中級大型場景和新業(yè)務(wù)環(huán)境的等級測評能力；具備網(wǎng)絡(luò)安全測評方案編制能力、網(wǎng)絡(luò)安全測評報告編制能力；2.正確理解網(wǎng)絡(luò)安全等級保護標(biāo)準(zhǔn)體系安全相關(guān)標(biāo)準(zhǔn)的發(fā)展；3.掌握網(wǎng)絡(luò)安全基礎(chǔ)知識，對網(wǎng)絡(luò)安全“三化六防”有較深理解，熟悉網(wǎng)絡(luò)安全測評方法和網(wǎng)絡(luò)安全滲透測試方法，具有網(wǎng)絡(luò)安全技術(shù)研究的基礎(chǔ)和實踐經(jīng)驗；強的組織協(xié)調(diào)和溝通能力；5.能夠獨立開發(fā)測評指導(dǎo)書，熟悉測評指導(dǎo)書的開發(fā)、版本控制和評審流程；6.能夠根據(jù)等級保護對象的特點，編制7.具有綜合分析和判斷的能力，能夠依備較強的文字表達(dá)能力；化的整改建議。 第四章安全測評人才能力評價方法具備查閱公開的安全漏洞報告，梳理漏洞分析報告能力；具備檢索已公開的漏洞驗證程序能力；具備標(biāo)記測試結(jié)果的漏洞等級能力；具備檢索已披露漏洞的測試方法、工具能行環(huán)境能力；具備使用常規(guī)化測試工具(漏洞掃描器/滲透測試工具集、協(xié)議分析儀等)能力；能根據(jù)滲透測試流程各環(huán)節(jié)規(guī)范開展測試工作；具備云計算環(huán)境、移動互聯(lián)、物聯(lián)網(wǎng)、工控系統(tǒng)等的漏洞挖掘能力；1.掌握等級測評方法，能夠根據(jù)測評指計測試用例獲取所需測試數(shù)據(jù)；3.能夠按照報告編制要求整理測評數(shù)據(jù)；入點進行測試；并記錄；6.能識別常見漏洞并初步判斷安全風(fēng)險；準(zhǔn)體系的能力；據(jù)安全測評、物理安全測評的能力；1.了解網(wǎng)絡(luò)安全等級保護的相關(guān)政策、2.熟悉網(wǎng)絡(luò)安全基礎(chǔ)知識；3.熟悉網(wǎng)絡(luò)安全產(chǎn)品分類，了解其功能、特點和操作方法；4.掌握等級測評方法，能夠根據(jù)測評指設(shè)計測試用例獲取所需測試數(shù)據(jù)；6.能夠按照報告編制要求整理測評數(shù)據(jù)。 網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書—安全測試評估篇高級通用能理論水平熟悉和跟蹤國內(nèi)、外網(wǎng)絡(luò)安全的相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)的發(fā)展。的理解。實踐能力方案及測評指導(dǎo)書的指導(dǎo)及開發(fā)。具有網(wǎng)絡(luò)安全理論研究的測評或服務(wù)項目數(shù)量不少于思想意識中級專業(yè)能力(P)通用能理論水平熟悉網(wǎng)絡(luò)安全等級保護相關(guān)政策、法規(guī)，正確理解網(wǎng)絡(luò)安全等級保護標(biāo)準(zhǔn)體系和主要標(biāo)準(zhǔn)內(nèi)容，能夠跟蹤國內(nèi)、國際網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)的發(fā)展。掌握網(wǎng)絡(luò)安全基礎(chǔ)知識，法，具有網(wǎng)絡(luò)安全技術(shù)研究的基礎(chǔ)和實踐經(jīng)驗。熟悉等級保護報告單項測分析。實踐能力本控制和評審流程；能夠根據(jù)等級保護對象的特點，編制測評方案，確定方法。測評方案的編制，包括確定測評對象和測評指標(biāo)，確定測評指導(dǎo)書的選擇，掌握測評實施要點。的問題，提出合理化的整改開展安全測評或服務(wù)項目思想意識象，開展針對性安全培訓(xùn)方目實施中踐行安全管理要求具有綜合分析和判斷的能力，能夠依據(jù)測評報告模板 第四章安全測評人才能力評價方法評價如表4-17所示。專業(yè)能力(P)通用能理論水平了解網(wǎng)絡(luò)安全等級保護的檢查內(nèi)容。掌握開展等級保護測評活了解測試評估的范圍和所實踐能力行測評方法設(shè)計；掌握根據(jù)業(yè)務(wù)場景，選擇測評設(shè)計實施步驟；能使用測試工具對被測對象進行測試并記錄；能夠按照報告編制要求整理測評數(shù)據(jù)，整理單項檢查項數(shù)據(jù)，形成初步等級保護測評檢查結(jié)果。思想意識專業(yè)能力(P)通用能理論水平了解網(wǎng)絡(luò)安全等級保護的掌握開展等級保護測評活了解等級保護測評報告結(jié)構(gòu)，了解測試評估的范圍和所涉及的知識點。實踐能力所需測試數(shù)據(jù)；掌握根據(jù)業(yè)務(wù)場景，選擇能使用測試工具對被測對象進行測試并記錄；掌握測評工具的操作方法，能夠合理設(shè)計測試用例獲取所需測試數(shù)據(jù)。能夠按照報告編制要求整理測評數(shù)據(jù)，整理單項檢查項數(shù)據(jù)，形成初步等級保護測評檢查結(jié)果。思想意識熟悉網(wǎng)絡(luò)安全基礎(chǔ)知識；解釋，指出現(xiàn)狀存在的明顯風(fēng)險。 第四章安全測評人才能力評價方法4.6.1崗位要求及特點描述 如表4-18所示。從事產(chǎn)品/軟硬件結(jié)合的整機系統(tǒng)相關(guān)的測試設(shè)計與評估、計與實現(xiàn)、測試技術(shù)規(guī)劃、關(guān)鍵技術(shù)研究等工作內(nèi)容的崗位。從事產(chǎn)品硬件、芯片相關(guān)的測試設(shè)計與評估、DFX類測試、技術(shù)規(guī)劃、關(guān)鍵技術(shù)研究等工作內(nèi)容的崗位。從事軟件平臺測試、軟件組件測試、軟硬件結(jié)合產(chǎn)品中的相關(guān)的測試系統(tǒng)設(shè)計與實現(xiàn)、測試技術(shù)規(guī)劃、關(guān)鍵技術(shù)研解決方案測試對內(nèi)代表客戶驗收版本質(zhì)量：在實驗室模擬各種現(xiàn)網(wǎng)評估標(biāo)準(zhǔn)，基于IPD研發(fā)流程看護客戶界面，綜合評估客戶價值和解決方案商用成熟度。解決方案測試對外代表研發(fā)支撐項目商業(yè)成功：保障外部客戶化測試項目成功交付，包括且不限于比拼、演示、POC、行業(yè)認(rèn)證、聯(lián)合客戶創(chuàng)新等。從事軟件/硬件/軟硬件結(jié)合的產(chǎn)品/服務(wù)/解決方案安全與估、DFNS類測試、測試系統(tǒng)設(shè)計與實現(xiàn)、測試技術(shù)規(guī)劃、關(guān)鍵技術(shù)研究等工作內(nèi)容的崗 第四章安全測評人才能力評價方法基于安全產(chǎn)品測試崗位職責(zé)要求和層級差異，將崗位分為高級、中級和初級三個分高級面提升，通過外規(guī)內(nèi)化、內(nèi)歸外化兌現(xiàn)安全產(chǎn)品競爭力領(lǐng)先一代。中級安全產(chǎn)品競爭力業(yè)界一流。四層系統(tǒng)，測試系統(tǒng)競爭力顯著提升；對安全產(chǎn)品測試質(zhì)量和效率上效率上實現(xiàn)全面提升。安全產(chǎn)品測評工程師崗位高級人才具備構(gòu)建安全產(chǎn)品測試業(yè)務(wù)發(fā)展愿景，帶領(lǐng)測試 專家團隊開創(chuàng)定義測試技術(shù)方向和測試系統(tǒng)，測試系統(tǒng)引領(lǐng)行業(yè)標(biāo)準(zhǔn)、規(guī)范能力。全面提升系列安全產(chǎn)品測試質(zhì)量和效率，支撐產(chǎn)品競爭力全面領(lǐng)先。高級崗位人才要求如表4-20所示。專業(yè)能力(P)通用能理論水平1.測試策略：策略制定和評估、策略執(zhí)行、策略分析和與識別、測試技術(shù)與測試系統(tǒng)分析計、測試方案與用例設(shè)計、測試架構(gòu)維護與演進。1.測試工程：測試工程方現(xiàn)、測試工程規(guī)劃；案設(shè)計能力；件測試分類、研發(fā)模式測試、1.測試評估：缺陷分析與管理、測試評估、評估模型設(shè)計與實現(xiàn)；實踐能力1.挖掘潛在需求，并提出系統(tǒng)規(guī)劃；制定測試策略，通過分工和協(xié)作，驅(qū)動質(zhì)量和測試效率提升；通過先進測試技術(shù)創(chuàng)新，構(gòu)建精準(zhǔn)高效測試策略制定技術(shù)；3.具備創(chuàng)新測試系統(tǒng)設(shè)計的能力，有效消減測試覆蓋計方案。1.具備對測試系統(tǒng)或工具平臺的創(chuàng)新能力；主導(dǎo)測試系統(tǒng)服務(wù)化構(gòu)建；創(chuàng)新性制定測試模式、自動挑戰(zhàn)或問題，提升測試效率、界領(lǐng)先。掌握行業(yè)質(zhì)量評估標(biāo)準(zhǔn)和系統(tǒng)的重構(gòu)優(yōu)化能力，構(gòu)建系統(tǒng)級的產(chǎn)品質(zhì)量評估系統(tǒng)，實時準(zhǔn)確呈現(xiàn)當(dāng)前真實的產(chǎn)品質(zhì)量。思想意識1.具備戰(zhàn)略思維和全局視角，長遠(yuǎn)規(guī)劃，深刻洞察新機會和挑戰(zhàn)；2.具備創(chuàng)新測試意識，跟蹤安全產(chǎn)品測試技術(shù)和發(fā)展趨勢，探索新的測試技術(shù)，提升整體安全產(chǎn)品測試水平；3.具備內(nèi)外部影響力和推動力，對技術(shù)路徑和關(guān)鍵方案進行決策，引領(lǐng)技術(shù)發(fā)展方推動測試系統(tǒng)的創(chuàng)新、測試作業(yè)平臺演進和共建共享；4.勇于挑戰(zhàn)，克服困難，主動擔(dān)責(zé)，堅持不懈，精益求精，追求卓越；5.不斷總結(jié)，不斷學(xué)習(xí)，持續(xù)改進，懂得傾聽，尊重他人，善于與他人合作；6.至誠守信，工作中能承受壓力，不推卸責(zé)任。 第四章安全測評人才能力評價方法專業(yè)能力(P)通用能理論水平1.測試策略：策略制定和與識別、測試技術(shù)與測試系統(tǒng)分析1.測試工程：測試工程方法與技術(shù)、測試工程設(shè)計與實現(xiàn)、測試工程規(guī)劃；案設(shè)計能力；1.測試評估：缺陷分析與計與實現(xiàn)；實踐能力1.挖掘潛在需求，并提出創(chuàng)新性競爭力方案；洞察測測試系統(tǒng)規(guī)劃；制定測試策略，通過分工和協(xié)作，驅(qū)動質(zhì)量和測試效率提升；通過先進測試技術(shù)創(chuàng)新，構(gòu)建精準(zhǔn)高效測試策略制定技術(shù)；3.具備創(chuàng)新測試系統(tǒng)設(shè)計的能力，有效消減測試覆蓋風(fēng)險；備豐富的測試經(jīng)驗，能夠反推前端應(yīng)用，提升系統(tǒng)設(shè)計方案。1.具備對測試系統(tǒng)或工具系統(tǒng)服務(wù)化構(gòu)建；趨勢，規(guī)劃完善測試模式、自動化框架、研發(fā)環(huán)境等測成本，業(yè)界一流。規(guī)范，具備對產(chǎn)品質(zhì)量評估系統(tǒng)的重構(gòu)優(yōu)化能力，構(gòu)建實時準(zhǔn)確呈現(xiàn)當(dāng)前真實的產(chǎn)品質(zhì)量。思想意識1.具備戰(zhàn)略思維和全局視角，長遠(yuǎn)規(guī)劃，深刻洞察新機會和挑戰(zhàn)；體安全產(chǎn)品測試水平；3.具備內(nèi)外部影響力和推動力，對技術(shù)路徑和關(guān)鍵方案進行決策，引領(lǐng)技