信息安全測試員(中級工)技能考核要素細(xì)目表(征求意見稿)

認(rèn)定范圍一級認(rèn)定范圍二級認(rèn)定點

代碼名稱認(rèn)定比重代碼名稱認(rèn)定比重選考方式代碼名

稱重要程度試題量

A安全研究30%A漏洞工具研究30%001已披露漏洞測試方法、工具的檢索，漏洞測試與漏洞測試工具所需運行環(huán)境的搭建X6

A測試準(zhǔn)備15%001信息收集工具的使用、信息收集X6

B脆弱性測試30%

B測試實施15%001滲透測試工具的配置、滲透測試工具的使用、掃描工具狀態(tài)的確認(rèn)X6

必考

A測試數(shù)據(jù)評估10%001日志分析命令的使用、日志分析工具的使用、流量分析工具的使用X6

C滲透測試20%

B測試管理10%001Web漏洞的測試、主機(jī)漏洞的測試、數(shù)據(jù)庫漏洞的測試X6

D修復(fù)防護(hù)20%A漏洞修復(fù)測試20%001漏洞驗證、漏洞修復(fù)效果的驗證X6

注：鑒定點的重要程度是指每個鑒定點在所屬鑒定范圍中的相對重要性水平，它反映了每個鑒定點與其他鑒定點相對重要程度。

X為最重要的核心要素，為職業(yè)活動必備的知識點，一般占85%以上；

Y為一般要素，不超過10%；

Z為輔助性要素，不超過5%。

信息安全測試員(高級工)技能考核要素細(xì)目表(征求意見稿)

認(rèn)定范圍一級認(rèn)定范圍二級認(rèn)定點

代碼名稱認(rèn)定比重代碼名稱認(rèn)定比重選考方式代碼名

稱重要程度試題量

A安全研究30%A漏洞工具研究30%001已披露漏洞測試工具有效性的驗證、根據(jù)已有的漏洞代碼片段編寫漏洞觸發(fā)代碼X6

A信息搜集10%001信息收集工具的使用、信息收集、信息收集結(jié)果的梳理分析X6

B脆弱性測試30%

B測試實施20%001測試脆弱項的檢索、Web層面漏洞的人工測試、主機(jī)層面漏洞的人工測試、數(shù)據(jù)庫層面漏洞的人工測試X6

必考

A環(huán)境恢復(fù)10%001日志分析命令的使用、日志分析工具的使用、攻擊日志的判斷、流量分析工具的使用、惡意攻擊流量的分析X6

C滲透測試30%

B測試管理20%001根據(jù)日志判斷對應(yīng)行為、根據(jù)異常情況發(fā)現(xiàn)不規(guī)范操作X6

D修復(fù)防護(hù)10%A漏洞修復(fù)測試10%001根據(jù)測試項及測試結(jié)果給出修復(fù)建議、根據(jù)測試報告驗證漏洞修復(fù)效果X6

注：鑒定點的重要程度是指每個鑒定點在所屬鑒定范圍中的相對重要性水平，它反映了每個鑒定點與其他鑒定點相對重要程度。

X為最重要的核心要素，為職業(yè)活動必備的知識點，一般占85%以上；

Y為一般要素，不超過10%；

Z為輔助性要素，不超過5%。

信息安全測試員(技師)技能考核要素細(xì)目表(征求意見稿)

認(rèn)定范圍一級認(rèn)定范圍二級認(rèn)定點

代碼名稱認(rèn)定比重代碼名稱認(rèn)定比重選考方式代碼名

稱重要程度試題量

A漏洞工具研究10%001已公開漏洞測試工具的優(yōu)化、漏洞驗證程序的集成化開發(fā)X6

A安全研究25%

B漏洞發(fā)現(xiàn)15%001源代碼審計、利用代碼審計工具進(jìn)行漏洞挖掘X6

B脆弱性測試25%A測試實施25%必考001業(yè)務(wù)邏輯漏洞的挖掘、交易類業(yè)務(wù)邏輯漏洞的利用X6

C滲透測試25%A漏洞利用25%001安全防御機(jī)制的測試、測試路徑的制定、多漏洞聯(lián)合的測試X6

D修復(fù)防護(hù)10%A漏洞修復(fù)建議確認(rèn)10%001修復(fù)建議可行性的確認(rèn)、漏洞修復(fù)效果驗證結(jié)論的確認(rèn)X6

A培訓(xùn)實施15%001編輯工具的使用、培訓(xùn)時間及場地的規(guī)劃、培訓(xùn)考核方式的設(shè)計、培訓(xùn)考題類型及分值的設(shè)計、課件的制作、課程的面授、講義的編寫X4

E培訓(xùn)指導(dǎo)15%任選一項

B技術(shù)指導(dǎo)15%001培訓(xùn)計劃的優(yōu)化指導(dǎo)、講義的優(yōu)化指導(dǎo)、課件的優(yōu)化指導(dǎo)、面授方法的優(yōu)化指導(dǎo)、考核組織及優(yōu)化指導(dǎo)、培訓(xùn)內(nèi)容的優(yōu)化指導(dǎo)X4

注：鑒定點的重要程度是指每個鑒定點在所屬鑒定范圍中的相對重要性水平，它反映了每個鑒定點與其他鑒定點相對重要程度。

X為最重要的核心要素，為職業(yè)活動必備的知識點，一般占85%以上；

Y為一般要素，不超過10%；

Z為輔助性要素，不超過5%。

信息安全測試員(高級技師)技能考核要素細(xì)目表(征求意見稿)

認(rèn)定范圍一級認(rèn)定范圍二級認(rèn)定點

代碼名稱認(rèn)定比重代碼名稱認(rèn)定比重選考方式代碼名

稱重要程度試題量

A安全研究30%A漏洞發(fā)現(xiàn)30%必考001未知漏洞的挖掘、未知漏洞的評估、漏洞說明材料的編寫X6

A信息搜集25%001信息收集工具的編寫、信息收集工具的更新迭代X4

B脆弱性測試25%任選一項

B測試實施25%001結(jié)合測試場景制定測試工具的使用策略、測試工具的編寫X4

A隱患處置15%必考001系統(tǒng)內(nèi)隱藏惡意軟件的發(fā)現(xiàn)、系統(tǒng)內(nèi)隱藏惡意軟件的分析、系統(tǒng)內(nèi)隱藏惡意軟件的處置、系統(tǒng)內(nèi)隱藏惡意軟件的溯源X6

C滲透測試20%

信息系統(tǒng)異常情況類型和影響等指標(biāo)的評估、測試工作應(yīng)急預(yù)案和解決異常問題的制定、安全測試技術(shù)指南的審定和優(yōu)化、實施計劃的審定和優(yōu)

B測試管理5%必考001X6

化

D修復(fù)防護(hù)10%A系統(tǒng)修復(fù)10%必考001測試系統(tǒng)安全的評估、測試系統(tǒng)的風(fēng)險識別、測試系統(tǒng)安全優(yōu)化建議的編寫X6

編輯工具的使用、培訓(xùn)時間及場地的規(guī)劃、培訓(xùn)內(nèi)容邏輯關(guān)系分析及順序安排、培訓(xùn)考核方式的設(shè)計、培訓(xùn)考題類型及分值的設(shè)計、課件的制作

A培訓(xùn)實施15%001X4

、課程的面授、講義的編寫、面授存在問題的指導(dǎo)

E培訓(xùn)指導(dǎo)15%任選一項

培訓(xùn)計劃的優(yōu)化指導(dǎo)、講義的優(yōu)化指導(dǎo)、課件的優(yōu)化指導(dǎo)、面授方法的優(yōu)化指導(dǎo)、考核方案的制定及優(yōu)化指導(dǎo)、考核組織及優(yōu)化指導(dǎo)、培訓(xùn)內(nèi)容

B技術(shù)指導(dǎo)15%001X4

的優(yōu)化指導(dǎo)、課程的標(biāo)準(zhǔn)化與優(yōu)化指導(dǎo)

注：鑒定點的重要程度是指每個鑒定點在所屬鑒定范圍中的相對重要性水平，它反映了每個鑒定點與其他鑒定點相對重要程度。

X為最重要的核心要素，為職業(yè)活動必備的知識點，一般占85%以上；

Y為一般要素，不超過10%；

Z為輔助性要素，不超過5%。

信息安全測試員(中級工)技能考核要素細(xì)目表(征求意見稿)

認(rèn)定范圍一級認(rèn)定范圍二級認(rèn)定點

代碼名稱認(rèn)定比重代碼名稱認(rèn)定比重選考方式代碼名

稱重要程度試題量

A安全研究30%A漏洞工具研究30%001已披露漏洞測試方法、工具的檢索，漏洞測試與漏洞測試工具所需運行環(huán)境的搭建X6

A測試準(zhǔn)備15%001信息收集工具的使用、信息收集X6

B脆弱性測試30%

B測試實施15%001滲透測試工具的配置、滲透測試工具的使用、掃描工具狀態(tài)的確認(rèn)X6

必考

A測試數(shù)據(jù)評估10%001日志分析命令的使用、日志分析工具的使用、流量分析工具的使用X6

C滲透測試20%

B測試管理10%001Web漏洞的測試、主機(jī)漏洞的測試、數(shù)據(jù)庫漏洞的測試X6

D修復(fù)防護(hù)20%A漏洞修復(fù)測試20%001漏洞驗證、漏洞修復(fù)效果的驗證X6

注：鑒定點的重要程度是指每個鑒定點在所屬鑒定范圍中的相對重要性水平，它反映了每個鑒定點與其他鑒定點相對重要程度。

X為最重要的核心要素，為職業(yè)活動必備的知識點，一般占85%以上；

Y為一般要素，不超過10%；

Z為輔助性要素，不超過5%。

信息安全測試員(高級工)技能考核要素細(xì)目表(征求意見稿)

認(rèn)定范圍一級認(rèn)定范圍二級認(rèn)定點

代碼名稱認(rèn)定比重代碼名稱認(rèn)定比重選考方式代碼名

稱重要程度試題量

A安全研究30%A漏洞工具研究30%001已披露漏洞測試工具有效性的驗證、根據(jù)已有的漏洞代碼片段編寫漏洞觸發(fā)代碼