2024网络安全人才实战能力白皮书安全测试评估篇

国务院学位委员会学科评议组(网络空间安中国科学技术大学永信至诚科技集团股份有限公司东南大学暨南大学武汉大学湖南大学哈尔滨工业大学天津大学四川大学中国信息安全测评中心中国联合网络通信集团有限公司中通服华信咨询设计研究院华为技术有限公司中国刑事警察学院中国烟草总公司福建省公司编委会主任：方滨兴编委会副主任：俞能海蔡晶晶主编：刘建伟李小勇苗守野魏建国郭新海何志坚魏晶晶许伟杰张慧翔郑世敏— 前言 论结合实践的方式创新提出了立体化综合评价安全测评人才能力的GPE方法，对指导—Ⅲ—网络安全人才实战能力白皮书—安全测试评估篇目录第一章网络安全测评状况综述011.1国内外网络安全测评政策法规 1.1.1国际网络安全测评政策法规 1.1.2国内网络安全测评政策法规 1.2.1人才培养状况 061.2.2人才应用状况 1.3.1安全测评法律法规及标准不健全 1.3.2安全测评人员能力有待提升 1.3.3安全测评管理机制不规范 1.3.4安全测评工具国产化较弱 第二章用人单位安全测评人才现状分析14 2.1.1性别、年龄及学历情况 2.1.2行业、地域及岗位情况 2.1.3安全测评人才资格认证情况 目录 202.2.1常用的安全测评方式、工具及技术 2.2.2安全测评人才需求单位 2.2.3用人单位对安全测评人才的满意度情况 2.3用人单位进行安全测评的对象 2.3.1政府进行安全测评的对象 2.3.2行业进行安全测评的对象 2.3.3企事业进行安全测评的对象 第三章院校安全测评人才培养现状分析32 3.1.1安全测评人才学历情况 3.1.2安全测评人才培养院校及所设专业情况 3.1.3安全测评人才地域分布情况 3.2.1相关专业教学实验室/学科平台建设情况 3.2.2网络靶场建设情况 3.2.3学生意向就业单位分布 3.3.1师资队伍中实战教师占比情况 V网络安全人才实战能力白皮书—安全测试评估篇3.3.2安全测评相关课程设置情况 3.3.3安全测评相关教材编写出版情况 第四章安全测评人才能力评价方法58 584.1.1通用能力 4.1.2专业能力 4.1.3评价等级 4.2安全测评人才岗位分层评价概述 4.2.1安全测评人才分类 4.2.2安全测评人才分层 4.3.1岗位要求及特点描述 4.3.2岗位分层级方式描述 4.3.4渗透测试工程师岗位中级人才评价 4.3.6有效的评价方式 71 4.4.1岗位要求及特点描述 目录4.4.2岗位分层级方式描述 4.4.3网络安全攻防工程师岗位高级人才评价 744.4.4网络安全攻防工程师岗位中级人才评价 4.4.5网络安全攻防工程师岗位初级人才评价 4.4.6有效的评价方式 4.5.1岗位要求及特点描述 4.5.2岗位分层级方式描述 4.5.3等级保护测评师岗位高级人才评价 4.5.4等级保护测评师岗位中级人才评价 4.5.5等级保护测评师岗位初级人才评价 4.5.6有效的评价方式 4.6.1岗位要求及特点描述 4.6.2岗位分层级方式描述 4.6.3安全产品测评工程师岗位高级人才评价 4.6.4安全产品测评工程师岗位中级人才评价 4.6.5安全产品测评工程师岗位初级人才评价 924.6.6有效的评价方式 —网络安全人才实战能力白皮书—安全测试评估篇第五章安全测评人才在国家网络安全建设中的作用97 5.1.1为政策法规制定提供依据 5.1.2为政策法规优化提供建议 5.2.1推动行业监管能力提升 995.2.2提升监管队伍水平提升 5.3.1提供底层数据和分析支撑 5.3.2参与标准制定与实施 5.3.3促进国际标准对接 5.4.1促进风险隐患排查与产业安全加固 5.4.2促进安全产品技术创新与策略优化 第六章网络安全测试评估工作的指导性建议105 6.1.1完善关键信息基础设施安全测评标准 6.1.2健全数据安全测评制度与标准 网络安全人才实战能力白皮书一安全测试评估篇目录6.1.3研制人工智能安全测评政策法规及标准 6.2.1加快转变安全测评人才培养模式 6.2.2推动安全测评产业创新发展 6.2.3筑牢安全测评人才思想防线 6.2.4深化产教融合人才培养机制 6.3.1构建国家安全测评统一标准体系 6.3.2加强测评机构资质审批与监管 6.3.3提升安全测评独立性与公正性 6.4.1释放创新能量突破关键技术 6.4.2推进安全测评工具国产化 第一章网络安全测评状况综述2 3 第一章网络安全测评状况综述元或年营业额2%的罚款(以较高者为准),而对于重要实体，最高罚款为7万欧元或年营4 亚太地区各国根据自身的网络环境和安全需求，制定了不同的网络安全测评法律框架和规定。新加坡网络安全局(CSA)于2018年推出了《网络安全法》(Cyber5 第一章网络安全测评状况综述2021年9月1日正式实施的《中华人民共和国数据安全法》指出，国家支持有关部安全保护能力。6 2024年5月15日，中央网络安全和信息化委员会办2024年5月24日，中国工业和信息化部制定并印发安全人才的缺口估计在70万到140万之间，而实际从事网络安全工作的人数约为十万7 第一章网络安全测评状况综述8 9 第一章网络安全测评状况综述 第一章网络安全测评状况综述 第一章网络安全测评状况综述1.3.4安全测评工具国产化较弱 全测评人才性别比例悬殊，男性占比高达91%,女性占比仅为9%。如图2-1 第二章用人单位安全测评人才现状分析图2-1用人单位网络安全人才性别分布从用人单位安全测评人才年龄分布来看，26-30岁的人才占比最高，达32%;其次是31-35岁，占比均为21%;21-25岁占17%。从数据上看，26-35岁年龄段的网安从业者，是当前网络安全测评相关岗位的主力军，综合占比达53%,证明，这一年龄层在用人单位侧更受到欢迎。如图2-2所示。■26-30岁■31-35岁■21-25岁■41岁及以上■36-40岁■20岁及以下图2-2用人单位安全测评人才年龄分布占比22%;高职/高专以及高中以下学历占比9%,博士背景的人才占比1%。了90%,本科及硕士学历背景的安全测评人才已成为是行业最重要的有生力量。高职/高专以及高中以下学历安全测评从业者占比9%,说明虽然本科学历已逐渐网■本科■硕士高职/高专■博士及以上■高中及以下图2-3用人单位安全测评人才学历分布2.1.2行业、地域及岗位情况从行业分布上看，金融行业占比最高，达20%;其次是网络安全行业，占比15%;再■金融■网络安全■通信■政府■交通■医疗■互联网■传媒■烟草其他■科研图2-4用人单位安全测评人才行业分布 第二章用人单位安全测评人才现状分析北京四川江苏托丁0天津黑龙江重庆其他山西内蒙古o8北京四川江苏托丁0天津黑龙江重庆其他山西内蒙古o8世4图2-5用人单位安全测评人才地域分布 网络安全人才实战能力白皮书—安全测试评估篇3.岗位分布情况网络安全测试评估是网络安全实战人才必须具备的一项重要能力，包括网络运维、安全运营、安全攻防等多个工作岗位都涉及到一部分的安全测评工作，因为涉及到不同的安全测评场景，不同岗位都需要从自身角色定位帮助组织发现和修复潜在的安全风险。从岗位分布上看，运维工程师、安全运营工程师、渗透测试工程师和网络安全管理岗位的需求较高，运维工程师岗位占比最多，占比17%,其次是安全运营工程师和渗透测试工程师，占比均为16%。如图2-6所示。图2-6用人单位安全测评人才岗位分布岗位分布反映出以下趋势：(1)运维工程师岗位在安全测评工作中扮演重要角色运维工程师在系统安全管理中扮演着关键角色，他们不仅支持安全测评的实施，还负责将测评结果转化为具体的安全措施，确保系统的长期安全性和稳定性。在安全测评中发现严重漏洞或在实际攻击发生时，运维工程师与安全团队密切合作，执行应急响应计划，确保系统的快速恢复和数据保护。(2)网络安全测评工作涉及技术岗位多样化占据岗位分布前8位的岗位包括渗透测试工程师、安全服务工程师、Web安全工程师等，其工作内容都包含安全测评，但因为涉及到不同的安全测评场景，不同岗位都需要从自身角色定位帮助组织发现和修复潜在的安全风险。这体现出，虽然用人单位的安全测评工作需求持续走高，但安全测评工作主要分散在多个岗位中，没有单独的岗位负责，容易导致标准等不一致情况。 第二章用人单位安全测评人才现状分析(3)实务技术岗位在安全测评工作中占据主流地位从岗位分布情况分析，与网络安全运维、渗透测试等技能强关联的网络安全类岗位需求占据需求前8位中的5位(运维工程师、渗透测试工程师、网络工程师、安全攻防研究员、安全服务工程师、Web安全工程师),体现出安全测评市场对网络安全实战能力的渴求。安全测评需要对系统、网络、应用程序进行实际测试，包括渗透测试、漏洞扫描、代码审计等。这些工作需要熟练使用各种安全工具，并理解其技术原理和操作方法。实务技术岗位的人员通常具备这些操作能力，能够直接参与和执行具体的安全测评任务。他们还具备对系统架构、网络协议、应用开发等技术的深入理解，能够更准确地评估和解释测评结果，并提出切实可行的改进建议。调研数据显示，当前我国安全测评人员中，未考取任何资格证书的人员占比43%,相较而言CISP证书持有率较高，为32%,其次是数据安全评估师证书，持有率占比9%。这体现出CISP证书在信息安全领域具备较高的知名度，更受到市场的青睐。由于其广泛的适用范围，CISP证书持有者可以担任信息安全领域多项工作，如信息安全管理、审计、咨询、渗透测试等，其中也包含了安全测评相关工作范畴。综合来看，安全测评相关工作岗位并未对专业资格认证的持有情况设置严格要求，安全测评人员对于资格证书对于职业发展和专业认可的重视程度也有待提高。如图2-7所示。综合来看，安全测评人才主要从业人群为26-35岁年龄段的男性网安从业者，学历以本科为主。地域分布主要集中在北京、广东等IT行业较为发达，且许多大型国央企单位网络安全人才实战能力白皮书—安全测试评估篇和网络安全公司的总部所在地。岗位集中在安全运维、渗透测试和安全运营等方面，且近半数人员未取得相关证书，人才能力及证书结构失衡问题显著;此外人才结构单一，年轻人为主力军，缺乏多样性和互补性，不利于行业的创新和全面发展。相较而言，金融、通信、能源和政府单位等行业领域对网络安全测评人才的需求较为旺盛，这些行业对网络安全测评人才的重视程度通常与其所处理的数据敏感性、系统的复杂性以及潜在的安全风险成正比。依据组织形式不同，安全测评分为监管机构组织开展的合规检查和用人单位自行开展的安全检查两类。在国家政策的引导下，监管机构先后制定了网络安全等级保护、关键信息基础设施保护、涉密信息系统分级保护、商用密码应用安全评估(简称“3保1评”)法律法规及标准体系，保障各行业各领域合规检查走向规范化、制度化、常态化轨道。在我国，80%的用人单位采用“网络安全等级保护测评”的方式落实和深化合规检查工作；占比50%、46%、42%的用人单位分别以“关键信息基础设施保护测评”“涉密信息系统分级保护测评”“商用密码应用安全性评估”的方式开展合规检查工作；仅有9%的用人单位从未开展过合规检查。这说明合规检查有广泛的覆盖率，已发展成用人单位发现安全风险、强化网络和数据安全治理的关键环节和重要抓手。如图2-8所示。 在满足国家监管合规要求的同时，为了发现潜在风险发现、评估安全现状和安全策略，用人单位也采取了多样化的方式开展自行安全检查。其中渗透测试和攻防演练是最主练，45%的用人单位组织过红队开展自查。如图2-9所示。勒索演练图2-9用人单位自行安全检查方式因业务需求、知识水平、技术成熟度等差异，各单位开展安全检查的形式也有所不同。33%的单位依托内部员工开展安全检查；32%的单位邀请安全厂商开展安全检查；性、合规性与资质认证、流程标准化也成为了用人单位最看重的三大要素。如图2-10、2-11所示。■通过内部员工开展■邀请第三方测评机构■从未开展过安全检查图2-10用人单位安全检查形式网络安全人才实战能力白皮书—安全测试评估篇图2-11用人单位看重第三方安全测评机构的要素Nessus图2-12用人单位常用的安全测评工具日志分析、灰盒测试、配置文件比对等。其中漏洞扫描用于检测计算机系统、网络和应用 图2-13用人单位常用的安全测评技术2.2.2安全测评人才需求单位31-50人50人及以上0人图2-14用人单位具有安全测评能力的人数制因素。其中30%的用人单位年均预算不足20万；21%的用人单位年均预算在21~50万；网络安全人才实战能力白皮书—安全测试评估篇无预算20万以下21-50万51-100万100-200万200万以上图2-15用人单位安全测评年均预算随着数字化转型的加速发展，各行业各领域对安全测评人员的需求将逐渐增大。从用人单位的单位性质来看，国企对安全测评人员的需求量最高，占比为34%;其次为央企，占比为30%;民营企业对安全测评人员的需求量为15%。如图2-16所示。■国企■央企民营企业■事业单位■国家行政机关■外资企业图2-16用人单位安全测评人才需求2.2.3用人单位对安全测评人才的满意度情况安全测评人才的技术水平，是衡量用人单位网络安全保障能力的重要指标之一。安全测试人才的技术水平直接关系到用人单位能否有效识别、评估、应对网络安全弱点、风险和威胁。58%的用人单位安全测评人才“熟悉常用测试工具，但是不能独立开展安全测 第二章用人单位安全测评人才现状分析评，表现一般”;31%的用人单位安全测评人才“精通常用测试工具，能够独立开展安全测评，进行代码审计和静态分析方面，表现优秀”;还有8%的用人单位没有安全测评人才。这说明我国安全测评人才能够熟悉掌握安全测试工具，但独立开展安全测评的能力有待提升。如图2-17所示。一般，熟悉常用测试工具，但不能独立优秀，精通常用测试工具，能够独立开展安全测评，进行代码审计和静态分析■单位没有安全测评人员很差，不熟悉常用测试工具，也不能独立开展安全测评图2-17用人单位安全测评人员技术水平行业经验丰富，熟悉业务场景和系统架构，是衡量人才制定安全测评策略方案有效性的重要指标。掌握单位的信息系统架构、网络拓扑结构、数据流向等，有助于人才制定明确的测试方案，选择适合的测试平台与工具，发现安全弱点、风险和威胁。45%的用人单位安全测评人才有一定的安全测试项目经验，熟悉行业业务场景；36%的用人单位安全测评人才主导或参与多个安全测试项目，对行业业务场景有一定了解；但仍有11%的用人单位安全测评人才缺乏安全测评经验，不熟悉行业业务场景。如图2-18所示。一般，有一定的安全测试项目经验，较为熟悉行业业务场景丰富，主导或深度参与多个安全测试项目，熟悉行业业务场景不足，缺乏安全测试项目经验，不熟悉行业业务场景■单位没有安全测评人员图2-18安全测评人员行业经验 网络安全人才实战能力白皮书—安全测试评估篇安全测评人员通常会在完成安全测评工作后对安全测评结果进行报告说明，注明测评范围、测评环境、测评流程、测评工具和测评结果等，安全测评报告也是对一次安全测评工作的成果综合展示。问卷调研发现，安全测评报告水平存在差异。对比测评结果与安全现状，仅有35%的安全测评报告，精准识别了安全弱点、风险和威胁，并提供了详尽的整改建议；55%的安全测评报告，仅能够识别部分安全弱点、风险和威胁，并提供一些整改建议；还有10%的安全测评报告，较为形式化，识别不出有实质影响的弱点、风险和威胁。如图2-19所示。2.3用人单位进行安全测评的对象2.3.1政府进行安全测评的对象根据调查数据分析，政府单位进行安全测评的对象主要集中在IT基础设施、物理环境设备、应用类软/硬件产品和网络安全产品这四大类，占比均超过62%。此外，政府单位也高度重视对密码产品和人员的安全测评，占比分别为48%和43%,这些也是政府单位进行网络安全评估的重点，如图2-20所示。 第二章用人单位安全测评人才现状分析大数据系统图2-20政府进行安全测评的对象分布情况2.3.2行业进行安全测评的对象础设施安全的重要需求。如图2-21所示。图2-21各行业进行安全测评的对象分布情况网络安全人才实战能力白皮书—安全测试评估篇安全威胁密切相关。同时，不同行业因其业务形态和面临的安全威胁不同，呈现出不同的安全测评对以下以IT基础设施、应用类软/硬件、密码产品、数据资源、第三方服务商和供应链五个1.IT基础设施安全测评在IT基础设施安全测评的行业分布中，能源行业和交通行业占比稍高，分别是21%和18%,如图2-3。由于能源行业和交通行业的IT基础设施分布十分广泛，少数电力站和交通信号设施还会架设在较为偏远偏僻的位置，这些行业IT基础设施遭受的网络攻击面也更大，因此安全测评的需求也更明显。如图2-22所示。图2-22IT基础设施安全测评行业分布情况2.应用类软/硬件安全测评在应用类软/硬件安全测评的行业分布中，交通行业和医疗行业占比稍高，分别是18%和17%,金融行业、通信行业和能源行业紧随其后，如图2-23所示。通过对调查数据业关键信息基础设施都反映出对应用类软/硬件的安全存在普遍的安全测评需求。 第二章用人单位安全测评人才现状分析图2-23应用类软/硬件安全测评行业分布情况3.密码产品安全测评在密码产品安全测评的行业分布中，金融行业占比最高，达到了20%,通信行业占比也达到17%。密码技术是金融、通信等行业的业务安全底座，因此金融、通信等行业对密码产品的安全测评也走在前列。如图2-24所示。4.数据资源安全测评在数据资源安全测评的行业分布中，医疗行业占比最高，达到了25%,通信行业占比也超过了20%,金融行业紧随其后，如图2-25。通过对调查数据分析后发现，医疗、通信、在第三方服务商和供应链安全测评的行业分布中，通信行业占比最高，达到了26%,能源行业占比也超过了20%。这些重点行业在使用第三方服务商和供应链时迫切需要评通过上述分析发现，各行业用人单位均对软/硬件基础设施和网络安全/密码产品等 一第二章用人单位安全测评人才现状分析—位对人员的安全测评需求更高，反映出用人单位对人员进行安全评估的迫切要求。如图图2-27企事业单位进行安全测评的对象分布情况 分别占比62%、24%,专科在读和博士在读分别占比8%、6%。这说明本科及硕士研究生 第三章院校安全测评人才培养现状分析3.1.2安全测评人才培养院校及所设专业情况1.安全测评人才培养院校种类情况聚焦到安全测评人才培养院校上，普通本科院校培养的人数占比最高，为58%;其次是985院校、211院校(非985),分别占比19%、10%。整体来看，本科及以上院校占比97%,这表明本科及以上院校在适应市场需求、调整课程体系方面具有较高的灵活性和响应速度，能够为社会输送大批安全测评专业人才；高职高专在安全测评人才培养中的占比仅为3%,这反映了高职高专在培养此类人才方面存在一定的局限性。如图3-2所示。■211(非985)2.安全测评人才培养院校所设专业情况我国院校中，安全测评在读学生占比最高的专业是信息安全和网络空间安全，分别为26%、25%;其次是计算机科学与技术专业、网络工程专业和软件工程专业。这说明我国院 )够图3-3安全测评人才所读专业■10%及以下图3-4院校具备安全测试评估能力的人才占比 第三章院校安全测评人才培养现状分析对院校安全测评人才来说，积极参与校外安全测评工作有助于接触前沿的安全测评技术与工具，将知识和技能应用于实际业务，快速开阔视野和增进安全测评能力。但在我国，由于学业压力、机会缺失等因素，76%的院校人才从未参与过校外安全测评工作，24%的院校人才有参与接触。如图3-5所示。图3-5参与过校外安全测评工作的学生分布校外安全测评工作包括攻防演练、众测活动、日常挖漏洞等多样化的形式，有益于人才提升测试评估技能与经验，与技术专家切磋经验及接触意向单位等。参与过校外安全测试评估工作中的人才中，有57%参与过“国家级大型攻防演练”;42%有“日常挖漏洞提交漏洞库”的经历；有38%的人才参与过“大型机构组织的攻防演练”。如图3-6所示。图3-6在校学生参与过的校外安全测评活动网络安全人才实战能力白皮书—安全测试评估篇作为评估数字化建设安全现状的有效方式，全国各地正在如火如荼地培育安全测评人才，院校安全测试评估人才在全国各个省(自治区、直辖市)及新疆生产建设兵团的院校均有分布。其中，广东省是数字经济大省，政企单位在数字化转型过程中的安全测评需求发展迅猛，推动了院校培养安全测评人才，人才占比最高，达8.7%;北京市、四川省高校资源丰富，有较强的学科基础与师资力量，院校安全测评人才分别占比7.6%、6.7%;浙江省、河南省在制造业、电子信息产业发展势头强劲，安全测评需求也逐渐增强，院校安全测评人才分别占比6.4%、5.7%;同时，福建省、河北省、江苏省、山东省的在校安全测评人才占比也均超过了5%。如图3-7所示。山西省天津市陕西省上海市图3-7院校网络安全测评人才地域分布根据七大行政区划分，华东地区的院校安全测评人才占比最高，达到了32.1%;华北地区、华中地区分列二、三，分别为19.7%和14.9%;东北地区和西北地区安全测评人才培养数量较低，人才分别占比5.8%和4.4%。如图3-8所示。 第三章院校安全测评人才培养现状分析5.0%东北华南图3-8院校网络安全测评人才培养区域分布3.2.1相关专业教学实验室/学科平台建设情况教学实验室/学科平台，29%的院校处于初步建设阶段，6%的院校正在规划此项工作但图3-9院校安全测评相关教学实验室/学科平台建设情况 网络安全人才实战能力白皮书一安全测试评估篇不同专业建立安全测评教学实验室/学科平台的阶段也有所差异，总体上看，大部分与技术专业已建立、初步建设或规划中的占比均超过了90%。尤其是有68%的网络空间安全专业、57%的信息安全专业，已建立多个安全测评教学实验室/学科平台，高于全部相较其他专业，计算机科学与技术专业的教学实验室/学科平台建设有待加强，其中54%的院校该专业在初步建设阶段，23%的院校该专业没有建设计划。如图3-10所示。密码科学与技术专业计算机学与技术专业其他专业■建立了多个安全测评教学实验室/学科平台■初步建设阶段，完善中■规划中，尚未建设■没有建设计划2.安全测评相关教学实验室/学科平台方向设安全测评教学实验室/学科平台的方向侧重点也有所不同。在已建立的安全测评教学实验室/学科平台的院校中，占比靠前的方向为网络安全竞赛(77%)、数据安全(64%)、人工智能安全(57%)、物联网安全(49%)。如图3-11所示。 数据安全车联网安全图3-11已建安全测评教学实验室/学科平台方向情况初步建设阶段中的安全测评实验室/平台方向，占比靠前的分别为网络安全竞赛网络安全竞赛网络安全竞赛工控安全9%图3-12初步建设阶段且正在完善中的平台方向情况 网络安全竞赛网络安全竞赛人工智能安全工控安全车联网安全云安全物联网安全平台建设的重点方向，同时物联网安全、工控安全、车联网安全方向的实验室/平台建设网络空间安全、信息安全、密码科学与技术等专业作为与教学实验室/学科平台和数据安全教学实验室/学科平台是作为提升学生网络和数据安全科建设的抓手。而车联网安全和工控安全方向的教学实验室/学科平台建设，需要投入大 第三章院校安全测评人才培养现状分析网络安全竞赛网络安全竞赛工控安全人工智能安全■建立了多个安全测评教学实验室/学科平台■初步建设阶段，完善中■规划中，尚未建设—41—网络安全人才实战能力白皮书—安全测试评估篇 云安全其他759%■建立了多个安全测评教学实验室/学科平台■初步建设阶段，完善中图3-16密码科学与技术专业平台方向情况3.2.2网络靶场建设情况■建立了多个网络靶场■初步建立阶段，完善中■没有建设计划■规划中，尚未建立图3-17院校网络靶场情况 第三章院校安全测评人才培养现状分析51%的院校信息安全专业、53%的院校密码科学与技术专业已建立多个网络靶场，对安■建立了多个网络靶场平台■规划中，尚未建设■初步建设阶段，完善中图3-18各专业建设网络靶场情况全、网络安全竞赛、物联网安全方向占比最高，分别占比为71%、70%和36%,这样反映—43—网络安全竞赛 其他5%图3-19院校已建立的网络靶场方向网络安全竞赛其他图3-20院校初步建设中的网络靶场方向 %网络安全竞赛车联网安全图3-21院校规划中的网络靶场方向生能够在实际操作中掌握和人工智能核心技术，验证测试评估技能，学生的核心竞争力增强，为职业发展奠定了坚实基础。如图3-22、3-23、3-24所示。网络安全人才实战能力白皮书—安全测试评估篇物联网安全图3-22网络空间安全专业网络靶场建设方向图3-23信息安全专业网络靶场建设方向情况 第三章院校安全测评人才培养现状分析网络安全竞赛网络安全竞赛数据安全物联网安全人工智能安全车联网安全工控安全云安全其他■建立了多个网络靶场■初步建设阶段，完善中图3-24密码科学与技术专业网络靶场建设方向情况匹配程度是否看好。安全测评人才意向就业单位占比靠前的分别为企业(40%)政府(18%高等院校(14%)、科研院所(13%)、国防(12%)。如图3-25所示。■高等院校■科研院所■自主创业图3-25学生意向就业单位分布情况从专业角度来看，网络空间安全专业学生意向就业单位占比最高的为企业(46%),其次是高等院校和政府，占比均为14%;信息安全专业学生意向就业单位占比最高的为企业(36%),其次为政府(34%)和国防(13%);密码科学与技术专业学生意向就业单位占比最高的高等院校(45%),其次为国防(27%)。如图3-26所示。网络空间安全专业网络空间安全专业信息安全专业密码科学与技术专业计算机学与技术专业网络工程专业软件工程程师、代码审计工程师等十余个方向。安全测评人才的意向岗位中，26%的在校学生就业首选是渗透测试工程师，16%的在校学生就业首选是Web安全工程师，其次是安全服务工程师，占比为10%,这三个岗位最受人才青睐。如图3-27所示。水25%-20%-水25%-20%-图3-27学生意向从事岗位情况—48— 伶20%一伶20%一图3-28网络空间安全学生意向从事岗位情况20%-图3-29信息安全学生意向从事岗位情况图3-30密码科学与技术专业学生意向从事岗位情况不足10%;38%的院校实战教师数量不足，师资队伍中实战教师占比在11%至30%之间； 第三章院校安全测评人才培养现状分析■不足■尚可图3-31院校师资队伍中实战教师数量情况2.实战教师占比随着学生学历上升而增加从另一个角度来看，不同层次的院校师资队伍中，实战教师的占比呈现出明显的差异。专科在读和本科院校中，实战教师的占比较少。50%的专科学生认为师资队伍中严重缺乏实战教师，仅4%的专科学生认为实战教师数量充足；在本科阶段，39%本科学生认为院校师资队伍中严重缺乏实战教师，认为实战教师数量充足的学生仅占10%。如图3-32所示。硕士博士本科专科■严重缺乏■不足■尚可■充足图3-32不同学历师资队伍中实战教师占比分布而在硕士和博士阶段，师资队伍中实战教师的占比情况显著提高。在硕士阶段，有24%的学生认为其院校的师资队伍中严重缺乏实战教师，有16%的学生认为实战教师数量充足；在博士阶段，这一比例进一步改善，只有15%的学生认为师资队伍中严重缺乏 图3-33课程开设占比图3-34安全测评相关课程数量 网络安全人才实战能力白皮书一安全测试评估篇另一方面，在欠缺的安全测试评估能力方面，超过30%的学生认为自身在渗透测试，病毒与木马分析，逆向分析，漏洞挖掘、分析和利用等方面的能力有所欠缺。相比之仅有9%的学生认为自身在加解密方面的能力不足。如图3-35所示。病毒与木马分析逆向分析追踪溯源电子取证代码审计Web安全操作系统安全以上数据可以说明，我国大部分院校开设了的安全测试相关课程。这些课程主要集安全测评相关教材的编写出版情况可以在一定程度上反映出目前院校安全测试评估人才培养现状。总体而言，安全测评相关的教材存在不同领域分布不均、院校使用率不在网络安全相关专业的在校学生中，仅有43%的学生能够列举出与安全测试评估相关的教材，34%的学生认为自己没有接触过安全测试评估相关教材，16%的学生不清楚自己是否接触过。这说明目前我国网络安全相关专业对于安全测试评估相关教材的使用 第三章院校安全测评人才培养现状分析校学生对安全测评教材缺乏接触；同时，部分学生不清楚自己是否接触过相关教材，这体现出学生对安全测评这一概念以及对应教材缺乏具体的认识，安全测评相关教材的编写和使用需要进一步提高针对性。如图3-36所示。此外，能够列举出安全测评相关教材的在校学生中，能列举出的数量也较少，80%的学生只能列举出1本安全测评相关教材，仅有6%的学生列举出两本以上。这体现出院校安全测评教材的使用量仍然较少，学生获取安全测评知识的渠道亟待增强。如图3-37所示。2.针对安全测评出版书籍较少据调查，目前在售的名称直接包含“安全测评”关键词的相关书籍数量为12本，且其1否2是3网络安全等级保护测评体系指南是4网络安全测评培训教程否5网络安全等级测评师培训教材否6否7网络安全等级保护2.0定级测评实施与运维否8是9否否网络安全等级保护测评要求应用指南否否 第三章院校安全测评人才培养现状分析网络与内容安全是所有课程中相关教材数量最多的，总数达到61本；其次是软件安全与测试，共有44本相关教材；其他课程的教材数量与这两类课程相比大幅减少，密码学及工程实践、区块链工程实践、网络攻防原理与技术3类课程教材数量在10-20本之间；数据库系统原理与安全、工业互联网安全、漏洞分析技术实验3类课程教材数量在10本以下，其中漏洞分析技术实验相关教材数量最少，仅为4本。 力评价GPE方法。基于安全测评GPE方法，对安全测评人才涉及的四类岗位，进行多 第四章安全测评人才能力评价方法专业能力(ProfessionalAbility)和评价等级(EvaluationLevel)三个方面，形成了一种综理测试设计尖施通用能力(GeneralAbility)是指在不同岗位和工作环境中都需定义说明学、编程语言等知识，从而建立一个多领域的复杂知识系统。定义说明专业能力(ProfessionalAbility)是指综合思想意识、理论知识、实战技能的能力集合，支撑人才在测试设计、测试实施和测试报告的关键环节中高效、准确地完成任务。如表4-2所示。定义说明是指安全测评岗位人才根据项目的安全需求和目标，设计出全面且有针对性的安全测试方案的能力。2.能深入理解系统架构，业务流程，根据业务需求，制定是指安全测评岗位人才根据测试方案，运用测评工具和技术，对测试用例进行测试的能力。2.灵活运用专业知识和技术，执行脆弱性测试、渗透测试、漏洞分析等具体任务；3.具备在测评过程中及时发现并解决问题的能力，高效、有序地完成测评任务，最大化利用时间和资源。是指能整理和分析测试过程中收集的数据，并通过客观描述测试过程、发现问题、影响1.能够通过收集测试数据准确分析测评结果，识别出关键安全问题和潜在风险；2.具备撰写清晰、全面、结构化的测评报告的能力，确保报告内容详实、逻辑严谨；3.能基于测评结果提出切实可行的安全改进建议和解决方评价等级(EvaluationLevel)是指对安全测评人才在通用能力和专业能力两个方面进 第四章安全测评人才能力评价方法以继续分层，反映出安全测评人才能力水平。这种等级分类不仅有助于用人单位明确人才的当前能力水平，根据不同的能力水平安排岗位，也为人才发展方向提供了指导。如表4-3所示。定义说明高级全架构设计等；成功。面对新型安全挑战时表现创新能力，能够提出和实施创新的解决方案；略进步；中级配置评估等；沟通和协调团队成员，共同完成任务；3.具备较强的问题解决能力，能够识别和分析安全问题并提本的安全配置检查等技能；2.熟练掌握和使用基础的网络安全工具；3.在团队合作中表现出积极性，能够遵循指示并完GPE方法为安全测评岗位人才分类分级的评价提供了思路，基于GPE评价模型，可晰地了解自己的现状和未来发展方向。未来，随着技术的不断进步和安全需求的变化，GPE方法将持续优化和完善，为网络安全人才的评估和培养提供科学有效的支持。11.使用自动化工具和手动技术扫描系统和应用程序，发现并评估潜在的安全漏洞；2.模拟真实黑客攻击，评估系统的弱点和易受攻击面。2安全攻防工程师1.深入研究新兴的安全漏洞和攻击技术；2.评估漏洞的危害程度和潜在影响，并推导出相应的防护策略和建31.评估和审查信息系统的等级保护合规性；2.制定符合等级保护要求的安全标准和流程。4安全产品测评工程师1.进行安全产品的功能测试，识别潜在的安全漏洞和风险；2.参与安全评估流程，确保产品在设计、开发和发布阶段的安全 X级X层(E)专业能力(P)通用能力理论知识实战技能思想意识 网络安全人才实战能力白皮书一安全测试评估篇高级九层八层率的全面提升。中级六层攻坚克难、领域专家五层四层责问题的推进解决。 第四章安全测评人才能力评价方法三层极沟通并有效解决。二层一层为组织机构选拔、培养人才提供参考，在渗透测试三级九层分层体系基础上，给出不同高位人才的评价要求和评价方法。高级人才的评价要求如表4-7所示。专业能力(P)通用能理论知识1.了解网络安全相关概念及发展历程，了解国内外网络安全法律法规和政策；工智能、区块链等前沿技术应用的主要安全威胁；1.精通网络体系、通信协学基础等相关网络安全技术基本知识；2.精通漏洞管理、渗透测试方法和技术；3.精通理解网络安全、渗透测试行业发展趋势及网络补方法；3.熟悉典型行业业务特点与安全态势；4.精通安全体系化分析的实战技能 1.跨部门统筹协调大规模多业务高防护场景渗透测试获得共赢；方案落地应用，并持续推动扩大应用场景。业务可持续发展的视角给出体系化解决方案思路； 网络安全人才实战能力白皮书—安全测试评估篇专业能力(P)通用能力思想意识1.强烈的使命感，深度洞察和理解网络安全及渗透测试相关技术方向和趋势；2.从行业视角思考问题，持续探索渗透测试新技术新方法，展方向；3.具备资源统筹、协调能力，积极寻找长期共赢点，激励并合理分配满足各方诉专业能力(P)通用能理论知识1.了解网络安全相关概念及发展历程，了解国内外网络安全法律法规和政策；应用的主要安全威胁；1.熟悉网络体系、通信协学基础等相关网络安全技术基本知识；2.精通漏洞管理、渗透测试方法和技术；3.精通理解网络安全、渗攻防原理。1.精通常见漏洞原理和修补方法；维度和基本方法；3.熟悉典型行业业务特点与安全态势。实战技能1.创新渗透测试技术和方法，并达到行业领先水平；方案具有前瞻性。效激励各方获得共赢；1.结合场景从行业视角和决方案；建设性意见。思想意识1.有使命感，在网络安全和渗透测试领不断深耕，能够分解目标并指引有效的体系化2.有全局意识和前瞻性视野，推动渗透测试关键项目建立，体系；应用3.关注渗透测试领域内人才成长和技能组成，具备建设人才梯队的意识和能专业能力(P)通用能理论知识发展历程，了解国内外网络安全法律法规和政策；用的主要安全威胁；2.精通漏洞管理、渗透测试方法和技术； 第四章安全测评人才能力评价方法专业能力(P)通用能理论知识3.熟悉网络安全、渗透测3.了解典型行业业务特点实战技能1.渗透测试技术应用和方目标。1.统筹协调大规模场景渗备攻防全局性视角；2.推动渗透测试相关方案1.结合场景从中短期体系建设视角给出解决方案；思想意识1.有创新意识，体系化和渗透测试架构能力突出，持续优化渗透测试技术和业务体系；2.具备攻防全局视角，具备攻防同步思考的意识和能力；3.具备跨部门协同、有效沟通、影响相关方的能力和技巧，积极组织协同推进，促成有4.3.4渗透测试工程师岗位中级人才评价专业能力(P)通用能理论知识1.熟悉渗透测试基本法规2.熟悉网络系统架构及3.熟悉测试需求分析的一般方法；4.熟悉团队管理方法；5.熟悉项目管理方法。1.精通掌握常见软硬件和术，包括对称和非对称加密。等渗透测试方法；发展趋势。1.精通常见漏洞原理和修补方法；2.精通渗透测试报告编制要素；价维度和基本方法。 专业能力(P)通用能实战技能1.带领团队对中型项目的关键点进行分析拆解，完成渗透测试方案设计；2.统筹协调并完成较复杂1.统筹协调较复杂渗透测解决困难；2.推动渗透测试相关方案系建设视角给出解决方案；思想意识1.有强烈的目标导向意识，以结果为导向并输入最优解；2.有较强的攻关能力，主动思考并能够解决工作中碰到的渗透测试相关核心难题；续发展。专业能力(P)通用能理论知识1.熟悉渗透测试基本法规2.熟悉网络系统架构及功能、渗透测试流程和设3.熟悉测试需求分析的一般方法；4.熟悉团队管理方法；1.熟练掌握常见软硬件和等渗透测试方法；补方法；2.熟悉渗透测试报告编制3.熟悉系统加固方案评价实战技能1.带领团队对中型项目的关键点进行分析拆解，完成渗透测试方案设计；2.在测试中能够引入前沿断力，结合ROI和风险优先级给出整改方案；2.带领团队完成评估报告思想意识防护方案；2.关注流程、规范和解决方案的持续性改进；3.熟悉渗透测试行业发展状况，探索和应用新方法新技术提专业能力(P)通用能理论知识1.熟悉渗透测试基本法规1.熟练掌握常见软硬件和和方法；和修补方法； 第四章安全测评人才能力评价方法专业能力(P)通用能理论知识2.熟悉网络系统架构及3.了解测试需求分析的一般方法；4.了解团队管理方法；5.了解项目管理方法。包括对称和非对称加密；盒等渗透测试方法；2.熟悉渗透测试报告编制3.了解系统加固方案评价维度和基本方法。实战技能1.带领团队完成中型项目的渗透测试方案设计；方案的编写。1.能够根据具体场景，综具，完成渗透测试；技术提升测试效率。1.能够判断测试中发现的风险的优先级，并能因地制宜的给出整改建议；2.带领团队完成评估报告编制。思想意识1.有风险意识，能够意识到安全风险问题，并制定方案解决问题；2.强烈的主动意识，攻坚落地有难度的渗透测试项目或技术课题3.有技术能力和经验主动沉淀和输出意识，精通渗透测试技术，并指导团队提升为组织机构选拔、培养人才提供参考，在渗透测试三级九层分层体系基础上，给出不同高位人才的评价要求和评价方法。中级人才的评价要求如表4-9所示。专业能力(P)通用能理论知识1.了解渗透测试基本法规典型网络架构及功能；3.熟悉渗透测试的基本要素。1.熟悉常见漏洞利用技术和攻击技术；2.了解社会工程学；等渗透测试方法。1.熟悉常用系统修补和加固的基本方法；2.熟悉渗透测试报告编制要素。 网络安全人才实战能力白皮书—安全测试评估篇专业能力(P)通用能实战技能1.独立完成单个系统的渗透测试方案设计；2.独立完成渗透测试方案的编写。1.熟练应用各种漏洞扫描工具开展渗透测试；测试的效率和准确性；3.可以应用POC/EXP等方法。1.能够对测试中发现的2.能独立完成评估报告编制。思想意识1.具备独立思考能力，具备较强的自驱力，对同类工作任务能够做到举一反三；2.积极跟进业界渗透测试、安全漏洞等相关进展，注重知识和经验沉淀；3.熟练掌握渗透测试相关工具和技术，根据需要制定不同的渗透测试方案。专业能力(P)通用能理论知识1.了解渗透测试基本法规和典型网络架构及功能；3.熟悉渗透测试的基本要素。1.熟悉常见漏洞利用技术和攻击技术；等渗透测试方法。1.熟悉常用系统修补和加固的基本方法；2.熟悉渗透测试报告编制要素。实战技能测试工具准备等工作；2.独立完成渗透测试方案1.熟练应用各种漏洞扫描工具开展渗透测试；测试的效率和准确性。1.能够对测试中发现的改建议；估报告编制。思想意识1.具备独立思考能力，有自驱力，能够在少量指导下达成工作目标；2.渗透测试相关工作高效完成，有所沉淀和分享；3.熟悉本职工作流程，能够发现问题并积极提出改进意专业能力(P)通用能理论知识1.了解渗透测试基本法规和典型网络架构及功能；3.了解渗透测试的基本1.了解常见漏洞利用技术和攻击技术；1.了解常用系统修补和加固的基本方法；2.了解渗透测试报告编制要素。 第四章安全测评人才能力评价方法专业能力(P)通用能理论知识实战技能1.在指导下能完成测试需求分析、确定测试范围与1.熟练应用各种漏洞扫描工具开展渗透测试；能够判断测试中发现的风改建议。思想意识1.具备良好的安全意识和行为准则，有主动意识和学习能力；2.有风险利用成本、利用难度、对业务影响等意识，对存疑处能及时反馈 第四章安全测评人才能力评价方法4.4.2岗位分层级方式描述高级四层果转化为可落地的技术方案和策略，为企业的网络安全防御体系提对性的应对策略和解决方案，协调各方资源进行快速响应，确保威胁得4.设计并实施适应企业发展和业务需求的安全架构方案，评估现有网络安全体系架构三层源工作。 三层中级二层的漏洞类型进行研究和跟踪，验证漏洞的可利用级网络安全人员进行技术指导和实践辅导，跟进培训效果，根初级5.协助完成合规与审计中安全风险的检测评估与渗透测试网络安全攻防工程师高级人才应具备全局与前瞻视野，洞悉行业未来发展趋势，引领技术的革新和进步，同时精通各类攻防技巧与编程艺术，能够为企业制定并实施前瞻性的安全规划与风险防控方案的能力，如表4-11所示。 第四章安全测评人才能力评价方法专业能力(P)通用能理论知识实际的安全架构；行业标准和最佳实践，深入理解企业的业务流程和运营模式，使安全策略与之紧密结合，熟悉安全策略管理的制定和审核流程。剖析复杂的网络安全威胁；知识，熟悉各类恶意软件、僵尸网络、APT攻击的特点和应对方法。2.精通网络安全基础知识、系统安全知识、应用安全知识、各种网络安全架构法规及标准规范等。实战技能践经验，熟练掌握安全技术和产品的集成与应用，能够良好的系统分析和问题解决能力，能快速应对架构优化中的挑战；2.具备卓越的战略思维和风险评估能力，准确把握安策略符合法规要求。应对时，应具备精湛的逆向挖掘威胁的细节，熟练运用力，在高压环境下迅速做出复杂多变的威胁场景；胁检测工具和技术，如沙箱分析、行为监测等，具备强大的逻辑推理和数据分析能力，能够从海量数据中识别威胁线索。1.拥有深厚的技术功底和丰富的实践经验，能够准确评估和分析。带队完成重大项目的安全评审与风险评估工作。思想意识1.坚守职业道德和职业操守，不进行非法攻击和侵犯他人隐私的行为，确保工作符合相关的法律法规；行业趋势的敏感度，不断提升技术水平；—76— 高级四层(E)专业能力(P)通用能力思想意识4.具备处理安全事件和突发情况的能力，能够迅速响应并采取相应的应急措施；专业能力(P)通用能力理论知识1.深入了解网络安全体系架构和相关标准，如ISO27001等；2.掌握最新的网络安全威胁和攻击趋势，以及相应的防御策略；务需求相结合；手段和防御方式，熟知各种网络攻击和防御的原理，深入理解网络安全架构设计和原理，熟练掌握各类安全漏洞和风险的利用方法及防御方式，能够针对多种攻防场径，并具备编制防御和应急方案所需的理论知识。证授权、访问控制等；和安全开发最佳实践，能够从开发角度评估应用程序的和风险有一定的了解；击类型、手法以及其特征和应对方法。熟练掌握应急响标准操作程序。对各类操作系统、网络设备和应用系统有深入了解。密码学、人工智能在安全中的应用等；最新信息；实战技能并掌握其防火原理；2.具备良好的系统架构设计能力，能够整合不同的安全组件；3.熟练掌握安全策略的配的策略定制；式，深刻理解各类漏洞和风险的原理及利用方式，熟练的工具和方法；术和手段，如网络扫描、漏洞利用、社会工程学等；BurpSuite等；能够根据需求开发定制化的术进行评估和验证；2.拥有良好的创新思维和问题解决能力，能够提出针评估方案；3.具有较为敏锐的风险发现能力、风险评估能力，精通各类风险评估工具的使用 第四章安全测评人才能力评价方法专业能力(P)通用能实战技能掌握各类安全工具的运行原者/防御者视角充分分析安全和规划，以及安全防御架构测试工具和脚本；5.熟练掌握网络协议和系统架构，能够快速定位和分析安全问题；析工具，能够快速识别异常能力，在高压下保持冷静和果断决策。精通数据恢复和系统修复技术，保障系统的快速恢复。已收集的信息中快速发现存够独立或带队完成复杂的风险评估工作。思想意识关的法律法规；行业趋势的敏感度，不断提升技术水平；4.具备处理安全事件和突发情况的能力，能够迅速响应并采取相应的应急措施；4.4.4网络安全攻防工程师岗位中级人才评价专业能力(P)通用能力理论知识1.熟悉网络攻击的常见手法和趋势，了解各类恶意软件的特征和行为，掌握数据1.掌握多种编程语言和开发框架，了解操作系统的底层原理和机制，掌握常见的加密和解密算法；1.了解网络安全的基本原开发的生命周期和流程，熟悉数据库操作和数据处理技术， 专业能力(P)通用能理论知识段和防御方式，了解各种网了解网络安全架构设计和原案设计的理论知识。3.掌握事件调查的流程和技术和手段，具备一定的系全事件调查与处理。定了解，便于对工具进行开发和优化；能够支撑完成简单的风险评实战技能段和方式，理解各类漏洞和风险的原理及利用方式，熟悉各类安全防护工具的运行原理，具备安全攻击和防御知识应用实战的能力，能够参与简单攻击战法和路径的设计和规划以及安全防御架1.掌握多种漏洞挖掘工具和技术，具备较强的代码审行逆向分析，熟悉常见漏洞的利用方法和防范措施；3.具备较强的事件应急处理能力，能够运用数据恢复的数据分析和溯源，善于与团队协作，协同调查和处理安全事件。1.掌握至少一种编程语言，如Python、C++等，具备良好的代码规范和编程习惯，熟悉常见的安全算法和加密技术，能够进行跨平台的工具开发，能够完成工具的开发和优化；思想意识关的法律法规；行业趋势的敏感度，不断提升技术水平；4.具备处理安全事件和突发情况的能力，能够迅速响应并采取相应的应急措施； 第四章安全测评人才能力评价方法如表4-13所示。专业能力(P)通用能理论知识完成信息收集工作。1.了解各类常见漏洞的利用方法，熟悉各类漏洞扫描工具的原理和使用方法；2.熟悉监测工具的原理和参数配置，了解异常行为的特征模式，熟知应急流程和1.了解各类漏洞的形成机制级评级标准；实战技能与渠道，熟悉基本的网络扫分析数据的能力。对性的攻击和防御； 思想意识关的法律法规；行业趋势的敏感度，不断提升技术水平；4.具备处理安全事件和突发情况的能力，能够迅速响应并采取相应的应急措施； 第四章安全测评人才能力评价方法人数约为8540人。4.5.2岗位分层级方式描述 师和高级等级保护测评师。为提升组织沟通、处置及管理效率，为网络安全等级保护测评师提供清晰的职业发展路径，有序促进企业等级保护测评能力的提升，等级保护测评师岗位划分为三个级别四层。如表4-14所示。高级四层力、战略思维、创新能力和团队管理能力；体系设计和管理体系设计。1.熟悉和跟踪国内、外网络安全的相关政策、法规及标准的发展；2.对网络安全等级保护标准体系及主要标准有较为深入的理解；验和研究创新能力；经验，具有较强的组织协调和管理能力；中级大型场景和新业务环境的等级测评能力；具备网络安全测评方案编制能力、网络安全测评报告编制能力；2.正确理解网络安全等级保护标准体系安全相关标准的发展；3.掌握网络安全基础知识，对网络安全“三化六防”有较深理解，熟悉网络安全测评方法和网络安全渗透测试方法，具有网络安全技术研究的基础和实践经验；强的组织协调和沟通能力；5.能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程；6.能够根据等级保护对象的特点，编制7.具有综合分析和判断的能力，能够依备较强的文字表达能力；化的整改建议。 第四章安全测评人才能力评价方法具备查阅公开的安全漏洞报告，梳理漏洞分析报告能力；具备检索已公开的漏洞验证程序能力；具备标记测试结果的漏洞等级能力；具备检索已披露漏洞的测试方法、工具能行环境能力；具备使用常规化测试工具(漏洞扫描器/渗透测试工具集、协议分析仪等)能力；能根据渗透测试流程各环节规范开展测试工作；具备云计算环境、移动互联、物联网、工控系统等的漏洞挖掘能力；1.掌握等级测评方法，能够根据测评指计测试用例获取所需测试数据；3.能够按照报告编制要求整理测评数据；入点进行测试；并记录；6.能识别常见漏洞并初步判断安全风险；准体系的能力；据安全测评、物理安全测评的能力；1.了解网络安全等级保护的相关政策、2.熟悉网络安全基础知识；3.熟悉网络安全产品分类，了解其功能、特点和操作方法；4.掌握等级测评方法，能够根据测评指设计测试用例获取所需测试数据；6.能够按照报告编制要求整理测评数据。 网络安全人才实战能力白皮书—安全测试评估篇高级通用能理论水平熟悉和跟踪国内、外网络安全的相关政策、法规及标准的发展。的理解。实践能力方案及测评指导书的指导及开发。具有网络安全理论研究的测评或服务项目数量不少于思想意识中级专业能力(P)通用能理论水平熟悉网络安全等级保护相关政策、法规，正确理解网络安全等级保护标准体系和主要标准内容，能够跟踪国内、国际网络安全相关标准的发展。掌握网络安全基础知识，法，具有网络安全技术研究的基础和实践经验。熟悉等级保护报告单项测分析。实践能力本控制和评审流程；能够根据等级保护对象的特点，编制测评方案，确定方法。测评方案的编制，包括确定测评对象和测评指标，确定测评指导书的选择，掌握测评实施要点。的问题，提出合理化的整改开展安全测评或服务项目思想意识象，开展针对性安全培训方目实施中践行安全管理要求具有综合分析和判断的能力，能够依据测评报告模板 第四章安全测评人才能力评价方法评价如表4-17所示。专业能力(P)通用能理论水平了解网络安全等级保护的检查内容。掌握开展等级保护测评活了解测试评估的范围和所实践能力行测评方法设计；掌握根据业务场景，选择测评设计实施步骤；能使用测试工具对被测对象进行测试并记录；能够按照报告编制要求整理测评数据，整理单项检查项数据，形成初步等级保护测评检查结果。思想意识专业能力(P)通用能理论水平了解网络安全等级保护的掌握开展等级保护测评活了解等级保护测评报告结构，了解测试评估的范围和所涉及的知识点。实践能力所需测试数据；掌握根据业务场景，选择能使用测试工具对被测对象进行测试并记录；掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据。能够按照报告编制要求整理测评数据，整理单项检查项数据，形成初步等级保护测评检查结果。思想意识熟悉网络安全基础知识；解释，指出现状存在的明显风险。 第四章安全测评人才能力评价方法4.6.1岗位要求及特点描述 如表4-18所示。从事产品/软硬件结合的整机系统相关的测试设计与评估、计与实现、测试技术规划、关键技术研究等工作内容的岗位。从事产品硬件、芯片相关的测试设计与评估、DFX类测试、技术规划、关键技术研究等工作内容的岗位。从事软件平台测试、软件组件测试、软硬件结合产品中的相关的测试系统设计与实现、测试技术规划、关键技术研解决方案测试对内代表客户验收版本质量：在实验室模拟各种现网评估标准，基于IPD研发流程看护客户界面，综合评估客户价值和解决方案商用成熟度。解决方案测试对外代表研发支撑项目商业成功：保障外部客户化测试项目成功交付，包括且不限于比拼、演示、POC、行业认证、联合客户创新等。从事软件/硬件/软硬件结合的产品/服务/解决方案安全与估、DFNS类测试、测试系统设计与实现、测试技术规划、关键技术研究等工作内容的岗 第四章安全测评人才能力评价方法基于安全产品测试岗位职责要求和层级差异，将岗位分为高级、中级和初级三个分高级面提升，通过外规内化、内归外化兑现安全产品竞争力领先一代。中级安全产品竞争力业界一流。四层系统，测试系统竞争力显著提升；对安全产品测试质量和效率上效率上实现全面提升。安全产品测评工程师岗位高级人才具备构建安全产品测试业务发展愿景，带领测试 专家团队开创定义测试技术方向和测试系统，测试系统引领行业标准、规范能力。全面提升系列安全产品测试质量和效率，支撑产品竞争力全面领先。高级岗位人才要求如表4-20所示。专业能力(P)通用能理论水平1.测试策略：策略制定和评估、策略执行、策略分析和与识别、测试技术与测试系统分析计、测试方案与用例设计、测试架构维护与演进。1.测试工程：测试工程方现、测试工程规划；案设计能力；件测试分类、研发模式测试、1.测试评估：缺陷分析与管理、测试评估、评估模型设计与实现；实践能力1.挖掘潜在需求，并提出系统规划；制定测试策略，通过分工和协作，驱动质量和测试效率提升；通过先进测试技术创新，构建精准高效测试策略制定技术；3.具备创新测试系统设计的能力，有效消减测试覆盖计方案。1.具备对测试系统或工具平台的创新能力；主导测试系统服务化构建；创新性制定测试模式、自动挑战或问题，提升测试效率、界领先。掌握行业质量评估标准和系统的重构优化能力，构建系统级的产品质量评估系统，实时准确呈现当前真实的产品质量。思想意识1.具备战略思维和全局视角，长远规划，深刻洞察新机会和挑战；2.具备创新测试意识，跟踪安全产品测试技术和发展趋势，探索新的测试技术，提升整体安全产品测试水平；3.具备内外部影响力和推动力，对技术路径和关键方案进行决策，引领技术发展方推动测试系统的创新、测试作业平台演进和共建共享；4.勇于挑战，克服困难，主动担责，坚持不懈，精益求精，追求卓越；5.不断总结，不断学习，持续改进，懂得倾听，尊重他人，善于与他人合作；6.至诚守信，工作中能承受压力，不推卸责任。 第四章安全测评人才能力评价方法专业能力(P)通用能理论水平1.测试策略：策略制定和与识别、测试技术与测试系统分析1.测试工程：测试工程方法与技术、测试工程设计与实现、测试工程规划；案设计能力；1.测试评估：缺陷分析与计与实现；实践能力1.挖掘潜在需求，并提出创新性竞争力方案；洞察测测试系统规划；制定测试策略，通过分工和协作，驱动质量和测试效率提升；通过先进测试技术创新，构建精准高效测试策略制定技术；3.具备创新测试系统设计的能力，有效消减测试覆盖风险；备丰富的测试经验，能够反推前端应用，提升系统设计方案。1.具备对测试系统或工具系统服务化构建；趋势，规划完善测试模式、自动化框架、研发环境等测成本，业界一流。规范，具备对产品质量评估系统的重构优化能力，构建实时准确呈现当前真实的产品质量。思想意识1.具备战略思维和全局视角，长远规划，深刻洞察新机会和挑战；体安全产品测试水平；3.具备内外部影响力和推动力，对技术路径和关键方案进行决策，引领技