2023网络安全人才实战能力白皮书人才评价篇

国务院学位委员会学科评议组(网络空间安永信至诚科技集团股份有限公司中国网络安全审查技术与认证中心中国通信服务股份有限公司山东大学四川大学武汉大学哈尔滨工业大学国网智能电网研究院编委会副主任：俞能海蔡晶晶I 前言网络安全人才实战能力白皮书一人才评价篇目录第一章网络安全人才评价状况分析011.1国际情况 1.1.1美国网络安全人才评价情况 1.1.2欧盟网络安全人才评价情况 1.1.3英国网络安全人才评价情况 021.1.4国际网络安全人才认证情况 02 1.2.1我国网络安全人才评价情况 1.2.2我国网络安全人才认证情况 1.3面临问题 1.3.1人才评价政策制定缺乏战略规划和统筹协调 1.3.2人才评价模式和维度单一 1.3.3人才评价方法和技术有限 1.3.4人才评价工作持续性不强 第二章用人单位网络安全人才评价现状分析07 2.1.1性别、年龄及学历情况 2.1.2行业、地域及岗位情况 2.1.3网络安全实战能力情况 目录 2.2.1人才评价基本情况 2.2.2人才评价重视程度 2.2.3人才评价维度 2.2.4人才评价方式 2.3.1评价结果公开性 2.3.2评价结果有效性 2.3.3晋升和加薪兑现情况 23第三章院校网络安全人才评价现状分析25 3.1.1性别、年龄及所在院校情况 3.1.2地域及专业情况 3.2.1人才评价基本情况 3.2.3人才评价方式 3.3.1评价结果公开性 网络安全人才实战能力白皮书一人才评价篇3.3.2评价结果有效性 3.3.3有效的评价方式 第四章网络安全人才评价体系建设情况分析434.1网络安全人才评价体系建设现状 434.1.1院校学生人才评价体系建设现状 434.1.2用人单位人才评价体系建设现状 464.2网络安全人才评价体系建设需求 494.2.1院校人才评价体系建设需求 4.2.2用人单位评价体系建设需求 4.3.1院校人才交叉融合能力评价分析 4.3.2用人单位人才交叉融合能力评价分析 第五章网络安全人才实战能力评价体系605.1网络安全人才评价ASK-P模型概述 5.1.2技能维度 5.1.3知识维度 5.1.4实践维度 网络安全人才实战能力白皮书—人才评价篇目录 5.2.1网络安全人才分类 5.2.2网络安全人才分层 5.3网络安全人才岗位评价 5.3.1网络安全管理岗位评价 5.3.2网络安全建设岗位评价 5.3.3网络安全运营岗位评价 5.3.4网络安全审计和评估岗位评价 5.3.5网络安全科研教育岗位评价 1 第一章网络安全人才评价状况分析网络安全人才评价状况分析版本，其定义了7个工作类别、33个专业领域、52种工作角色，给出了1007项与工作角国防部手册(DoDM)8140.03网络空间劳动力资格和管理计划，提供了一种有针对性的、(ECSF),以完善网络安全人才培养与评价。该框架共确定了12个与网络安全相关的角2到3.0版本。它把所有ICT人员能力分为5大能力域和40个核心能力项，每个能力项都障专业人员分为7大类别，根据不同职责，每个类别又分为3至4个等级。CESG指定的3 第一章网络安全人才评价状况分析45 第一章网络安全人才评价状况分析7 第二章用人单位网络安全人才评价现状分析用人单位网络安全人才评价现状分析网络安全人才实战能力白皮书一人才评价篇图2-1用人单位网络安全人才性别分布从用人单位网络安全人才的学历来看，本科背景的人才依旧是网络安全行业的主力军，占比70%;硕士背景的人才，占比23.8%;博士背景的人才占比0.2%。相较于2022年《攻防实战篇》,本科、硕士背景的人才分别上升了2%、6.3%。这是因为网络安全学科建设成效显著,更多高校开设网络安全相关专业，招生规模化有序推进，从源头上本科、硕士占比上升。此外博士占比有所下降，也反映出用人单位在人才引进、人才评价时，结合实力。如图2-2所示。70%-40%-68.0%70.0%高中及以下图2-2用人单位网络安全人才学历分布9 第二章用人单位网络安全人才评价现状分析21~25岁、31~35岁，占比均为23%。这说明，一方面26~30岁的人才抗压力、学习能力20岁及以下21~25岁26~30岁31~35岁36~40岁41岁及以上2.1.2行业、地域及岗位情况能源政府通信金融交通网络安全互联网其他科研传媒烟草图2-4网络安全实战人才行业分布从用人单位网络安全实战人才所在地域来看，网络安全人才集聚效应明显。北京作为产业规模和人才需求随之扩大，同时雄厚的教育资源也有利于科技成果转化，为吸引网络北京市广东省上海市浙江省山东省湖北省江苏省云南省福建省内蒙古自治区安徽省陕西省河北省四川省河南省山西省甘肃省重庆市北京市广东省上海市浙江省山东省湖北省江苏省云南省福建省内蒙古自治区安徽省陕西省河北省四川省河南省山西省甘肃省重庆市新疆维吾尔自治区湖南省贵州省黑龙江省江西省吉林省宁夏回族自治区青海省新疆生产建设兵团0.图2-5用人单位网络安全实战人才地域分布第二章用人单位网络安全人才评价现状分析相较于2022年《攻防实战篇》中的地区分布，西南、东北、西北、华中地区的用人单位网络安全人才占比均有所上升，其中西北地区上升了5%、华中地区上升了8%,这说明在国家政策的推动下，中西部地区的网络安全产业取得了明显的发展成效，人才吸引力增目前，全国各省市各单位都在积极践行网络强国和人才强国战略，加速推进网络安全产业布局及人才布局。但与发达国家相比，我国受制于IT基础设施和互联网的发展，网络安全产业起步较晚，对网络安全的重视程度不够，很多用人单位的网络安全专职队伍存在规模较小、岗位划分不明确等方面的问题。调研数据显示，63%的用人单位网络安全专重、责任大，有33%的单位设置了专人专岗，但67%的单位没有设置专人专岗，岗位职责比较模糊。如图2-7、2-8所示。%%网络安全人才实战能力白皮书一人才评价篇■未设置专职专岗■设置了专人专岗全人才专职队伍规模相对小，72%的事业单位、69%的国家行政机关网络安全专职队伍不足10人；科研机构、民营企业的网络安全专职队伍规模相对大，20%的科研机构、14%的民营企业网络安全专职队伍规模大于100人；央企、国企网络安全专职队伍规模相对均衡；外资企业两级分化较为严重，78%的外资企业网络安全专职队伍规模不足10人，11%的外资企业网络安全专职队伍规模大于100人。如图2-9所示。0国家行政机关国企科研机构民营企业事业单位外资企业央企■10人以下■11-20人■21-50人■50-100人■100人以上第二章用人单位网络安全人才评价现状分析42%;其次是Web安全能力，漏洞挖掘、分析和利用能力，分别占比40%、25%。这说明悉Web应用的开发和运行原理，能够保障Web应用和网站免受恶意攻击；擅长漏洞、挖但擅长云、5G、AI、区块链等新兴领域网络安络安全竞赛等形式，加速培养人才在专项领域的网络安全实战能力。如图2-10所示。%渗透测试逆向分析安全管理操作系统安全数据安全追踪溯源中间件安全代码审计电子取证安全研究安全开发密码应用其他测试”占比最高，达41%;其次是逆向分析，漏洞挖掘、分析和利用，各为37%、33%;这%Web安全密码应用图2-11用人单位网络安全实战人才最想提升的能力人才的驱动力、创造力。如图2-12所示。 第二章用人单位网络安全人才评价现状分析图2-12用人单位网络安全人才评价开展情况为保障人才评价能够规范有序的进行，42%用人单位成立了专门的“人才评价工作组”,牵头开展评价工作；58%的用人单位没有设置专门的“人才评价工作组”,由不同的部门或小组牵头开展，其中30%的单位由信息化部门牵头，27%的单位由人力资源部门牵头，23%的单位由网络安全部门牵头，还有20%的单位没有牵头部门，各小组自行开展，人才评价的组织建设力有待提高。如图2-13、2-14所示。图2-13用人单位人才评价工作组设置情况图2-14用人单位网络安全人才评价牵头部门人才是第一资源，企业持续性开展人才评价工作，既有助于帮助员工进阶，也符合用人单位的发展战略。调研数据显示，用人单位开展网络安全人才评价最主要的原因各有不同，其中培养人才梯队(选拔高潜力、高绩效的人才，优化低潜力、低绩效的人才)占比最网络安全人才实战能力白皮书一人才评价篇高，达28%;其次是“帮助员工看清自身的优势与不足”“帮助员工展示自我价值”,分别占比25%、19%。如图2-15所示。■选拔干部■了解员工需求2-15用人单位开展网络安全人才评价的最主要原因为了明确各岗位职责和岗位薪酬，帮助人才明确职业发展路径，用人单位还会建立职级体系。在职级体系里，通常会将岗位分成技术、管理、学术三类序列。其中，33%的用人单位采用管理和技术双序列；29%的用人单位仅采用了技术序列；13%的单位仅采用了管理序列；11%的单位仅采用了学术序列；仅有10%的用人单位采用了三种序列建立职级体系。如图2-16所示。■技术类■管理类■学术类图2-16用人单位职级体系种类 第二章用人单位网络安全人才评价现状分析从专职人员评价工作精力投入方面看，用人单位投入到人才评价工作上的精力有极大的提升空间。数据显示，63%的用人单位，在网络安全人才评价工作中投入精力不足10%。如图2-17所示。■5%及以下■15%-20%(含20%)图2-17■5%-10%(含10%)■10%-15%(含15%)■20%-25%(含25%)■25%及以上网络安全人才评价工作精力投入情况从网络安全人才评价工作预算投入上看，“无预算”的用人单位占比最多，为32%,可见用人单位对于网络安全人才评价工作的关注度仍有待提升。如图2-18所示。图2-18用人单位网络安全人才评价年均预算网络安全人才实战能力白皮书一人才评价篇2.2.2人才评价重视程度整体而言，有56%的用人单位对网络安全人才评价还不够重视。其中“从未开展过人才评价”的用人单位占比最高，达29%,这些单位对网络安全人才评价没有意识和需求，也没有建立任何评价体系和机制，存在一些人力资源管理的问题和风险；其次“评价比较形式化”的占比也达到27%,这些单位虽然已经关注到网络安全人才评价，但没有一个明确的体系和标准，仅是为了应付一些外部要求或者内部规定而进行表面的评价活动，没有真正实现网络安全人才评价的目的和效果。如图2-19所示。在所有开展网络安全人才评价的单位中，通信行业重视程度最高，39%的通信行业有完善的评价体系且定期开展评价活动，相较这一类别在总体行业中占比的20%,高出一倍。说明通信行业通过强化人才支撑，在加速实施5G增强、光通信、量子通信等关键技术突破，保障尽快实现高水平科技自立自强。其次，互联网和网络安全行业对网络安全人才评价也较为重视，26%的互联网单位、25%的网络安全单位有完善的评价体系，定期开展评价活动。而交通、医疗行业对网络安全人才评价工作的重视程度有很大提升空间。35%的交通行业从未开展过人才评价、人才评价比较形式化。在医疗行业中，从未开展过网络安全人才评价、人才评价比较形式化的单位各占比33%。政府、金融、能源的人才重视情况和全国总体水平较为接近。如图2-20所示。第二章用人单位网络安全人才评价现状分析40%40%能源金融政府通信交通网络安全医疗卫生互联网26%26%32%25%■有完善的评价体系，定期开展评价活动图2-20不同行业的人才评价重视程度2.2.3人才评价维度目经验、个人绩效等多个维度。其中对基本情况评价的普及率最高，为64%;其次是获图2-21所示。获奖证书专业技能2.2.4人才评价方式技能测评图2-22网络安全人才评价方式统计 第二章用人单位网络安全人才评价现状分析2.3网络安全人才评价效果分析评价结果是否公开对于网络安全人才评价具有重要的影响。公开评价结果与不公开评价结果各有优缺点。公开评价结果可以增加评价的透明度和可信度。网络安全人才的评价结果对于企业和组织来说是重要的决策依据，公开评价结果可以使评价过程更加公正、客观和可信。通过公开评价结果，各方能够了解评价的方法、标准和过程，从而对结果有更好的理解和认可；还能够促进竞争和激励，激发网络安全人才提升自身能力和技术水平的动力。同时公开评价结果可以为网络安全人才提供一种展示和证明自己能力的机会，进一步激发其积极性和主动性。不公开评价结果可以保护个人隐私和敏感信息。网络安全人才的评价结果可能包含个人的细节和敏感信息，如技术能力、弱点和发展需求等。不公开评价结果可以防止这些信息被滥用或泄露，确保个人隐私的保密性；还可以避免过度竞争和不必要的紧张氛围，使网络安全人才能够更专注于自身的成长和发展。在某些情况下，不公开评价结果可能更符合组织的需要和要求，有助于更精确地评估和发展网络安全人才。调研数据显示，有57%的单位不公开评价结果，43%的单位选择公开评价结果。如图2-23所示。各用人单位应该根据自己的实际情况选择对结果进行公开或者不公开。无论是公开还是不公开评价结果，关键在于确保评价过程的公正、客观和有效，以推动网络安全人才网络安全人才实战能力白皮书一人才评价篇的发展和行业的进步。定期进行知识和技能考核，有助于网络安全人才定位自己的优势，看清能力短板。根据调研结果，42%的单位会举办知识和技能考核，但持续性不强，员工只能看清一个阶段的优势与短板；24%的用人单位会定期举办知识和技能考核，员工能够看清自己的优势与短板；21%的单位会举办知识和技能考核，但考核内容与业务脱节，不能反映员工的优势与短板；还有13%的单位从未举办过知识和技能考核。如图2-24所示。这说明在对网络安全人才进行评价时，评价方式应具备科学性，要能够反映个人能力在实际工作中的应用情况，并提供有针对性的反馈和改进建议。此外，大多数单位的评价工作持续性不强，人才无法得到连续、有效的反馈，从而了解自己的强项和薄弱点，并采取相应的行动来提升实战能力。另一方面，用人单位组织网络安全实践活动(竞赛、众测、演练),有助于帮助员工接触大量真实的网络安全场景，磨砺员工的实战能力水平。43%的用人单位经常组织员工参加网络安全实践活动，员工通过接触大量真实的安全场景和安全事件，系统性地检验网络安全实战能力；38%的用人单位定期组织网络安全实践活动，员工实战能力得到了有效检验；7%的用人单位单位偶尔组织网络安全实践活动，员工接触的安全场景和安全事件有限，检验效果一般；而12%的单位从未组织过实践活动。如图2-25所示。 第二章用人单位网络安全人才评价现状分析■接触大量真实的安全场景和安全事件，系图2-25实践活动参与情况是否兑现相应的晋升和加薪，是影响用人单位对网络安全人才评价效果的一个重要因素。调研结果显示，有29%的单位有施行相关制度，并且及时兑现了晋升和加薪；43%的单位虽然有相关制度，但是兑现晋升和加薪较慢；有13%的单位有相关制度，但未兑现晋升和加薪；还有15%的单位没有相关制度。如图2-26所示。■有相关制度，但未兑现晋升和加薪图2-26晋升和加薪兑现情况 第三章院校网络安全人才评价现状分析在年龄分布上，院校网络安全实战人才绝大多数集中在18~22岁。其中“20岁”的群体比例最高，达到29%,其次是“21岁”“19岁”,占比分别为22%、19%。如图3-2所示。17岁及以下18岁24岁25岁及以上21岁22岁20岁23岁29%-从年级情况看，37%的院校学生从大二开始注重网络安全实战能力培养，28%的院校学生从大一开始注重网络安全实战能力培养。这与院校网络安全专业课首次开设学期相对应。28%、22%、18%的院校选择在第三学期、第五学期、第二学期开设设置网络安全20%-大二研究生其他大一大四大三图3-3院校网络安全人才注重实战能力培养的年级分布■第二学期■第六学期■第三学期■第七学期■第八学期图3-4院校网络安全专业课首次开设学期情况聚焦学历和院校现状，“普通本科”院校依然是培育网络安全人才的主力军，占比高达61%;其次211(非985院校)、985院校，分别占比13%、11%。说明网络安全人才培养是一个复杂的社会系统工程，对于人才的需求是多层次、复合型、跨学科的，同时人才缺口大，而本科及以上院校师资力量雄厚、教学资源优质，能够提供广泛的教育和培训机会，各院校可以结合自身优势为用人单位和国家输送多元化人才。同时在推进网络强国网络安全人才实战能力白皮书一人才评价篇战略建设中，211及以上院校国际化、开放性、科研实力更强，其对网络安全人才的培养，可以为我国网络安全核心技术迈向自主创新和自主可控提供助力。如图3-5所示。■高职高专■普通本科■双一流(非985、非211)■211(非985)■985图3-5网络安全人才院校类型分布网络安全是数字经济发展的“生命线”,在数字化转型加速发展的当下，分布在全国(港澳台除外)31个省(自治区、直辖市)及新疆生产建设兵团的院校均有培养网络安全人才的实战能力，其中位于经济支撑力强、数字化转型较快省市的院校，对于网络安全人才实战能力的培养关注度普遍较高。“广东省”院校网络安全实战人才占比最高，达10.7%,这跟广东在数字化建设方面发展较快，数字经济规模在全国领跑，当地院校注重网络安全实战人才培养有关；其次是“浙江省”占比7.8%;而四川省、河南省、山东省、陕西省及江苏省等各省市的网络安全实战人才的占比均超过了5%。如图3-6所示。1.3%1.3%浙江省山东省安徽省甘肃省山西省图3-6院校网络安全实战人才地域分布按七大行政区来看，院校对于网络安全实战人才的培养与用人单位需求分布基本一致。“华东地区”院校对于网络安全实战人才的培养关注度最高，达到了29%,“华北地区”“华南地区”“华中地区”的占比也都超过15%,“东北地区”占比最低，仅4%。如图3-7所示。%图3-7院校网络安全人才区域分布情况通过院校网络安全实战人才就读专业分析发现，网络安全实战人才主要还是集中在“安全”相关的专业里，其中就读“信息安全”专业的学生群体最多，达到30%,其次是“网络空间安全”专业和“计算机科学与技术”专业，分别达到了20%和17%。如图3-8所示。信息安全信息安全网络空间安全计算机科学与技术网络工程软件工程通信工程%物联网3%网络安全与执法3%人工智能2%密码学1%信息对抗1%其他相关专业1%%3.1.3网络安全实战能力情况对院校网络安全人才擅长的实战能力分析发现，“Web安全”占比最高，为49%;紧跟在20%左右。说明院校作为网络安全人才培养的主战场，注重为学生构筑扎实的理论基全人才必须掌握的实战能力。如图3-9所示。WebWeb安全49%渗透测试47%逆向分析9%代码审计13%密码应用12%电子取证11%病毒与木马分析11%数据安全10%操作系统安全8%中间件安全8%追踪溯源8%安全开发第三章院校网络安全人才评价现状分析渗透测试Web安全逆向分析病毒与木马分析代码审计操作系统安全中间件安全密码应用安全开发数据安全电子取证追踪溯源安全研究安全管理以上均不欠缺图3-10院校网络安全人才最想提升的实战能力方向3.2.1人才评价基本情况由教务部牵头的情况。由学院牵头(占比36%)和教务处牵头(占比12%)可以从宏观、整网络安全人才实战能力白皮书一人才评价篇体的维度对人才进行评价，但也存在专业特性结合不充分的情况；任课老师自行开展(占比21%)可以从课程角度出发，但不同老师评价方式、维度不同，评价体系化、规范性不强，难以形成统一的标准；多部门联合成立评价工作组同时考虑了专业特性和评价体系标准，评价更客观、公正性更强，但限于多部门联合时间成本较高，这一占比仅为31%。如图3-11所示。图3-11院校网络安全人才评价工作牵头部门评价工作在教师整体工作中的精力占比可以反映出院校对于评价工作的重视程度。数据显示，47%的院校教师，“在人才评价工作投入的精力占比低于10%”;仅有15%的教师“投入精力占比超过30%”。整体看，院校教师对于评价工作的投入精力还有较大的提升空间。如图3-12所示。■5%~10%(含10%)■10%~15%(含15%)■15%~20%(含20%)20%~25%(含25%)■25%~30%(含30%)■30%以上图3-12网络安全人才评价在院校教师工作中的精力占比结果及效果。如图3-13所示。■无预算■10-20万(含20万)■20-50万(含50万)■50万-100万(含100万)图3-13院校网络安全人才评价年度预算评价关注重点在哪里，预算优先投入就在哪里。调查发现，院校通常将预算投入到开发人才评价系统、搭建攻防实验室、参与网络安全竞赛、攻防演练或科研项目等。从院校网络安全人才评价预算投入优先项来看，“搭建攻防实验室”普及率最高，达75%,这说明院校注重攻防实战能力培养，通过专业的网络攻防实验室模拟真实的网络安全攻击和防普及率达58%,说明竞赛、演练、众测可以使学生接触到大量真实的安全业务场景，发现问题、解决问题，提升实战水平和团队协作能力。如图3-14所示。图3-14院校网络安全人才评价预算优先投入项情况价维度分析，58%的院校采用“德育+智育+身心+实战能力”4种维度综合评价，说明智育+德育+身心+实战能力智育+德育+身心+实战能力智育+德育+实战能力智育+德育+身心德育+实战能力智育+实战能力智育+德育实战能力智育其中选择“知识+实践+技能+科研+素质”五种考核方式的占比为43%,其次分别是选知识+实践+技能+科研+素质知识+实践+技能+科研+素质43%知识+实践+技能+科研17%知识+实践+科研5%知识+实践+素质4%知识+实战+技能15%知识+技能4%知识+实践6%知识6%图3-16院校网络安全人才评价方式情况3.3.1评价结果公开性指标和标准综合排名课程得分优点和不足改进和建议其他图3-17院校网络安全人才评价涉及方面的普及情况为发挥人才引领作用，激发学生的进取心，院校普遍对于评价结果设置了奖励制度，奖励项包含荣誉奖项、奖学金、推荐就业、保研名额等。其中，39%的院校对于结果设置了两种以上的奖励项，以满足学生的个性化发展需求；33%的院校对于评价结果设置了一种奖励项。在奖励项方面，荣誉奖项占比最高，为49%;其次是不同等级的奖学金，占比34%;推荐就业及保研名额分别为24%、23%。可见院校非常重视通过奖励激发学生的积极性、上进心。如图3-18、图3-19所示。■不与奖励挂钩■与一种奖励挂钩■与两种及以上奖励挂钩图3-18院校网络安全人才评价结果与奖励挂钩情况第三章院校网络安全人才评价现状分析图3-19院校网络安全人才评价奖励维度3-20各层次院校中人才评价流程不公开透明情况占比网络安全作为一门实践性极强的综合性学科，实验和实践的意义更大，实验和实践占总学分的比例应该更高，但目前有61%的院校“实验和实践学分占总学分的比例在30%及以下”,甚至有7%院校“实验和实践学分比重在10%及以下”。可见目前院校对于实验和实践的关注度仍有很大提升空间。如图3-21所示。■■20%-30%(含30%)■10%-20%(含20%)■30%-40%(含40%)■50%以上■10%及以下图3-21实验和实践学分占总学分的比例实际操作理解攻防对抗的含义，将理论知识转化为网络安全技能。根据调研分析，58%的效，助力其实践能力提升；也有28%的院校虽然攻防实验与教学内容匹配度高，但开展不及时，转化为网络安全技能的效果一般；同时仍有6%的高校未向学生提供攻防实验环境。整体而言，还有约四成的院校需加强对攻防实验的关注。如图3-2■与教学内容匹配度高，但开展滞后■与教学内容不匹配图3-22攻防实验与教学内容的匹配度 第三章院校网络安全人才评价现状分析的学生通过校外实践具备解决复杂工程问题的能力；也有39%的学生因为实践周期短、不持图3-23校外实践与解决复杂工程问题的匹配度院校进行校内实验及校外实践目的之一是检验和提升学生实战能力。对于实战能力的的院校对于实战能力的评价比较形式化，没有评价指标及标准，不能真实了解学生实战水两端能力较量。”若院校未在评价中设置实战能力评价，则培养的人才短时间难以满足社会图3-24院校网络安全人才实战能力评价的效果分析持续化的校内实验、校外实践，不仅有助于学生发掘自身优势、弥补不足，还能找准网络安全人才实战能力白皮书一人才评价篇明显。调研数据显示，45%的院校评价结果仅供参考，不能对学生的就业决策形成参考；17%的院校评价结果对学生职业发展方向没有指导价值。图3-25所示。■一般，评价结果仅供参考，还需结合自身情况发现优势及短板，增强网络安全实战能力是人才评价的核心目的之一。为了有效评价学生的实战能力，院校纷纷多措并举，开展了网络安全竞赛、网络安全攻防演练、网络安全众测、校外实习等活动，助力学生夯实基础，补齐短板。据统计，网络安全竞赛、网络安全攻防演练由于高度贴近真实业务场景，且能够快速锻炼、检验学生的实战能力，院校对其有效性的认可度较高，占比均超50%;其次，对于网络安全众测、参加校外实习的有效性，也分别占比37%、34%。说明以上形式有利于学生接触实际工作环境、实际问题，将知识和技能转化为解决复杂工程问题的网络安全实战能力。如图3-26所示。千尺物 第三章院校网络安全人才评价现状分析经过多年发展，我国网络安全竞赛已处于成熟阶段，赛制丰富。参与网络安全竞赛的次数也可以体现院校对这一方式的认可度、重视度。从参与网络安全竞赛的次数来看，报名参加网络安全竞赛的学生中，首次参加竞赛的“新星”和参加过10次以上竞赛的“专业爱好者”占比较高，分别为32%、17%。其中参加过10次以上竞赛的“专业爱好者”中，大二、大三学生的比例分别为39%、34%;而首次参加竞赛的“新星”中，占比最高的是大一，比例为45%。这说明院校纷纷从大一阶段就采用了网络安全竞赛这一抓手，让学生走进“社会课堂”,上好实践“必修课”。同时，也进一步说明了学生对网络空间安全竞赛的积极参与，以及一部分学生在这一领域的深度投入。这种多样性的参与不仅有助于推动网络空间安全领域的发展，也为学生提供了更广泛的学习和锻炼机会。如图3-27、3-28、3-29所示。图3-27院校网络安全人才参与竞赛的次数网络安全人才实战能力白皮书一人才评价篇因网络安全竞赛能有效评价、提升学生的网络安全实战能力，很多院校将网络安全竞赛作为评价指标。58%的院校希望在人才评价中适当增加网络安全竞赛权重；19%院校则对网络安全竞赛进行了更深层次的思考，认为目前竞赛的评价不够细致，应该按能力进行分级评价，而不仅是名次排名；15%的院校已经非常很看重网络安全竞赛，希望保持现有权重即可；仅8%的院校表示应该加强理论知识考核，不应过于注重网络安全竞赛。如图3-30所示。■应适当增加竞赛权重■竞赛结果除名次外，可分级评价■应加强理论知识考核图3-30院校人才评价中网络安全竞赛权重认可度 第四章网络安全人才评价体系建设情况分析网络安全人才评价体系建设情况分析网络安全人才实战能力白皮书一人才评价篇3所院校开设了保密管理专业。如图4-1所示。063解决实际问题等方面的能力，能够较为客观、全面地评价学生的网络安全实战技能和潜全相关专业背景的参赛选手在竞赛中更具优势。相关专业的词云图如图4-2所示。网络空间全为鼓励学生更好地了解网络安全前沿技术应用，通过网络安全竞赛提高自己的专业政策，涉及的院校占比75%。如图4-3所示。一第四章网络安全人才评价体系建设情况分析根据实际情况和奖励效果，院校设置的奖励项也较为多样化，例如学业成绩加分、参评院校荣誉奖项加分、奖学金推荐等。57%的院校推出了学生凭竞赛奖项可在学业成绩中适当加分的政策；55%的院校推出了学生凭竞赛奖项可在参评院校荣誉奖项加分的政策；32%的院校把竞赛奖项作为奖学金加分项；25%的院校把竞赛奖项作为保研加分项；20%的院校把竞赛奖项作为就业推荐项。如图4-4所示。在网络安全人才评价体系建设方面，为全面贯彻党和国家教育方针，鼓励学生德、智、体、美等全面发展，全国各院校根据教育部《普通高等学校学生管理规定》,纷纷推出了“学生综合素质评价制度”,以“综合素质评价体系”为指引开展人才评价，这一比例达72%。12%的院校会根据自身情况设计网络安全人才评价体系，但缺乏统一的网络安全人网络安全人才实战能力白皮书一人才评价篇才评价标准，也导致难以客观地评估学生在网络安全领域的能力和素质。此外，还有16%的院校还没有任何评价体系工作开展。如图4-5所示。4.1.2用人单位人才评价体系建设现状在全国各行业加紧推动科技人才评价机制改革，完善科技人才评级体系，开展试点落却进展缓慢。有54%的用人单位没有网络安全人才评价体系。已开展体系建设的46%的评价体系，如红蓝队人才评价体系。不同体系下的评价维度、指标、分级分类方向不同，说明用人单位目前也缺乏统一的网络安全人才评价标准。如图4-6所示。网络安全是一个涉及多领域的交叉融合学科，更需聚天下英才而用之，在人才评价上同的职业发展序列，不同序列中还会设置不同的岗位层级，依据人才的学历、经验、绩效、岗位职责等，对人才进行定岗定级。用人单位在定岗定级中，最看重综合实战能力、职称等级、岗位职责、工作经验等，较为客观的依据，能够很好地助力定岗定级。如图4-7所示。■综合实战能力■综合实战能力■职称等级■岗位职责■工作经验图4-7用人单位定岗定级最看重的方面绩效是衡量人才工作表现的重要依据之一，也是网络安全人才评价体系的重要组成。应用绩效考核方法，管理者能够量化任务完成情况、评价职责履行情况。目前常见的绩效评估法等。其中KPI注重“将任务量化为具体数据”,用人单位应用较为普遍，占比48%;360度评估注重“评价维度的多元化”,应用的单位占比18%;OKR注重“衡量目标能否完成”,应用的单位占比16%。如图4-8所示。■360度评估图4-8用人单位绩效考核方法网络安全人才实战能力白皮书一人才评价篇在没有建设网络安全人才评价体系的单位中，不开展网络安全人才评价、网络安全人才评价形式化的情况各占一半。这说明没有完善的网络安全人才评价体系，用人单位就很难开展人才评价工作，人才“指挥棒”难以施展其人才摸底、人才激励、人才选拔等价值。如图4-9所示。图4-9没有建设人才评价体系单位的评价开展情况建设一个权威、科学、公正的评价体系是网络安全从业者的核心需求之一。在未开展网络安全人才评价体系的单位中，36%的用人单位“暂无搭建网络安全人才评价体系”的计划，未意识到人才评价的重要性或无相关预算。也有33%的用人单位意识到要搭建人才评价体系，但不知如何开展，缺乏科学的方法、合理的规划，亟需一套较为完善的指导框架。如图4-10所示。图4-10网络安全人才评价体系建设计划网络安全人才评价体系建设涉及的难点也有所不同，包含确立评价标准、指标，确立框架模型、预算等方面。其中，难以明确评价标准和指标、缺乏专业的评价方法、缺乏可参考的模型是用人单位开展人才评价体系遇到最普遍的问题。如图4-11所示。 第四章网络安全人才评价体系建设情况分析难易明确评价标准和指标难易明确评价标准和指标缺乏专业的评价方法缺乏可参考的模型缺乏可参考的案例人员数量有限，无法实现定岗定级缺乏合适的平台领导不重视预算有限4.2.1院校人才评价体系建设需求网络安全人才评价体系最终要服务于国家和社会网络安全保障事业。随着国际网络来越受到关注。然而在实践中，院校人才评价体系暴露了很多问题，限制了人才评价的33%、32%。如图4-12所示。评价维度单一评价维度单一缺乏实战能力评价 奖励机制不完善学业成绩占比太高 评价持续性不强与社会需求脱节评价不够客观评价标准不够明确没有提供个性化的改进建议图4-12院校网络安全人才评价体系的问题网络安全人才实战能力白皮书一人才评价篇匹配产业需求。因此，建设一个专有的网络安全人才实战能力评价体系是院校的核心诉求。据统计，82%的院校希望针对于网络安全人才的实践能力设置特有的评价体系。院校还希望网络安全作为一个实践性极强的专业，应尽早抓起学生实战能力培养和评价，确保学生在实际操作中掌握安全技能和解决实际问题的能力。如图4-13所示。图4-13院校人才评价体系设置需求目前，院校在推进实践教学的过程中做了大量工作，但因理论课程压力大、实践教材更新不及时，存在实践课程开设滞后的现象。院校对尽早开设实践课程的呼声较高，希望网络安全人才实战能力评价从低年级开始。其中，希望从第一学期、第二学期、第三学期开始的分别占比24%、22%、30%,整体比重超76%。如图4-14所示。图4-14院校人才评价开始学期需求评价维度是网络安全人才实战能力评价体系的重要方面之一，从哪些维度开展人才评价关乎人才培养的质量。87%的院校认为网络安全人才实战能力的评价体系中应该着重考虑安全技能、安全意识、安全知识和安全实践四个维度；其中安全意识侧重考察学生 第四章网络安全人才评价体系建设情况分析的政治素养、道德水平以及对网络安全威胁和攻击的识别能力；安全知识维度侧重学生对网络安全理论知识的掌握程度，以及行业法律、法规和标准的了解情况；安全技能维度主要评估学生在网络安全实践中的技术操作能力、对工具和技术的理解与应用、对安全系统和网络的管理与维护能力；安全实践维度考核学生综合应用知识和技能，解决复杂问题的能力。如图4-15所示。■安全意识+安全技能+安全知识+安全实践■安全技能+安全实践■安全意识+安全实践■安全知识■安全技能+安全知识+安全实践■安全技能■安全意识对于网络安全人才实战能力评价开展的频次，34%的院校认为应一个季度一次，32%的院校认为应一个月一次。认为一季度至少开展一次实战能力评价的院校占比达到66%。而仅10%的院校认为应开展一年一次。这说明在攻击技术和防御手段不断演变的趋势下，人才需要接触大量的网络安全知识和系统工具，院校渴求开展更高频的体系化人才评价活动，以便更准确地了解学生的实战能力现状，发现特长与不足，为学生成长为高水平人才提供有利保障。如图4-16所示。■一季度一次■一学期一次图4-16院校人才评价工作开展频次需求现教学问题、了解市场需求的诉求最多，占比均在75%以上。网络安全作为一门较为新指导，帮助他们在网络安全领域有更好的发展，同时为国家网络安全建设提供多元化人才。如图4-17所示。学需方才能保障体系建设的规范化、落地性。数据显示，院校更希望具有公信力的社会组织、机构能够充分发挥引领作用，组织用人单位、院校单位，共同梳理网络安全所涉及■有公信力的社会组织、机构■学生自己■用人单位图4-18人才评价体系牵头主体需求 第四章网络安全人才评价体系建设情况分析4.2.2用人单位评价体系建设需求为突出，均为34%;其次是不对岗位分级分类，占比29%;另外评价维度单一、评价过程优化渠道。如图4-19所示。没有良好的奖励机制不对岗位分类、分级评价维度单一员工对人才评价的理解和认识不够缺乏实战能力评价%与院校一样，用人单位对专有的网络安全人才实战能力评价体系呼声也较高，占比64%。这说明用人单位普遍认识到，实战能力是网络安全人才在实际工作中解决问题、应非常必要，以实战能力为导向衡量网络过于强调实战能力评价网络安全人才实战能力白皮书一人才评价篇对于网络安全人才实战能力评价体系应囊括的维度，用人单位和院校略有差异。47%的用人单位希望网络安全人才实战能力的评价体系着重考虑安全技能、安全意识、安全知识和安全实践四个方面；31%的用人单位希望从单一维度开展即可；5%的用人单位希望从意识、技能、知识、维度开展。这说明产业还需和院校进一步通力合作，明确人才评价体系及关键要素。如图4-21所示。%2%0%5%10%15%20%25%30%35%图4-21用人单位人才评价维度需求对于网络安全人才实战能力评价的开展频次，希望以半年为期的用人单位最多，占比30%;29%的单位希望一年一次；25%的单位希望一个季度一次；14%的单位希望一个月一次。这说明网络安全从业者希望在完成业务目标的前提下，通过一定频次的的体系化人才评价活动准确地了解自身实战能力水平，通过持续性地学习提升整体业务能力。如图4-22所示。图4-22用人单位人才评价频次需求 第四章网络安全人才评价体系建设情况分析网络安全人才的职业发展历程涉及多个环节，合理利用人才评价体系，有助于用人单位搭建人才梯队、激发不同人才潜力。应用到人才招聘和内部竞聘环节，可以更准确地衡量候选人的实际能力和适应性；应用到人才级别评定和绩效管理环节，可以有效地鼓励员工提升实际工作能力，履行更重要的职责；据统计，人才级别评定、绩效管理、人才招聘、内部竞聘是用人单位人才评价体系主要的应用环节，占比均45%及以上。如图4-23所示。人才级别评定人才级别评定绩效管理人才招聘内部竞聘人才培训人才盘点图4-23用人单位人才评价应用需求对于牵头开展网络安全人才实战能力评价体系的主体单位，用人单位与院校也存在差异。用人单位更希望以“集团”“单位网络安全部门负责人”“单位信息化部门负责人”为责任主体牵头建设，三者的比例接近，均在20%左右；此外，认为应以“集团下属各责任单位”“单位人力资源部负责人”“有公信力的社会组织、机构”为牵头主体的比例也都在10%左右。这说明不同行业不同单位所涉及的业务场景、岗位职责不同，对于人才的需求不同，用人单位更希望打造符合自身需求的人才评价体系。这也反映了用人单位亟需和院校、有公信力的社会组织携手合作，明确各岗位的职责，以及在意识、知识、技能、实践领域的需求，从而修复供需脱节的问题，让毕业生尽快适应岗位。如图4-24所示。■单位网络安全部门负责人■单位信息化部门负责人■集团下属各责任单位■单位人力资源部负责人■有公信力的社会组织，机构员工自己图4-24用人单位人才评价体系牵头单位需求 第四章网络安全人才评价体系建设情况分析产业理解图4-25用人单位交叉融合评价参考因素 第四章网络安全人才评价体系建设情况分析一网络安全人才实战能力评价体系 5.1.2技能维度5.1.3知识维度5.1.4实践维度网络安全人才实战能力白皮书一人才评价篇能运用自如。从ASK-P模型来看，K(知识)是最容易获得的，S(技能)需要持续训练，在实际工作中才能获得综合P(实践),而A(意识)是贯穿始终的。如图5-1所示。“A”“A”懂“K”熟“S”技能“P”成图5-1ASK-P四维度韦恩图5.2网络安全人才分类分层评价概述万物互联时代，网络攻击面不断扩大进一步推动了用人单位对网络安全人才的需求。在人才评价分类分层时，可结合行业属性构建一个涵盖岗位维、内容维、层次维的ASK-P三维结构模型。在岗位维，按照人才工作任务差异，划分五个类别；在内容维，方式、评价指标等。基于ASK-P三维结构模型，可以对人才能力、水平进行多方位评估， 第五章网络安全人才实战能力评价体系网络安全高级中级初级网络安全科研教育网络安全图5-2网络安全人才实战能力评价ASK-P三维结构模型工作类别1网络安全管理网络安全需求分析网络安全规划和管理网络数据安全保护个人信息保护密码技术应用网络安全咨询具备规划安全战略、协调安全资源、设计网络系统、规划保障体系、风险管理及预判、设计防御体系、设计应急响应体系能力2网络安全建设网络安全需求分析网络安全架构设计网络安全开发网络安全集成实施网络数据安全保护个人信息保护密码技术应用具备设计安全架构、配置部署安全产品、安全基础测试、调度安全保障资源、设计安全检测计划、识别评估安全风险能力3网络安全运营网络安全运维网络安全监测和分析网络安全应急管理网络数据安全保护个人信息保护密码技术应用具备维护网络设备运行、管理威胁情程、安全应急响应、入侵溯源追踪能力4网络安全审计和网络安全审计网络安全测试网络安全评估网络安全认证电子数据取证具备脆弱性渗透测试、数据风险评估、编制网络安全审核计划、网络安全评估及审计、合法合规审查、电子溯源取证能力5网络安全科研教育网络安全研究网络安全培训具备前沿技术研究、未知漏洞挖掘、武案、实施培训考核、评价及改进培训内容能力 第五章网络安全人才实战能力评价体系(根据不同岗位方向，调整考核结构、岗位名称、培养诉求、提升指标)从事本岗位应掌握的技术诀窍和技九层六层五层四层三层二层一层从事本岗位应具备的职业操守、创新与管理能力等P(实践)从事本岗位应具备的工程实践和产品化能力等评估K(知识)从事本岗位应具备的基知识等笔试考核考试初级高级在岗提升中级人才晋升提拔高级人才初次上岗初级人才网络安全管理岗位网络安全管理人员网络安全需求分析、网络安全规划和管理数据安全保护人员个人信息保护人员网络安全需求分析、个人信息保护规划和管理密码应用人员网络安全需求分析、密码技术应用规划和管理网络安全咨询人员网络安全咨询第五章网络安全人才实战能力评价体系网络安全需求分析析、数据安全需求分析等，定期或在遇到重大网络安全进行复审。能识别网络安全保护对象，并分析其面临的安全风险。了解系统建模理论和常用方法；了解网络安全产品功能及原理；了解人工智能、区块链等新技术新应用安全；了解特定行业网络安全指导、制定、监督和执行网络安全战略规划、策略制度和体制机制；综合协调相关人员，采取各类网络安全安全风险。划；能协调/提供网络安全管理，预判安全风险趋势；能组织建立和运行应急体系；能组织建立、运行和评网络数据安全、个人信息保护和密码管理等进行规划和管理。了解供应链安全管理方法、技术和工具；了解应急管理方法和技术；了解网络安全风险评估、风险处置等方法、技术和实施；了解网络安全涉及方法和技术；了念和知识等。网络数据安全保护保障网络数据安全。能识别数据在不同环节、个人信息保护使用、加工、传输、提供、能识别个人信息在不同环节面临的安全风险；能运用个人信息保护工具、方法和审查，并提出整改建议。了解个人信息保护政策、个人信息保护技术、应用计、系统集成、检测评估、能识别密码需求并编制密护产品、方法和技术实施密码保护；能对信息系统密码应用安全性进行评估并提出整改了解密码技术、密码产网络安全咨询供安全规划、设计、实施、能帮助用户识别和确定网行网络安全方面的规划和设计；能帮助用户建立网络安急体系。等新技术新应用安全；了为了保障网络安全管理工作的有效规划和有效实施，需要不同能力的人员承担不同意识高级九层强烈的使命感，深全管理方向相关的安全技术方向和趋势。属于所在领域公认的影响力很大的专能力，引领所在领域技术发展方向。指导和带领单位网大项目，实现重大创展方向。八层对网络安全管理相关的判断具有全局观技术发展方向。属于所在领域公认的有一定影响力的专能力。兼顾安全与发展。 意识高级具备体系化思维和理创新技术的应用。承担/组织大型、复杂和重要的网络安全管理项目，取得突目标高质量达成。中级六层具备体系化思维，能够洞察网络安全风险和网络安全技术发展方向。能，能够兼顾安全与属于所在领域的专响力。五层能够根据业务需求解决方案。精通所承担网络安业知识。管理实践经验，并能务目标。四层具备独立思考能熟练应用所承担网络安全管理岗位工作和专业技能。熟悉所承担网络安业知识。能够高效独立执行工作任务并最终完成工作任务。三层具备独立思考能力，有自驱力，能够在指导下达成工作具备所承担网络安业技能，并能够运用在具体工作任务中。具备所承担网络安业知识，并能够运用在具体工作任务中。担网络安全管理项目二层较强。具备所承担网络安业技能。具备所承担网络安业知识。满足质量要求。一层具备基本的职业操守，有主动意识和学习能力。具备部分网络安全具备部分网络安全管理岗位所需知识。在指导下，参与网的分析或开发，并参与改进措施或方案的讨论与实施。A(意识)S(技能)K(知识)P(实践)九层八层中级六层五层四层二层一层备注：评价总权重为100%,由意识、知识、技能、实践四项评价维度的权重相加所 第五章网络安全人才实战能力评价体系级别高级级别高级八层领域，主导跨省(直辖市)级的安全工程规范、方法和流程一流水平。对安全的核心技术领域的历史攻防技术(恶意代码、防病毒检测和漏洞攻击)有深入的研究，了解各种防御方法，并在网络安全建设实践中有落地案安全工程能力领域，主导省级(直辖市)安全工程规范、方法和流程工具的研究；对安全的核心技术领域的历史攻防技术(恶意代码)中级六层五层事件的技术分析，或能够主导输出安全工程规范的关键章节。四层三层二层一层个维度开展。如表5-9所示。第五章网络安全人才实战能力评价体系A(意识)S(技能)K(知识)P(实践)九层八层中级六层五层四层二层一层备注：评价总权重为100%,由意识、知识、技能、实践四项评价维度的权重相加所网络安全人才实战能力白皮书一人才评价篇知识：从事本岗位应具备的基础知识、专业知识等。知识是获得关键能力的基础，员工应该主动学习与掌握本领域的专业能力要求。如表5-11所示。级别九层/技能三级//技能三级技能三级技能三级八层/技能三级//技能三级技能三级技能三级/技能二级//技能二级技能二级技能二级中级六层技能三级技能二级技能三级技能三级技能二级技能二级技能二级五层技能三级技能一级技能三级技能三级技能一级技能一级技能一级四层技能二级技能一级技能二级技能二级技能一级技能一级技能一级技能二级/技能二级技能二级///二层技能一级/技能一级技能一级///一层技能一级/技能一级技能一级///知识类别知识点中级数据安全知识/网络安全建模技术知识///实践评估密码技术与应用知识/网络安全开发、测试安全开发实践评估/实践评估网络安全威胁和漏洞管理/第五章网络安全人才实战能力评价体系级别高级九层测等；实现重大创新突破，安全性竞争力业界领先一年以上，引出新的防御机制或溯源技术等，研究成果竞争力业界领先一年以上。八层测等；实现重大创新突破，安全性竞争力业界领先六个月以上出新的防御机制或溯源技术等，研究成果竞争力业界领先以上。测等；实现创新突破，安全性竞争力达到业3.主导一个大型网络安全的攻防技术规划，输出清晰的竞中级六层击链，并提供防御方案或策略，能够有效防御同类攻击，该防御方案/策略达到业界先进五层级别中级四层1.作为主要贡献者承担两个及以上安全关键特性的技术研究，输出的技术方案(或技术原型)。三层漏洞，进行分析及攻击模式提炼，提出改进措施(1.在指导下，参与安全专项技术特性的分析或开发、改进措施或方案的 第五章网络安全人才实战能力评价体系网络安全运营岗主要分布在对网络系统和数据安全有较高要求的企业和组织中级别高级第五章网络安全人才实战能力评价体系级别高级六层1.安全战略规划3.安全咨询与解决方案5.安全架构设计与评审7.安全事件分析与应急响应时关注潜在的安全漏洞和威胁，并提供相应的建议和解决方案；复建议；为企业内部和外部客户提供网络安全咨询和解决方案，根据客户需求和风险分析，提供定制化的安全建议和技术支持。中级四层的安全运营职责，在安全策略、风险评估、安全事控制等方面能够承担更高的挑战。或组织他人进行根据业务需求和风险分析，制定相应的安全措施击，并进行事后分析和报告，提高安全事件安全风险评估，包括漏洞评估、安全评估和风险分析等工作，发现和评估潜在的安全风险，并提出相应的建议和改进措施；协助够独立编写安全报告和推荐改进措施，向管理层汇报安全状况和问题，推动安全策略的改进和实施，提高整体的安全水平；向团队和其他相关人员提供有关网络安全的培训和指导，提高整体团队的安全意识和技能水平。1.安全策略和规划3.安全风险评估5.安全事件监测与预防7.安全报告和推动改进力，能够独立或组织他人进行网络安全事件的响应，包括事件的识别、分析、追踪和应对。参与网络安全设备的管理与优化工作，包括安全设备的部署、措施符合相关政策和法规要求。级别二层设备进行配置和升级等操作；能够独立进行安全日志的收集、分状况的分析；能够作为讲师为员工提供有关网络安全意识的培训和指导，提高员工的安全意识和防范能力。1.安全设备管理3.安全事件监测和响应5.安全策略执行6.安全意识培训7.合规和政策遵循8.安全文档和报告编写导下或基于工作标准、既定流程、作业指导书、工作模板等完成网络信息安全例行工作，并达成工作目标。主要工作内容包括：监控和管理企业的安全设备运行情况；使用漏洞扫描工具对企业的网络和系统进行定期或按需扫描、识别和操作规程，保证网络和系统的安全运行，包括访问控制、数据备份、密码管理等方面的操作和管理；负责检查和确保企业的网络和系统符合相关政策、法规和合规要求。层及ASK-P评价模型，对意识(Awareness)、技能(Stice)四大维度评价进行权重划分。高级人才需要更多的实践和创新，因此评价更强调实知识。如表5-14所示。第五章网络安全人才实战能力评价体系(意识)(技能)(知识)(实践)六层带领技术团队，达到高级管理，甚至企业高管的能力五层企业安全高管，胜任管理和技术双重要素要求中级四层成为技术骨干，拥有、掌握、应用综合技术能力二层胜任技术岗位，熟练操作岗位技术的能力一层掌握岗位要领，熟悉岗位知识和体系，达到上岗能力备注：评价总权重为100%,由意识、知识、技能、实践四项评价维度的权重相加所技能(S)、岗位知识(K)及岗位实践(P),共计四个方面进行衡量。(1)网络安全运营从业人员岗位意识(Awareness):遵守高度的职业操守、保护用户良好的团队合作精神等。对于不同岗位层级网络安全运营从业人员岗位意识有着不同的要求。规要求和企业机密保护要求，应该严格遵守相关法律法规保护企业及用户的网络和数据安全，诚实守信及主动配合团队工作，不断持续学习提升技能。如表5-1意识类别1网络安全意识2保护用户隐私3问题，能够快速应对和处理网络安全事件，保障4诚实守信对工作负责，认真落实安全相关的政策和规定，并及时报告和解意识类别5团队合作6积极主动中级人员在技术和管理上都有一定的深度和广度，能够从整体和战略层面上进行运营和管理工作，因此相对于初级人员又有进一步提升，详细如表5-16所示。意识类别威胁情报意识深入了解威胁情报，积极关注最新的威胁情报和安全漏洞信息；具备敏感的漏洞管理意识，了解常见的漏洞类型和漏洞管2灾难恢复意识了解灾难恢复和业务连续性计划，能够制定和执行相应的恢3风险评估与管理意识具备风险评估和风险管理的能力，能系统地识别、评估和应4了解安全审计和合规性要求，能进行安全合规性评估和审5团队合作能与其他团队(如开发团队、运维团队)密切合作，共同设6具备快速响应网络安全事件的能力，能够迅速调查和分析事高级人员需要全面掌握网络安全管理的各个方面，能够在复杂的安全环境中运筹帷幄，保护企业的利益和声誉。因此相对于中级人员又有进第五章网络安全人才实战能力评价体系■意识类别1战略思维具备战略思维和长远规划能力，能从全局的角度出发，制定2具备创新意识，关注最新的安全技术和趋势，主动探索新的3全面了解企业的业务流程和关键信息系统，深入了解业务需46预防性意识强调预防性工作，通过风险评估和安全规划，提前识别潜在5跨域融合意识了解人工智能、大数据等新兴技术在网络安全中的应用，能7外部合作与合作伙伴关系协作与其他企业、安全团队和行业组织建立良好的合作关系，共(2)网络安全运营从业人员岗位需具备的岗位知识(Knowledge)包括网络安全基础、运营岗位知识分级要求。如表5-18所示。中级四层1通用知识网络安全网络安全概念及发展历程熟悉熟悉////2网络安全管理基本知识掌握掌握//3网络安全技术基本知识掌握掌握//4国内外网络安全法律法规和政策熟悉熟悉掌握掌握5国内外网络安全标准熟悉熟悉掌握掌握6网络安全最佳实践熟悉熟悉掌握掌握7通用知识知识知道熟悉掌握网络安全人才实战能力白皮书一人才评价篇中级四层8通用知识知识//知道知道9本研究领域相关知识熟悉掌握掌握知识熟悉掌握掌握/熟悉掌握掌握/知识网络产品原理与应用知识熟悉掌握掌握/网络设备功能及原理熟悉掌握掌握/网络安全产品功能及原理熟悉掌握掌握/操作系统安全原理及使用熟悉掌握掌握/中间件安全原理及使用熟悉掌握掌握/数据库安全