2024网络安全技术技能人才职业能力图谱-奇安信

网络安全技术技能人才职业能力网络安全技术技能人才职业能力2 1 4 4 9 43 3 90 4 5 121、在网络安全行业中，很多岗位对人才的网络安全能力3间并不是简单的对应关系。这也是网络安全行业用人3、网络安全人才需求的整体增长，并不能简单的对应为某一个岗位用人需求的增长。如果严格按照岗位需求培养人才，反而可能严重影响网络安全人才适应性和4方向一安全运营反制等实战化运营能力，以及软件/设备的安装与调试、云安全一、软件、设备的安装与调试软件/设备的安装与调试能力，主要是指能够在政企单位的5防护类网络安全产品是指那些旨在保护网络系统免受恶意务网络的设备必须遵守特定的安全级别、授权范云安全管控是指一系列旨在保护云计算环境免受未授权访6监测类网络安全产品主要是指那些能够对网络环境进行实7终端安全响应系统（EDR）是威胁情报驱动的新一代终端安NDR（NetworkDetectionandResponse）是一种网络安全SOC（SecurityOperationsCenter，安全管理中心）是一89二、检查与整改安全检查是指对网络系统的安全性进行全面检测和评估的基线检查是指对系统和网络设备的安全配置进行详细描述渗透测试是一种通过模拟恶意黑客的攻击方法来评估计算一旦被恶意利用，可能导致数据泄露、系统被攻陷个方面，包括配置文件备份、策略命中分析、策略冗三、监测与分析部网络中发生的各类网络安全威胁事件进行实时监测和分析研四、响应与处置应急响应是指一个组织为了应对各种网络安全事件所做的网络安全应急响应中的失陷设备隔离是指在网络安全事件速有效地进行应对和处置，常见的应急场景包括常见木马/病毒在网络安全常见应急场景中，针对木马/病毒的处置，首先用专业安全工具定位木马/病毒并彻底清除。同时，修补系统漏DDoS（DistributedDenialofService）五、溯源与反制定攻击者的身份、行为和意图，并为法律机构提供必要的流量数据分析是识别攻击行为、追踪攻击来源的关键手段。这两项分析手段通常与其他技术（如日志分析、网络流量监测）威胁情报平台（TIP）是一款面向企业用户推出的本地化部在溯源与反制的攻击反制策略中，反向社工（Reverse蜜罐/蜜点部署涉及在网络中故意设置一些看似有价值但实六、云安全运营云安全防护是指采取一系列措施和技术来保护云计算环境云基础设施安全是指保护云计算环境中的物理和虚拟资源运行时安全是指在应用程序或系统实际运行过程中实施的掌握针对云系统或云原生系统的主要攻击手段的检测和防七、终端安全运营终端应用管理是指对组织内所有终端设备上的应用程序进入侵、入侵中到已入侵的整个攻击流程中各个攻击阶段一旦攻击者绕过了前面所有的防护，通常意味大量的计算机处理资源，导致机器卡顿甚至无法正常响应企业用户终端感染窃密木马可能会导致用户和企业的重要信息），八、其他运营能力威胁情报平台（TIP）是一款面向企业用户推出的本地化部别、对安全事件的记录与分析，以及对应对AI辅助运营是指利用人工智能技术来辅助安全分析人员分AI辅助事件分析是通过人工智能技术对安全事件进行自动AI辅助事件处置的核心是通过自动化和智能化手段，快速AI辅助溯源分析是指利用人工智能技术对网络攻击进行追AI辅助报告生成是指利用人工智能技术自动生成网络安全方向二网络攻防一、Web漏洞利用与挖掘由于Web系统是绝大多数机构业务系令执行漏洞最常见的原因是Web服务器对用户输入命令的安全主要原因是软件系统对输入数据的合法性缺少校验或过滤），文件上传漏洞，是指可以越权或非法上传文件的安全漏洞。攻击者可以利用文件上传漏洞将恶意代码秘密植入到服务器中，关于这些漏洞类型的具体含义，参见上述“（一）Web漏洞利二、系统层漏洞利用与挖掘SafeSEHSafeStructuredexceptionhandling）是SafeSEH机制设计不完善或存在缺欠，就有可过攻击者精心构造的数据时，会误将其中的一部分“特殊数据”当作可执行代码来执行。NX的基本原理是将数据所在内存页标化异常处理是指按照一定的控制结构或逻辑结构对程序进行异系统层漏洞的挖掘需要很多相对高级的漏洞挖掘技术与方过自动化生成并执行大量的随机测试用例来触发软件或系统异三、安全工具使用基础安全工具是指安全分析或攻防实战过程中，经常使用到Sqlmap是一个开源的渗透测试工具，可以用来进行自动化在实战攻防演习中，AppScan是一个很方便的是一个自动化的Web应用程序安全测试工具，可以审计和检查在实战攻防演习中，数据包分析也是非常重要的基Goby是一个功能强大的网络安全工具，它基于网络空间测Behinder是一款功能强大的开源后渗透测试工具，它提供IDA，是一个专业的反汇编工具，是安全渗透人员进行逆向Binwalk，是一个文件扫描提取分析工具，可以用来识别文OllyDbg，是一款强大的反汇编工具。它结合了动态调试与四、编程与开发子在攻击侧需要具备的较高级能力。编程与开发能力主要包括及动态性的特点，经常用于编写桌面应用程次的，结合了解释性、编译性、互动性和面向对象的脚最初被设计用于编写自动化脚本(Shell)，随着版本的不断更新C/C++是一种通用的编程语言，广泛用于系统软件与应用软Golang语言，简称Go语言，是由三位Google工程师开发在前述“进阶能力”中的“（三）编写PoC或EXP等利用”高阶能力中，比较被关注的几个操作系统和设备包括：防病毒软件、网络/系统扫描系统、入侵检测系统、网络安全预信息非常有助于攻击方针对特定目标设计有针对性的社会工程鱼叉邮件是针对特定组织机构内部特定人员的定向邮件欺工作组或域环境渗透、内网权限维持/提权、数据窃取、常见隧机）集合。组内终端权限平等，没有统一的管理员或管在本文中，白帽子的内网权限维持/提权能力，是指白帽子隧道工具是指利用一种网络协议封装另一种网络协议的技Empire等渗透测试工具均支持多种隧道功能，可根据具体需求识别和阻止潜在的安全威胁，为攻防演练提供坚实的安六、攻击辅助匿名网络泛指信息接受者无法对信息发送者进行身份定位ID/账号能力，是指白帽子能够盗取目标机构及其相关机构内部开发需求，大模型平台就会帮助开发者自动生成相关代七、其他攻击能力这种攻击手法充分利用了大模型对复杂上下文的强大处理大模型组件安全一般是指确保大规模预训练模型（大模型）度，将直接决定白帽子进行系统层漏洞挖掘与利用的能力MIPS（Microcomputerwithout教授领导的研究小组研制出来的。由于其授权费用低，因此被ARM（AdvancedRISCM操作指令系统。ARM指令集可以分为跳转指程序状态寄存器处理指令、加载/存储指令、协处理器指令和异IBM、Motorola组成的AIM联盟所发展出的微处理器架构。随着网络安全实战攻防演习实践的不断深入和防守方的整方向三安全管理一、安全意识管理二、安全组织建设和网络安全管理流程/制度进行的系统性建设。具体又可分为组有序的网络安全管理体系，以确保网络系统的安全性和稳定性。三、安全规划设计），），四、风险评估管理五、数据安全管理数据分类分级是指将数据按照一定的原则和方法进行区分数据防泄漏是指在计算机系统中采取一系列技术和管理措方向四开发与测试一、通用开发能力性的、通用的程序编写与应用开发能力，主要包括Java、PHP、及动态性的特点，经常用于编写桌面应用程次的，结合了解释性、编译性、互动性和面向对象的脚最初被设计用于编写自动化脚本(Shell)，随着版本的不断更新C/C++是一种通用的编程语言，广泛用于系统软件与应用软Golang语言，简称Go语言，是由三位Google工程师开发二、安全开发安全设计是指为了保护网络系统和数据资产而设计的一套安全开发流程（SDL）是一种将安全贯穿于产品开发全过程开源代码缺陷检测是指通过技术手段自动检测和修复源代AppSecOps）是指将安全措施和流程集成到应用运维中的一种实以快速识别和应对安全威胁，同时确保应用的稳定三、安全测试静态测试是指在不执行代码的情况下检查软件应用程序中它通过向目标系统提供非预期的输入并监视异常结果来发现软代码安全分析技术是指对软件源代码进行安全性审查和分析，以发现潜在的安全漏洞和风险，保障软件系统的安全制流分析和数据流分析。语法分析（Parsing）是代码安全分析们分别在代码不执行和执行过程中检查变量的类型是否符合预控制流分析技术是一种确认程序控制流程的静态代码分析流分析在编译器设计、程序分析和程序理解等领域有重四、安全产品设计客户端设计是指对客户端应用程序的整体架构和功能进行服务端设计是指对服务器端软件系统的整体规划和构建过产品需求文档（PRD）是产品项目从概念化阶段进入到具象Axure是一款专业的快速原型设计工具，由美国Axure五、系统安全终端/工作站等在内的计算机设备在操作系统层面的安全。操通版本、服务器版本（WindowsServ中间件安全是指通过一系列措施来保护中间件系统免受安），的修改，查看其历史版本，并在需要时回滚到运行环境配置是指在特定环境中部署和运行系统或应用程AI辅助开发是指利用人工智能技术来辅助、加速和优化软AI辅助安全测试是指利用人工智能技术来辅助安全测试过鲁棒性测试是指通过评估系统在面对各种异常条件和外部方向五安全分析一、溯源分析流量数据分析是指对用户在使用产品或服务过程中产生的社交网络溯源是指在将社交网络抽象为图结构的层面进行安全大数据关联分析是一种在安全领域中常用的数据分析形成对更大事件将要发生的认识，而不是简单地关注单一事件，丰富，提取有意义的信息，去除无关数据，并标准化字段格式。处理后的数据可以被发送到指定的目标存储或服务，如二、可视化分析可视化（Visualization）是将复杂抽象的数据和信息通过关系数据可视化是指通过图形化方式展示数据中的相互关地理数据可视化是指将地理空间数据通过图形化方式展现法结合了地理信息系统（GIS）、地图学、数据分析等领域的技时序数据可视化是指将时间序列数据通过图形化方式展示文本数据可视化是一种将文本数据中关键信息以图形化方QuickBI是阿里云旗下的一款大数据分析与展现平台。允许开发者创建高度定制化的图表和图形。D3具有极高的灵活数据接口开发：为前端和其他系统提供数据服务，通过界面开发是将设计理念转化为实际可操作的软件界面的过三、恶意样本分析恶意样本识别是指通过技术手段识别和检测那些经过精心），通版本、服务器版本（WindowsServ源代码分析是指对未编译的源代码进行详细检查和分析的二进制代码分析是指对计算机程序中的二进制代码进行深样本行为分析是指通过监控和分析恶意样本在网络中的行静态分析是一种根据既定的外生变量值求得内生变量的分动态分析是一种主动监测和分析网络流量和恶意软件行为逆向分析工具是指用于对二进制代码进行逆向分析的软件WinDbg是一款由微软公司开发的强大调试工具，主要用于编工具，广泛应用于网络安全领域，特别是在逆向VMware是一款功能全面的虚拟化软件，它允许用户在单一物理计算机上模拟并运行多个具备完整硬件功能的计算机领域，为用户提供了一个安全、灵活、高效的测试和开发VirtualBox是一款开源的x86虚拟化软件，它可以在四、威胁情报技术搜索引擎是一种用于在互联网或特定数据源中搜索信息的通用搜索引擎表达式是指那些在多个主流搜索引擎中广泛Shodan是一个专注于搜索互联网连接设备及其状态信息的），FOFA是一款网络空间搜索引擎，主要用于收集和分析互联大数据分析工具是指用于处理和分析大规模数据的软件和Hadoop是一个由Apache基金会所开发的分布式系统基础架到不同但互连的计算机通信网络的主计算机中的成对进程之间够在从硬线连接到分组交换或电路交换网络的各种通信系统之它指定了客户端可能发送给服务器什么样的消息以及得到什么HTTPS（全称：HypertextTransferProtocolSecure息的协议。其主要特点是无连接，不保证可靠传输和面向报文。SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP件访问协议）是一个应用层协议，用来从本地邮件客户端（如MicrosoftOutlook、OutlookExpress、FoxmaSSH文件传输协议secretfiletransferprotocol,能使使用者访问网络上别处的文件就像在使用自己的计算机一ICMP（InternetControl），并不传输用户数据，但是对于用户数据的传递起着重要是一个通过解析网络层地址来找寻数据链路层地址的网络传输SNMP，简单网络管理协议（SimpleNetworkManagement其中包含数据库类型（DatabaseSchema），一个应用层协议小型自动化分析工具开发是一个专注于创建能够自动执行五、安全分析报告写成符合专业要求或符合特定应用场景需要的网络安全研究报序的样本分析报告，一类是撰写诸如威胁态势、黑产活动、APT样本分析报告是对特定网络安全事件或恶意软件样本进行样本功能分析报告是一种针对特定样本进行深入分析和解网络安全中的样本流行性分析报告是一种针对网络安全领网络安全威胁态势报告是对当前网络安全威胁的全面分析黑灰产活动报告是指对网络空间中以谋取不正当利益为目方向六电子数据取证一、电子数据提取破网工具记录通常指的是使用特定工具或软件来突破网络加密容器是一种将应用程序及其依赖项封装在独立虚拟环应用于企业数据保护、云计算和大数据、移动应用安全录，发现潜在犯罪线索和证据，但需遵循法律法规和取证原则，毒软件日志则记录了杀毒软件在监测和防御恶意软件时的行为常见的APP数据库文件主要包括各类应用程序在运行时所第三方工具备份是指使用非原设备或系统自带的工具来备攻击和渗透测试，以评估系统的安全性并发现潜在的安全风机中提取与案件相关的数据，并将其备份以供后续分析下载工具下载痕迹是指在使用下载工具（如迅雷、IDM等）索最近访问记录是指用户在使用计算机或设备时访问过的文远程桌面记录是指用户通过远程桌面软件或服务进行的连数据备份则是为了保障数据的安全性和完整性而采取的一种措施。在电子数据取证中，数据备份同样扮演着和合规性，并采取适当的安全措施保护数据的完整性和保密性。服务及应用配置信息是指服务器上运行的各种服务和应用网站/软件源代码是电子数据取证中的重要组成部分。源代网站日志是记录web服务器接收处理请求以及运行时错误虚拟主机之间完全独立，每个用户拥有自己的一部分系统资源容器应用信息是指与服务器上运行的容器化应用程序相关服务器流程数据抓包通常使用专业的抓包工具进行，如服务运维信息是指与服务器运行维护相关的各种数据和记虚拟桌面数据主要是指存储在公有云上的虚拟桌面环境中中，用户可以像在本地计算机上一样使用各种应用程序公有云服务厂商控制台是云服务提供商为用户提供的在线管理平台，用户可以通过这个平台来管理和监控自部分被犯罪嫌疑人故意删除的本地数据也可能在悄无声息中被虚拟化环境仿真分析是指利用仿真技术对公有云环境中的虚拟化环境进行模拟和分析，以便更好地提取和保存电虚拟云数据库远程勘验是指通过互联网对位于网络远端的个人空间数据主要指的是用户在互联网上的个人区域或平电子邮件数据在电子数据取证中是指通过电子邮件系统生和分析网络活动的轨迹，从而发现异常行为或潜在的犯易丢失数据提取主要指的是从计算机内存中提取易失性数从内存提取数字签名可以帮助调查人员验证数据的完整性和来网络连接状态是指计算机或设备在某一特定时刻与网络进物联网设备通过特定的接口协议与物联网平台或其他设备统镜像或备份、设备日志、部分用户数据以及调试和诊连接，实现一人用一部手机同时异地操作多张手机卡基于网络协议的数据获取是物联网设备数据提取的关键方二、电子数据恢复坏时，可以通过分析文件系统的数据结构特征来进行数据在文件系统数据恢复领域，文件的结构特征，如文件头root技术是指通过获取Android设备的root权限来进行数iOS终端数据恢复是指通过技术手段恢复iOS设备（如plist数据恢复是指在使用iOS设备时，通过特定工具或方法恢复plist文件的过程。Plist文件户提供了一种在不直接访问或修改设备物理存储的情况下恢复数据恢复和提取的过程。JTAG是一种用于芯片测试和调试的接SQLite数据库恢复是指通过技术手段，将保存在智能移动终端中损坏或丢失的SQLite数据库进行抢救和恢复的过程。SQLite数据库广泛应用于各种移动设备和应用程序中，因此其硬盘开盘数据恢复是电子数据取证中基于物理修复技术恢存储芯片焊接是通过专业焊接技术将损坏的芯片更换为新基于数据内容特征恢复是指利用数据内容特征来恢复被删基于数据内容特征恢复中的非常规文件手工恢复是指通过基于数据内容特征恢复中的基于关键词恢复是通过搜索特磁盘阵列恢复是指通过技术手段恢复因各种原因损坏或删），阵列盘序判断是重建原始数据结构和恢复丢失数据的关键磁盘阵列手工分析判断和重组环节这一过程首先要求收集存储介质数据恢复是指通过技术手段恢复存储介质中因各的分区能够重新访问.三、数据库系统取证四、程序功能分析实际系统的运行过程，从而预测其在不同条件下的模拟仿真分析中的手机模拟器勘验是指利用手机模拟器对模拟器检测对抗主要指的是针对利用模拟器进行仿真攻击网络协议逆向是指通过技术手段对软件或网络协议进行逆通过技术手段去除其保护机制，以便进行进一步的分析和修改。程序源代码的情况下，拦截和修改其方法调用、参数和五、现场勘察电子文件加解密是指对在犯罪现场发现的电子文件进行加JohntheRipper（开源密码破解工具，支持网络流量分析是指对网络中传输的数据流量进行深入剖析），分析数据包、检测潜在威胁，是评估网络安全状智能移动终端设备密码破解是指攻击者通过尝试不同的密发售的搭载iOS操作系统的系列手机产品。ID设计全部由小米内部来自摩托罗拉的硬件团队完成，手机生攻击，导致用户隐私泄露、手机被远程控制及数据损坏或丢特定网络服务的请求重定向到攻击者所控制的服务器或其他恶六、案件支撑行为规律，包括不断利用新技术手段实施诈骗案并利用法律差异逃避制裁，以及行为的极高隐蔽性和互社会关系指的是犯罪主体与受害者之间基于技术手段的侵接码平台是一种可以大批量提供手机号码以及验证码服务的指纹等，这些信息会被平台记录并用于检测账号行为的一致性。支付信息线索采集中的非法资金流主要指的是通过非法手非法收款方主要是指那些通过非法手段获取支付信息并进支付用户是指使用电子支付方式完成交易并支付款项的个七、法律应用网络犯罪的实体法主要是指在刑法中针对网络犯罪行为所账号信息等）、支付信息（支付宝、微信转账记录及银行流水）黑客案件中的电子证据主要包括黑客攻击行为直接产生的对实验室的认可。CNAS实验室认可意味着实验室符合一系列国省级以上人民政府计量行政部门对检测机构的检测能力及可靠电子数据检验报告是对电子数据证据进行检验后形成的书八、其他能力电子数据分析是指利用计算机及相关技术对大量的电子数发现潜在的规律和关联，进而应用于决策、预测和优化等方面。电子数据存在性鉴定是网络安全电子数据司法鉴定中的一方向七工控安全一、资产识别或工业系统的生产厂商、系列、型号、版本、工程等关PLC（可编程逻辑控制器）是一种专门为工业环境设计的数RTU（RemoteTerminalUnit）是一种关键的远程终端单元DCS（DistributedControlSystem，分散控制系统）在网络安全和工控安全领域中，是一种重要的工控嵌入式设备。DCS系统是一种由过程控制级和过程监控级组成的以通信网络为纽转换、边缘计算和远程控制等。主要工业网关类型包括：MMoxa是一家致力于工业网络通信解决方案国外主流工控厂商设备识别是指识别和区分不同国外工控于法国的全球化电气企业，全球能效管理和自动化领域的专家。路易斯市。在融合科技与技术工程领域中，居于领导者的地贝加莱（B&R）是一家自动化技术领域的全球性领导厂商，的跨国公司，主要涉及测量、工业自动化控制和信息系统发那科（FANUC）是一家全球知名的自动化技术和机器人制ABB（阿西布朗勃法瑞公司）是一家总部位于瑞士苏黎世的万科思自控信息(中国)有限公司是澳大利亚MOX集团在中处理、电力、食品与饮料、城市公用事业等多个电气连接和电子接口领域、工业自动化领域的世界市场领导基恩士（KEYENCE）是一家全球知名的自动化控制产品研发1)国内主流工控厂商设备识别是指通过特定的方法和技术，识别和区分不同国内工控厂商生产的设备。这通控设备的硬件、软件、通信协议等方面进行详细的分析和比较，以确定设备的制造商和型号。这些国内主流工控厂商包永宏、信捷电气、上海新华、南大傲拓、大工计控、步科、/全球后台支持和电子商务基础设施等解决方案。研华将坚持不字化仪控系统、工厂自动化即控制与驱动、信息化浙江中控技术股份有限公司是中控科技集团的核心成员企司和温州泉丰进出口有限公司等。永宏集团注册资本金为1.79信捷电气是一家专注于工业自动化产品研发与应用的国内安控科技的主营业务涉及自动化、油气服务、智慧产业等领域，华龙讯达信息技术股份有限公司是一家专业为生产型企业提供自动化控制和信息化系统整体解决方案的高新技术软件企二、工控协议CIP、GOOSE、OMRON_TCP/UDP、HL7Modbus是一种在工业控制系统中广泛使用的通信协议，主S7协议在网络安全和工控安全中指的是一种用于西门子和工控安全中指的是一种用于在设备或程序之间传送实时数据发和维护，主要用于IEC61850标准中的站控层和间隔层之间的DNP3协议是一种应用于工业控制系统（IGOOSE（GenericObjectOrientedSubstationEvent）是OMRON_TCP/UDP在网络安全和工控安全中指的是欧姆龙户数据报协议）。这两种协议在欧姆龙的FINS协议中被使用，HL7（HealthLevelSeven）是一个国际性的医疗保健信息工程上载指的是将工程文件从PLC（可编程逻辑控制器）上工程下载通常指的是将编译好的程序通过软件传送到可编设备停止是指通过切断设备电源或气源来立即中断设备的置空置位通常指的是通过程序指令将某些控制元件的状态规约检测是一个关键的安全措施，它涉及对工业控制系统（ICS）中使用的通信规约或协议进行安全性分析和测试。这些三、工业安全检测QEMU在工控安全中的应用主要是通过其虚拟化功能来模拟工业控制系统中的通信协议。CAN总线是一种由Bosch公司在1983年开发的通信协议，主要用于汽车和工业环境中的电子设1553B总线是一种指令/响应式串行总线标准，由美国国防1977年发布，定义了飞机电子系统之间数字式数据传输的标准介质安全是指对存储在物理存储设备中的数据和设备本身器（UniversalAsynchronousReceiver/Transmitter主要ZigBee是一种低速短距离传输的无线通信技术，主要用于工业控制、智能家居、玩具制造等领域。其底层采用IEEENFC（NearFieldCommunication，近场通信）是一种短距模糊测试是一种通过向工业控制系统（ICS）发送大量随机中，观察系统是否有异常反应，从而发现潜在漏洞和安全问题。基于终端路径覆盖的网络Fuzz是指在工控安全中，通过固件提取是指通过技术手段从工业控制设备中提取固件的过程。固件是设备运行的核心软件，通常存储在设备的ROM或工控渗透是指对工业控制系统（ICS）进行安全评估的一种技法设计