2024網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書安全測(cè)試評(píng)估篇

國(guó)務(wù)院學(xué)位委員會(huì)學(xué)科評(píng)議組(網(wǎng)絡(luò)空間安中國(guó)科學(xué)技術(shù)大學(xué)永信至誠(chéng)科技集團(tuán)股份有限公司東南大學(xué)暨南大學(xué)武漢大學(xué)湖南大學(xué)哈爾濱工業(yè)大學(xué)天津大學(xué)四川大學(xué)中國(guó)信息安全測(cè)評(píng)中心中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司中通服華信咨詢?cè)O(shè)計(jì)研究院華為技術(shù)有限公司中國(guó)刑事警察學(xué)院中國(guó)煙草總公司福建省公司編委會(huì)主任：方濱興編委會(huì)副主任：俞能海蔡晶晶主編：劉建偉李小勇苗守野魏建國(guó)郭新海何志堅(jiān)魏晶晶許偉杰張慧翔鄭世敏— 前言 論結(jié)合實(shí)踐的方式創(chuàng)新提出了立體化綜合評(píng)價(jià)安全測(cè)評(píng)人才能力的GPE方法，對(duì)指導(dǎo)—Ⅲ—網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇目錄第一章網(wǎng)絡(luò)安全測(cè)評(píng)狀況綜述011.1國(guó)內(nèi)外網(wǎng)絡(luò)安全測(cè)評(píng)政策法規(guī) 1.1.1國(guó)際網(wǎng)絡(luò)安全測(cè)評(píng)政策法規(guī) 1.1.2國(guó)內(nèi)網(wǎng)絡(luò)安全測(cè)評(píng)政策法規(guī) 1.2.1人才培養(yǎng)狀況 061.2.2人才應(yīng)用狀況 1.3.1安全測(cè)評(píng)法律法規(guī)及標(biāo)準(zhǔn)不健全 1.3.2安全測(cè)評(píng)人員能力有待提升 1.3.3安全測(cè)評(píng)管理機(jī)制不規(guī)范 1.3.4安全測(cè)評(píng)工具國(guó)產(chǎn)化較弱 第二章用人單位安全測(cè)評(píng)人才現(xiàn)狀分析14 2.1.1性別、年齡及學(xué)歷情況 2.1.2行業(yè)、地域及崗位情況 2.1.3安全測(cè)評(píng)人才資格認(rèn)證情況 目錄 202.2.1常用的安全測(cè)評(píng)方式、工具及技術(shù) 2.2.2安全測(cè)評(píng)人才需求單位 2.2.3用人單位對(duì)安全測(cè)評(píng)人才的滿意度情況 2.3用人單位進(jìn)行安全測(cè)評(píng)的對(duì)象 2.3.1政府進(jìn)行安全測(cè)評(píng)的對(duì)象 2.3.2行業(yè)進(jìn)行安全測(cè)評(píng)的對(duì)象 2.3.3企事業(yè)進(jìn)行安全測(cè)評(píng)的對(duì)象 第三章院校安全測(cè)評(píng)人才培養(yǎng)現(xiàn)狀分析32 3.1.1安全測(cè)評(píng)人才學(xué)歷情況 3.1.2安全測(cè)評(píng)人才培養(yǎng)院校及所設(shè)專業(yè)情況 3.1.3安全測(cè)評(píng)人才地域分布情況 3.2.1相關(guān)專業(yè)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)建設(shè)情況 3.2.2網(wǎng)絡(luò)靶場(chǎng)建設(shè)情況 3.2.3學(xué)生意向就業(yè)單位分布 3.3.1師資隊(duì)伍中實(shí)戰(zhàn)教師占比情況 V網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇3.3.2安全測(cè)評(píng)相關(guān)課程設(shè)置情況 3.3.3安全測(cè)評(píng)相關(guān)教材編寫出版情況 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法58 584.1.1通用能力 4.1.2專業(yè)能力 4.1.3評(píng)價(jià)等級(jí) 4.2安全測(cè)評(píng)人才崗位分層評(píng)價(jià)概述 4.2.1安全測(cè)評(píng)人才分類 4.2.2安全測(cè)評(píng)人才分層 4.3.1崗位要求及特點(diǎn)描述 4.3.2崗位分層級(jí)方式描述 4.3.4滲透測(cè)試工程師崗位中級(jí)人才評(píng)價(jià) 4.3.6有效的評(píng)價(jià)方式 71 4.4.1崗位要求及特點(diǎn)描述 目錄4.4.2崗位分層級(jí)方式描述 4.4.3網(wǎng)絡(luò)安全攻防工程師崗位高級(jí)人才評(píng)價(jià) 744.4.4網(wǎng)絡(luò)安全攻防工程師崗位中級(jí)人才評(píng)價(jià) 4.4.5網(wǎng)絡(luò)安全攻防工程師崗位初級(jí)人才評(píng)價(jià) 4.4.6有效的評(píng)價(jià)方式 4.5.1崗位要求及特點(diǎn)描述 4.5.2崗位分層級(jí)方式描述 4.5.3等級(jí)保護(hù)測(cè)評(píng)師崗位高級(jí)人才評(píng)價(jià) 4.5.4等級(jí)保護(hù)測(cè)評(píng)師崗位中級(jí)人才評(píng)價(jià) 4.5.5等級(jí)保護(hù)測(cè)評(píng)師崗位初級(jí)人才評(píng)價(jià) 4.5.6有效的評(píng)價(jià)方式 4.6.1崗位要求及特點(diǎn)描述 4.6.2崗位分層級(jí)方式描述 4.6.3安全產(chǎn)品測(cè)評(píng)工程師崗位高級(jí)人才評(píng)價(jià) 4.6.4安全產(chǎn)品測(cè)評(píng)工程師崗位中級(jí)人才評(píng)價(jià) 4.6.5安全產(chǎn)品測(cè)評(píng)工程師崗位初級(jí)人才評(píng)價(jià) 924.6.6有效的評(píng)價(jià)方式 —網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇第五章安全測(cè)評(píng)人才在國(guó)家網(wǎng)絡(luò)安全建設(shè)中的作用97 5.1.1為政策法規(guī)制定提供依據(jù) 5.1.2為政策法規(guī)優(yōu)化提供建議 5.2.1推動(dòng)行業(yè)監(jiān)管能力提升 995.2.2提升監(jiān)管隊(duì)伍水平提升 5.3.1提供底層數(shù)據(jù)和分析支撐 5.3.2參與標(biāo)準(zhǔn)制定與實(shí)施 5.3.3促進(jìn)國(guó)際標(biāo)準(zhǔn)對(duì)接 5.4.1促進(jìn)風(fēng)險(xiǎn)隱患排查與產(chǎn)業(yè)安全加固 5.4.2促進(jìn)安全產(chǎn)品技術(shù)創(chuàng)新與策略優(yōu)化 第六章網(wǎng)絡(luò)安全測(cè)試評(píng)估工作的指導(dǎo)性建議105 6.1.1完善關(guān)鍵信息基礎(chǔ)設(shè)施安全測(cè)評(píng)標(biāo)準(zhǔn) 6.1.2健全數(shù)據(jù)安全測(cè)評(píng)制度與標(biāo)準(zhǔn) 網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書一安全測(cè)試評(píng)估篇目錄6.1.3研制人工智能安全測(cè)評(píng)政策法規(guī)及標(biāo)準(zhǔn) 6.2.1加快轉(zhuǎn)變安全測(cè)評(píng)人才培養(yǎng)模式 6.2.2推動(dòng)安全測(cè)評(píng)產(chǎn)業(yè)創(chuàng)新發(fā)展 6.2.3筑牢安全測(cè)評(píng)人才思想防線 6.2.4深化產(chǎn)教融合人才培養(yǎng)機(jī)制 6.3.1構(gòu)建國(guó)家安全測(cè)評(píng)統(tǒng)一標(biāo)準(zhǔn)體系 6.3.2加強(qiáng)測(cè)評(píng)機(jī)構(gòu)資質(zhì)審批與監(jiān)管 6.3.3提升安全測(cè)評(píng)獨(dú)立性與公正性 6.4.1釋放創(chuàng)新能量突破關(guān)鍵技術(shù) 6.4.2推進(jìn)安全測(cè)評(píng)工具國(guó)產(chǎn)化 第一章網(wǎng)絡(luò)安全測(cè)評(píng)狀況綜述2 3 第一章網(wǎng)絡(luò)安全測(cè)評(píng)狀況綜述元或年?duì)I業(yè)額2%的罰款(以較高者為準(zhǔn)),而對(duì)于重要實(shí)體，最高罰款為7萬歐元或年?duì)I4 亞太地區(qū)各國(guó)根據(jù)自身的網(wǎng)絡(luò)環(huán)境和安全需求，制定了不同的網(wǎng)絡(luò)安全測(cè)評(píng)法律框架和規(guī)定。新加坡網(wǎng)絡(luò)安全局(CSA)于2018年推出了《網(wǎng)絡(luò)安全法》(Cyber5 第一章網(wǎng)絡(luò)安全測(cè)評(píng)狀況綜述2021年9月1日正式實(shí)施的《中華人民共和國(guó)數(shù)據(jù)安全法》指出，國(guó)家支持有關(guān)部安全保護(hù)能力。6 2024年5月15日，中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦2024年5月24日，中國(guó)工業(yè)和信息化部制定并印發(fā)安全人才的缺口估計(jì)在70萬到140萬之間，而實(shí)際從事網(wǎng)絡(luò)安全工作的人數(shù)約為十萬7 第一章網(wǎng)絡(luò)安全測(cè)評(píng)狀況綜述8 9 第一章網(wǎng)絡(luò)安全測(cè)評(píng)狀況綜述 第一章網(wǎng)絡(luò)安全測(cè)評(píng)狀況綜述 第一章網(wǎng)絡(luò)安全測(cè)評(píng)狀況綜述1.3.4安全測(cè)評(píng)工具國(guó)產(chǎn)化較弱 全測(cè)評(píng)人才性別比例懸殊，男性占比高達(dá)91%,女性占比僅為9%。如圖2-1 第二章用人單位安全測(cè)評(píng)人才現(xiàn)狀分析圖2-1用人單位網(wǎng)絡(luò)安全人才性別分布從用人單位安全測(cè)評(píng)人才年齡分布來看，26-30歲的人才占比最高，達(dá)32%;其次是31-35歲，占比均為21%;21-25歲占17%。從數(shù)據(jù)上看，26-35歲年齡段的網(wǎng)安從業(yè)者，是當(dāng)前網(wǎng)絡(luò)安全測(cè)評(píng)相關(guān)崗位的主力軍，綜合占比達(dá)53%,證明，這一年齡層在用人單位側(cè)更受到歡迎。如圖2-2所示。■26-30歲■31-35歲■21-25歲■41歲及以上■36-40歲■20歲及以下圖2-2用人單位安全測(cè)評(píng)人才年齡分布占比22%;高職/高專以及高中以下學(xué)歷占比9%,博士背景的人才占比1%。了90%,本科及碩士學(xué)歷背景的安全測(cè)評(píng)人才已成為是行業(yè)最重要的有生力量。高職/高專以及高中以下學(xué)歷安全測(cè)評(píng)從業(yè)者占比9%,說明雖然本科學(xué)歷已逐漸網(wǎng)■本科■碩士高職/高?！霾┦考耙陨稀龈咧屑耙韵聢D2-3用人單位安全測(cè)評(píng)人才學(xué)歷分布2.1.2行業(yè)、地域及崗位情況從行業(yè)分布上看，金融行業(yè)占比最高，達(dá)20%;其次是網(wǎng)絡(luò)安全行業(yè)，占比15%;再■金融■網(wǎng)絡(luò)安全■通信■政府■交通■醫(yī)療■互聯(lián)網(wǎng)■傳媒■煙草其他■科研圖2-4用人單位安全測(cè)評(píng)人才行業(yè)分布 第二章用人單位安全測(cè)評(píng)人才現(xiàn)狀分析北京四川江蘇托丁0天津黑龍江重慶其他山西內(nèi)蒙古o8北京四川江蘇托丁0天津黑龍江重慶其他山西內(nèi)蒙古o8世4圖2-5用人單位安全測(cè)評(píng)人才地域分布 網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇3.崗位分布情況網(wǎng)絡(luò)安全測(cè)試評(píng)估是網(wǎng)絡(luò)安全實(shí)戰(zhàn)人才必須具備的一項(xiàng)重要能力，包括網(wǎng)絡(luò)運(yùn)維、安全運(yùn)營(yíng)、安全攻防等多個(gè)工作崗位都涉及到一部分的安全測(cè)評(píng)工作，因?yàn)樯婕暗讲煌陌踩珳y(cè)評(píng)場(chǎng)景，不同崗位都需要從自身角色定位幫助組織發(fā)現(xiàn)和修復(fù)潛在的安全風(fēng)險(xiǎn)。從崗位分布上看，運(yùn)維工程師、安全運(yùn)營(yíng)工程師、滲透測(cè)試工程師和網(wǎng)絡(luò)安全管理崗位的需求較高，運(yùn)維工程師崗位占比最多，占比17%,其次是安全運(yùn)營(yíng)工程師和滲透測(cè)試工程師，占比均為16%。如圖2-6所示。圖2-6用人單位安全測(cè)評(píng)人才崗位分布崗位分布反映出以下趨勢(shì)：(1)運(yùn)維工程師崗位在安全測(cè)評(píng)工作中扮演重要角色運(yùn)維工程師在系統(tǒng)安全管理中扮演著關(guān)鍵角色，他們不僅支持安全測(cè)評(píng)的實(shí)施，還負(fù)責(zé)將測(cè)評(píng)結(jié)果轉(zhuǎn)化為具體的安全措施，確保系統(tǒng)的長(zhǎng)期安全性和穩(wěn)定性。在安全測(cè)評(píng)中發(fā)現(xiàn)嚴(yán)重漏洞或在實(shí)際攻擊發(fā)生時(shí)，運(yùn)維工程師與安全團(tuán)隊(duì)密切合作，執(zhí)行應(yīng)急響應(yīng)計(jì)劃，確保系統(tǒng)的快速恢復(fù)和數(shù)據(jù)保護(hù)。(2)網(wǎng)絡(luò)安全測(cè)評(píng)工作涉及技術(shù)崗位多樣化占據(jù)崗位分布前8位的崗位包括滲透測(cè)試工程師、安全服務(wù)工程師、Web安全工程師等，其工作內(nèi)容都包含安全測(cè)評(píng)，但因?yàn)樯婕暗讲煌陌踩珳y(cè)評(píng)場(chǎng)景，不同崗位都需要從自身角色定位幫助組織發(fā)現(xiàn)和修復(fù)潛在的安全風(fēng)險(xiǎn)。這體現(xiàn)出，雖然用人單位的安全測(cè)評(píng)工作需求持續(xù)走高，但安全測(cè)評(píng)工作主要分散在多個(gè)崗位中，沒有單獨(dú)的崗位負(fù)責(zé)，容易導(dǎo)致標(biāo)準(zhǔn)等不一致情況。 第二章用人單位安全測(cè)評(píng)人才現(xiàn)狀分析(3)實(shí)務(wù)技術(shù)崗位在安全測(cè)評(píng)工作中占據(jù)主流地位從崗位分布情況分析，與網(wǎng)絡(luò)安全運(yùn)維、滲透測(cè)試等技能強(qiáng)關(guān)聯(lián)的網(wǎng)絡(luò)安全類崗位需求占據(jù)需求前8位中的5位(運(yùn)維工程師、滲透測(cè)試工程師、網(wǎng)絡(luò)工程師、安全攻防研究員、安全服務(wù)工程師、Web安全工程師),體現(xiàn)出安全測(cè)評(píng)市場(chǎng)對(duì)網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力的渴求。安全測(cè)評(píng)需要對(duì)系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用程序進(jìn)行實(shí)際測(cè)試，包括滲透測(cè)試、漏洞掃描、代碼審計(jì)等。這些工作需要熟練使用各種安全工具，并理解其技術(shù)原理和操作方法。實(shí)務(wù)技術(shù)崗位的人員通常具備這些操作能力，能夠直接參與和執(zhí)行具體的安全測(cè)評(píng)任務(wù)。他們還具備對(duì)系統(tǒng)架構(gòu)、網(wǎng)絡(luò)協(xié)議、應(yīng)用開發(fā)等技術(shù)的深入理解，能夠更準(zhǔn)確地評(píng)估和解釋測(cè)評(píng)結(jié)果，并提出切實(shí)可行的改進(jìn)建議。調(diào)研數(shù)據(jù)顯示，當(dāng)前我國(guó)安全測(cè)評(píng)人員中，未考取任何資格證書的人員占比43%,相較而言CISP證書持有率較高，為32%,其次是數(shù)據(jù)安全評(píng)估師證書，持有率占比9%。這體現(xiàn)出CISP證書在信息安全領(lǐng)域具備較高的知名度，更受到市場(chǎng)的青睞。由于其廣泛的適用范圍，CISP證書持有者可以擔(dān)任信息安全領(lǐng)域多項(xiàng)工作，如信息安全管理、審計(jì)、咨詢、滲透測(cè)試等，其中也包含了安全測(cè)評(píng)相關(guān)工作范疇。綜合來看，安全測(cè)評(píng)相關(guān)工作崗位并未對(duì)專業(yè)資格認(rèn)證的持有情況設(shè)置嚴(yán)格要求，安全測(cè)評(píng)人員對(duì)于資格證書對(duì)于職業(yè)發(fā)展和專業(yè)認(rèn)可的重視程度也有待提高。如圖2-7所示。綜合來看，安全測(cè)評(píng)人才主要從業(yè)人群為26-35歲年齡段的男性網(wǎng)安從業(yè)者，學(xué)歷以本科為主。地域分布主要集中在北京、廣東等IT行業(yè)較為發(fā)達(dá)，且許多大型國(guó)央企單位網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇和網(wǎng)絡(luò)安全公司的總部所在地。崗位集中在安全運(yùn)維、滲透測(cè)試和安全運(yùn)營(yíng)等方面，且近半數(shù)人員未取得相關(guān)證書，人才能力及證書結(jié)構(gòu)失衡問題顯著;此外人才結(jié)構(gòu)單一，年輕人為主力軍，缺乏多樣性和互補(bǔ)性，不利于行業(yè)的創(chuàng)新和全面發(fā)展。相較而言，金融、通信、能源和政府單位等行業(yè)領(lǐng)域?qū)W(wǎng)絡(luò)安全測(cè)評(píng)人才的需求較為旺盛，這些行業(yè)對(duì)網(wǎng)絡(luò)安全測(cè)評(píng)人才的重視程度通常與其所處理的數(shù)據(jù)敏感性、系統(tǒng)的復(fù)雜性以及潛在的安全風(fēng)險(xiǎn)成正比。依據(jù)組織形式不同，安全測(cè)評(píng)分為監(jiān)管機(jī)構(gòu)組織開展的合規(guī)檢查和用人單位自行開展的安全檢查兩類。在國(guó)家政策的引導(dǎo)下，監(jiān)管機(jī)構(gòu)先后制定了網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、涉密信息系統(tǒng)分級(jí)保護(hù)、商用密碼應(yīng)用安全評(píng)估(簡(jiǎn)稱“3保1評(píng)”)法律法規(guī)及標(biāo)準(zhǔn)體系，保障各行業(yè)各領(lǐng)域合規(guī)檢查走向規(guī)范化、制度化、常態(tài)化軌道。在我國(guó)，80%的用人單位采用“網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)”的方式落實(shí)和深化合規(guī)檢查工作；占比50%、46%、42%的用人單位分別以“關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)測(cè)評(píng)”“涉密信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)”“商用密碼應(yīng)用安全性評(píng)估”的方式開展合規(guī)檢查工作；僅有9%的用人單位從未開展過合規(guī)檢查。這說明合規(guī)檢查有廣泛的覆蓋率，已發(fā)展成用人單位發(fā)現(xiàn)安全風(fēng)險(xiǎn)、強(qiáng)化網(wǎng)絡(luò)和數(shù)據(jù)安全治理的關(guān)鍵環(huán)節(jié)和重要抓手。如圖2-8所示。 在滿足國(guó)家監(jiān)管合規(guī)要求的同時(shí)，為了發(fā)現(xiàn)潛在風(fēng)險(xiǎn)發(fā)現(xiàn)、評(píng)估安全現(xiàn)狀和安全策略，用人單位也采取了多樣化的方式開展自行安全檢查。其中滲透測(cè)試和攻防演練是最主練，45%的用人單位組織過紅隊(duì)開展自查。如圖2-9所示。勒索演練圖2-9用人單位自行安全檢查方式因業(yè)務(wù)需求、知識(shí)水平、技術(shù)成熟度等差異，各單位開展安全檢查的形式也有所不同。33%的單位依托內(nèi)部員工開展安全檢查；32%的單位邀請(qǐng)安全廠商開展安全檢查；性、合規(guī)性與資質(zhì)認(rèn)證、流程標(biāo)準(zhǔn)化也成為了用人單位最看重的三大要素。如圖2-10、2-11所示?！鐾ㄟ^內(nèi)部員工開展■邀請(qǐng)第三方測(cè)評(píng)機(jī)構(gòu)■從未開展過安全檢查圖2-10用人單位安全檢查形式網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇圖2-11用人單位看重第三方安全測(cè)評(píng)機(jī)構(gòu)的要素Nessus圖2-12用人單位常用的安全測(cè)評(píng)工具日志分析、灰盒測(cè)試、配置文件比對(duì)等。其中漏洞掃描用于檢測(cè)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用 圖2-13用人單位常用的安全測(cè)評(píng)技術(shù)2.2.2安全測(cè)評(píng)人才需求單位31-50人50人及以上0人圖2-14用人單位具有安全測(cè)評(píng)能力的人數(shù)制因素。其中30%的用人單位年均預(yù)算不足20萬；21%的用人單位年均預(yù)算在21~50萬；網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇無預(yù)算20萬以下21-50萬51-100萬100-200萬200萬以上圖2-15用人單位安全測(cè)評(píng)年均預(yù)算隨著數(shù)字化轉(zhuǎn)型的加速發(fā)展，各行業(yè)各領(lǐng)域?qū)Π踩珳y(cè)評(píng)人員的需求將逐漸增大。從用人單位的單位性質(zhì)來看，國(guó)企對(duì)安全測(cè)評(píng)人員的需求量最高，占比為34%;其次為央企，占比為30%;民營(yíng)企業(yè)對(duì)安全測(cè)評(píng)人員的需求量為15%。如圖2-16所示。■國(guó)企■央企民營(yíng)企業(yè)■事業(yè)單位■國(guó)家行政機(jī)關(guān)■外資企業(yè)圖2-16用人單位安全測(cè)評(píng)人才需求2.2.3用人單位對(duì)安全測(cè)評(píng)人才的滿意度情況安全測(cè)評(píng)人才的技術(shù)水平，是衡量用人單位網(wǎng)絡(luò)安全保障能力的重要指標(biāo)之一。安全測(cè)試人才的技術(shù)水平直接關(guān)系到用人單位能否有效識(shí)別、評(píng)估、應(yīng)對(duì)網(wǎng)絡(luò)安全弱點(diǎn)、風(fēng)險(xiǎn)和威脅。58%的用人單位安全測(cè)評(píng)人才“熟悉常用測(cè)試工具，但是不能獨(dú)立開展安全測(cè) 第二章用人單位安全測(cè)評(píng)人才現(xiàn)狀分析評(píng)，表現(xiàn)一般”;31%的用人單位安全測(cè)評(píng)人才“精通常用測(cè)試工具，能夠獨(dú)立開展安全測(cè)評(píng)，進(jìn)行代碼審計(jì)和靜態(tài)分析方面，表現(xiàn)優(yōu)秀”;還有8%的用人單位沒有安全測(cè)評(píng)人才。這說明我國(guó)安全測(cè)評(píng)人才能夠熟悉掌握安全測(cè)試工具，但獨(dú)立開展安全測(cè)評(píng)的能力有待提升。如圖2-17所示。一般，熟悉常用測(cè)試工具，但不能獨(dú)立優(yōu)秀，精通常用測(cè)試工具，能夠獨(dú)立開展安全測(cè)評(píng)，進(jìn)行代碼審計(jì)和靜態(tài)分析■單位沒有安全測(cè)評(píng)人員很差，不熟悉常用測(cè)試工具，也不能獨(dú)立開展安全測(cè)評(píng)圖2-17用人單位安全測(cè)評(píng)人員技術(shù)水平行業(yè)經(jīng)驗(yàn)豐富，熟悉業(yè)務(wù)場(chǎng)景和系統(tǒng)架構(gòu)，是衡量人才制定安全測(cè)評(píng)策略方案有效性的重要指標(biāo)。掌握單位的信息系統(tǒng)架構(gòu)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、數(shù)據(jù)流向等，有助于人才制定明確的測(cè)試方案，選擇適合的測(cè)試平臺(tái)與工具，發(fā)現(xiàn)安全弱點(diǎn)、風(fēng)險(xiǎn)和威脅。45%的用人單位安全測(cè)評(píng)人才有一定的安全測(cè)試項(xiàng)目經(jīng)驗(yàn)，熟悉行業(yè)業(yè)務(wù)場(chǎng)景；36%的用人單位安全測(cè)評(píng)人才主導(dǎo)或參與多個(gè)安全測(cè)試項(xiàng)目，對(duì)行業(yè)業(yè)務(wù)場(chǎng)景有一定了解；但仍有11%的用人單位安全測(cè)評(píng)人才缺乏安全測(cè)評(píng)經(jīng)驗(yàn)，不熟悉行業(yè)業(yè)務(wù)場(chǎng)景。如圖2-18所示。一般，有一定的安全測(cè)試項(xiàng)目經(jīng)驗(yàn)，較為熟悉行業(yè)業(yè)務(wù)場(chǎng)景豐富，主導(dǎo)或深度參與多個(gè)安全測(cè)試項(xiàng)目，熟悉行業(yè)業(yè)務(wù)場(chǎng)景不足，缺乏安全測(cè)試項(xiàng)目經(jīng)驗(yàn)，不熟悉行業(yè)業(yè)務(wù)場(chǎng)景■單位沒有安全測(cè)評(píng)人員圖2-18安全測(cè)評(píng)人員行業(yè)經(jīng)驗(yàn) 網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇安全測(cè)評(píng)人員通常會(huì)在完成安全測(cè)評(píng)工作后對(duì)安全測(cè)評(píng)結(jié)果進(jìn)行報(bào)告說明，注明測(cè)評(píng)范圍、測(cè)評(píng)環(huán)境、測(cè)評(píng)流程、測(cè)評(píng)工具和測(cè)評(píng)結(jié)果等，安全測(cè)評(píng)報(bào)告也是對(duì)一次安全測(cè)評(píng)工作的成果綜合展示。問卷調(diào)研發(fā)現(xiàn)，安全測(cè)評(píng)報(bào)告水平存在差異。對(duì)比測(cè)評(píng)結(jié)果與安全現(xiàn)狀，僅有35%的安全測(cè)評(píng)報(bào)告，精準(zhǔn)識(shí)別了安全弱點(diǎn)、風(fēng)險(xiǎn)和威脅，并提供了詳盡的整改建議；55%的安全測(cè)評(píng)報(bào)告，僅能夠識(shí)別部分安全弱點(diǎn)、風(fēng)險(xiǎn)和威脅，并提供一些整改建議；還有10%的安全測(cè)評(píng)報(bào)告，較為形式化，識(shí)別不出有實(shí)質(zhì)影響的弱點(diǎn)、風(fēng)險(xiǎn)和威脅。如圖2-19所示。2.3用人單位進(jìn)行安全測(cè)評(píng)的對(duì)象2.3.1政府進(jìn)行安全測(cè)評(píng)的對(duì)象根據(jù)調(diào)查數(shù)據(jù)分析，政府單位進(jìn)行安全測(cè)評(píng)的對(duì)象主要集中在IT基礎(chǔ)設(shè)施、物理環(huán)境設(shè)備、應(yīng)用類軟/硬件產(chǎn)品和網(wǎng)絡(luò)安全產(chǎn)品這四大類，占比均超過62%。此外，政府單位也高度重視對(duì)密碼產(chǎn)品和人員的安全測(cè)評(píng)，占比分別為48%和43%,這些也是政府單位進(jìn)行網(wǎng)絡(luò)安全評(píng)估的重點(diǎn)，如圖2-20所示。 第二章用人單位安全測(cè)評(píng)人才現(xiàn)狀分析大數(shù)據(jù)系統(tǒng)圖2-20政府進(jìn)行安全測(cè)評(píng)的對(duì)象分布情況2.3.2行業(yè)進(jìn)行安全測(cè)評(píng)的對(duì)象礎(chǔ)設(shè)施安全的重要需求。如圖2-21所示。圖2-21各行業(yè)進(jìn)行安全測(cè)評(píng)的對(duì)象分布情況網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇安全威脅密切相關(guān)。同時(shí)，不同行業(yè)因其業(yè)務(wù)形態(tài)和面臨的安全威脅不同，呈現(xiàn)出不同的安全測(cè)評(píng)對(duì)以下以IT基礎(chǔ)設(shè)施、應(yīng)用類軟/硬件、密碼產(chǎn)品、數(shù)據(jù)資源、第三方服務(wù)商和供應(yīng)鏈五個(gè)1.IT基礎(chǔ)設(shè)施安全測(cè)評(píng)在IT基礎(chǔ)設(shè)施安全測(cè)評(píng)的行業(yè)分布中，能源行業(yè)和交通行業(yè)占比稍高，分別是21%和18%,如圖2-3。由于能源行業(yè)和交通行業(yè)的IT基礎(chǔ)設(shè)施分布十分廣泛，少數(shù)電力站和交通信號(hào)設(shè)施還會(huì)架設(shè)在較為偏遠(yuǎn)偏僻的位置，這些行業(yè)IT基礎(chǔ)設(shè)施遭受的網(wǎng)絡(luò)攻擊面也更大，因此安全測(cè)評(píng)的需求也更明顯。如圖2-22所示。圖2-22IT基礎(chǔ)設(shè)施安全測(cè)評(píng)行業(yè)分布情況2.應(yīng)用類軟/硬件安全測(cè)評(píng)在應(yīng)用類軟/硬件安全測(cè)評(píng)的行業(yè)分布中，交通行業(yè)和醫(yī)療行業(yè)占比稍高，分別是18%和17%,金融行業(yè)、通信行業(yè)和能源行業(yè)緊隨其后，如圖2-23所示。通過對(duì)調(diào)查數(shù)據(jù)業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施都反映出對(duì)應(yīng)用類軟/硬件的安全存在普遍的安全測(cè)評(píng)需求。 第二章用人單位安全測(cè)評(píng)人才現(xiàn)狀分析圖2-23應(yīng)用類軟/硬件安全測(cè)評(píng)行業(yè)分布情況3.密碼產(chǎn)品安全測(cè)評(píng)在密碼產(chǎn)品安全測(cè)評(píng)的行業(yè)分布中，金融行業(yè)占比最高，達(dá)到了20%,通信行業(yè)占比也達(dá)到17%。密碼技術(shù)是金融、通信等行業(yè)的業(yè)務(wù)安全底座，因此金融、通信等行業(yè)對(duì)密碼產(chǎn)品的安全測(cè)評(píng)也走在前列。如圖2-24所示。4.數(shù)據(jù)資源安全測(cè)評(píng)在數(shù)據(jù)資源安全測(cè)評(píng)的行業(yè)分布中，醫(yī)療行業(yè)占比最高，達(dá)到了25%,通信行業(yè)占比也超過了20%,金融行業(yè)緊隨其后，如圖2-25。通過對(duì)調(diào)查數(shù)據(jù)分析后發(fā)現(xiàn)，醫(yī)療、通信、在第三方服務(wù)商和供應(yīng)鏈安全測(cè)評(píng)的行業(yè)分布中，通信行業(yè)占比最高，達(dá)到了26%,能源行業(yè)占比也超過了20%。這些重點(diǎn)行業(yè)在使用第三方服務(wù)商和供應(yīng)鏈時(shí)迫切需要評(píng)通過上述分析發(fā)現(xiàn)，各行業(yè)用人單位均對(duì)軟/硬件基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全/密碼產(chǎn)品等 一第二章用人單位安全測(cè)評(píng)人才現(xiàn)狀分析—位對(duì)人員的安全測(cè)評(píng)需求更高，反映出用人單位對(duì)人員進(jìn)行安全評(píng)估的迫切要求。如圖圖2-27企事業(yè)單位進(jìn)行安全測(cè)評(píng)的對(duì)象分布情況 分別占比62%、24%,?？圃谧x和博士在讀分別占比8%、6%。這說明本科及碩士研究生 第三章院校安全測(cè)評(píng)人才培養(yǎng)現(xiàn)狀分析3.1.2安全測(cè)評(píng)人才培養(yǎng)院校及所設(shè)專業(yè)情況1.安全測(cè)評(píng)人才培養(yǎng)院校種類情況聚焦到安全測(cè)評(píng)人才培養(yǎng)院校上，普通本科院校培養(yǎng)的人數(shù)占比最高，為58%;其次是985院校、211院校(非985),分別占比19%、10%。整體來看，本科及以上院校占比97%,這表明本科及以上院校在適應(yīng)市場(chǎng)需求、調(diào)整課程體系方面具有較高的靈活性和響應(yīng)速度，能夠?yàn)樯鐣?huì)輸送大批安全測(cè)評(píng)專業(yè)人才；高職高專在安全測(cè)評(píng)人才培養(yǎng)中的占比僅為3%,這反映了高職高專在培養(yǎng)此類人才方面存在一定的局限性。如圖3-2所示?！?11(非985)2.安全測(cè)評(píng)人才培養(yǎng)院校所設(shè)專業(yè)情況我國(guó)院校中，安全測(cè)評(píng)在讀學(xué)生占比最高的專業(yè)是信息安全和網(wǎng)絡(luò)空間安全，分別為26%、25%;其次是計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)、網(wǎng)絡(luò)工程專業(yè)和軟件工程專業(yè)。這說明我國(guó)院 )夠圖3-3安全測(cè)評(píng)人才所讀專業(yè)■10%及以下圖3-4院校具備安全測(cè)試評(píng)估能力的人才占比 第三章院校安全測(cè)評(píng)人才培養(yǎng)現(xiàn)狀分析對(duì)院校安全測(cè)評(píng)人才來說，積極參與校外安全測(cè)評(píng)工作有助于接觸前沿的安全測(cè)評(píng)技術(shù)與工具，將知識(shí)和技能應(yīng)用于實(shí)際業(yè)務(wù)，快速開闊視野和增進(jìn)安全測(cè)評(píng)能力。但在我國(guó)，由于學(xué)業(yè)壓力、機(jī)會(huì)缺失等因素，76%的院校人才從未參與過校外安全測(cè)評(píng)工作，24%的院校人才有參與接觸。如圖3-5所示。圖3-5參與過校外安全測(cè)評(píng)工作的學(xué)生分布校外安全測(cè)評(píng)工作包括攻防演練、眾測(cè)活動(dòng)、日常挖漏洞等多樣化的形式，有益于人才提升測(cè)試評(píng)估技能與經(jīng)驗(yàn)，與技術(shù)專家切磋經(jīng)驗(yàn)及接觸意向單位等。參與過校外安全測(cè)試評(píng)估工作中的人才中，有57%參與過“國(guó)家級(jí)大型攻防演練”;42%有“日常挖漏洞提交漏洞庫(kù)”的經(jīng)歷；有38%的人才參與過“大型機(jī)構(gòu)組織的攻防演練”。如圖3-6所示。圖3-6在校學(xué)生參與過的校外安全測(cè)評(píng)活動(dòng)網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇作為評(píng)估數(shù)字化建設(shè)安全現(xiàn)狀的有效方式，全國(guó)各地正在如火如荼地培育安全測(cè)評(píng)人才，院校安全測(cè)試評(píng)估人才在全國(guó)各個(gè)省(自治區(qū)、直轄市)及新疆生產(chǎn)建設(shè)兵團(tuán)的院校均有分布。其中，廣東省是數(shù)字經(jīng)濟(jì)大省，政企單位在數(shù)字化轉(zhuǎn)型過程中的安全測(cè)評(píng)需求發(fā)展迅猛，推動(dòng)了院校培養(yǎng)安全測(cè)評(píng)人才，人才占比最高，達(dá)8.7%;北京市、四川省高校資源豐富，有較強(qiáng)的學(xué)科基礎(chǔ)與師資力量，院校安全測(cè)評(píng)人才分別占比7.6%、6.7%;浙江省、河南省在制造業(yè)、電子信息產(chǎn)業(yè)發(fā)展勢(shì)頭強(qiáng)勁，安全測(cè)評(píng)需求也逐漸增強(qiáng)，院校安全測(cè)評(píng)人才分別占比6.4%、5.7%;同時(shí)，福建省、河北省、江蘇省、山東省的在校安全測(cè)評(píng)人才占比也均超過了5%。如圖3-7所示。山西省天津市陜西省上海市圖3-7院校網(wǎng)絡(luò)安全測(cè)評(píng)人才地域分布根據(jù)七大行政區(qū)劃分，華東地區(qū)的院校安全測(cè)評(píng)人才占比最高，達(dá)到了32.1%;華北地區(qū)、華中地區(qū)分列二、三，分別為19.7%和14.9%;東北地區(qū)和西北地區(qū)安全測(cè)評(píng)人才培養(yǎng)數(shù)量較低，人才分別占比5.8%和4.4%。如圖3-8所示。 第三章院校安全測(cè)評(píng)人才培養(yǎng)現(xiàn)狀分析5.0%東北華南圖3-8院校網(wǎng)絡(luò)安全測(cè)評(píng)人才培養(yǎng)區(qū)域分布3.2.1相關(guān)專業(yè)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)建設(shè)情況教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)，29%的院校處于初步建設(shè)階段，6%的院校正在規(guī)劃此項(xiàng)工作但圖3-9院校安全測(cè)評(píng)相關(guān)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)建設(shè)情況 網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書一安全測(cè)試評(píng)估篇不同專業(yè)建立安全測(cè)評(píng)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)的階段也有所差異，總體上看，大部分與技術(shù)專業(yè)已建立、初步建設(shè)或規(guī)劃中的占比均超過了90%。尤其是有68%的網(wǎng)絡(luò)空間安全專業(yè)、57%的信息安全專業(yè)，已建立多個(gè)安全測(cè)評(píng)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)，高于全部相較其他專業(yè)，計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)的教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)建設(shè)有待加強(qiáng)，其中54%的院校該專業(yè)在初步建設(shè)階段，23%的院校該專業(yè)沒有建設(shè)計(jì)劃。如圖3-10所示。密碼科學(xué)與技術(shù)專業(yè)計(jì)算機(jī)學(xué)與技術(shù)專業(yè)其他專業(yè)■建立了多個(gè)安全測(cè)評(píng)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)■初步建設(shè)階段，完善中■規(guī)劃中，尚未建設(shè)■沒有建設(shè)計(jì)劃2.安全測(cè)評(píng)相關(guān)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)方向設(shè)安全測(cè)評(píng)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)的方向側(cè)重點(diǎn)也有所不同。在已建立的安全測(cè)評(píng)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)的院校中，占比靠前的方向?yàn)榫W(wǎng)絡(luò)安全競(jìng)賽(77%)、數(shù)據(jù)安全(64%)、人工智能安全(57%)、物聯(lián)網(wǎng)安全(49%)。如圖3-11所示。 數(shù)據(jù)安全車聯(lián)網(wǎng)安全圖3-11已建安全測(cè)評(píng)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)方向情況初步建設(shè)階段中的安全測(cè)評(píng)實(shí)驗(yàn)室/平臺(tái)方向，占比靠前的分別為網(wǎng)絡(luò)安全競(jìng)賽網(wǎng)絡(luò)安全競(jìng)賽網(wǎng)絡(luò)安全競(jìng)賽工控安全9%圖3-12初步建設(shè)階段且正在完善中的平臺(tái)方向情況 網(wǎng)絡(luò)安全競(jìng)賽網(wǎng)絡(luò)安全競(jìng)賽人工智能安全工控安全車聯(lián)網(wǎng)安全云安全物聯(lián)網(wǎng)安全平臺(tái)建設(shè)的重點(diǎn)方向，同時(shí)物聯(lián)網(wǎng)安全、工控安全、車聯(lián)網(wǎng)安全方向的實(shí)驗(yàn)室/平臺(tái)建設(shè)網(wǎng)絡(luò)空間安全、信息安全、密碼科學(xué)與技術(shù)等專業(yè)作為與教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)和數(shù)據(jù)安全教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)是作為提升學(xué)生網(wǎng)絡(luò)和數(shù)據(jù)安全科建設(shè)的抓手。而車聯(lián)網(wǎng)安全和工控安全方向的教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)建設(shè)，需要投入大 第三章院校安全測(cè)評(píng)人才培養(yǎng)現(xiàn)狀分析網(wǎng)絡(luò)安全競(jìng)賽網(wǎng)絡(luò)安全競(jìng)賽工控安全人工智能安全■建立了多個(gè)安全測(cè)評(píng)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)■初步建設(shè)階段，完善中■規(guī)劃中，尚未建設(shè)—41—網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇 云安全其他759%■建立了多個(gè)安全測(cè)評(píng)教學(xué)實(shí)驗(yàn)室/學(xué)科平臺(tái)■初步建設(shè)階段，完善中圖3-16密碼科學(xué)與技術(shù)專業(yè)平臺(tái)方向情況3.2.2網(wǎng)絡(luò)靶場(chǎng)建設(shè)情況■建立了多個(gè)網(wǎng)絡(luò)靶場(chǎng)■初步建立階段，完善中■沒有建設(shè)計(jì)劃■規(guī)劃中，尚未建立圖3-17院校網(wǎng)絡(luò)靶場(chǎng)情況 第三章院校安全測(cè)評(píng)人才培養(yǎng)現(xiàn)狀分析51%的院校信息安全專業(yè)、53%的院校密碼科學(xué)與技術(shù)專業(yè)已建立多個(gè)網(wǎng)絡(luò)靶場(chǎng)，對(duì)安■建立了多個(gè)網(wǎng)絡(luò)靶場(chǎng)平臺(tái)■規(guī)劃中，尚未建設(shè)■初步建設(shè)階段，完善中圖3-18各專業(yè)建設(shè)網(wǎng)絡(luò)靶場(chǎng)情況全、網(wǎng)絡(luò)安全競(jìng)賽、物聯(lián)網(wǎng)安全方向占比最高，分別占比為71%、70%和36%,這樣反映—43—網(wǎng)絡(luò)安全競(jìng)賽 其他5%圖3-19院校已建立的網(wǎng)絡(luò)靶場(chǎng)方向網(wǎng)絡(luò)安全競(jìng)賽其他圖3-20院校初步建設(shè)中的網(wǎng)絡(luò)靶場(chǎng)方向 %網(wǎng)絡(luò)安全競(jìng)賽車聯(lián)網(wǎng)安全圖3-21院校規(guī)劃中的網(wǎng)絡(luò)靶場(chǎng)方向生能夠在實(shí)際操作中掌握和人工智能核心技術(shù)，驗(yàn)證測(cè)試評(píng)估技能，學(xué)生的核心競(jìng)爭(zhēng)力增強(qiáng)，為職業(yè)發(fā)展奠定了堅(jiān)實(shí)基礎(chǔ)。如圖3-22、3-23、3-24所示。網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇物聯(lián)網(wǎng)安全圖3-22網(wǎng)絡(luò)空間安全專業(yè)網(wǎng)絡(luò)靶場(chǎng)建設(shè)方向圖3-23信息安全專業(yè)網(wǎng)絡(luò)靶場(chǎng)建設(shè)方向情況 第三章院校安全測(cè)評(píng)人才培養(yǎng)現(xiàn)狀分析網(wǎng)絡(luò)安全競(jìng)賽網(wǎng)絡(luò)安全競(jìng)賽數(shù)據(jù)安全物聯(lián)網(wǎng)安全人工智能安全車聯(lián)網(wǎng)安全工控安全云安全其他■建立了多個(gè)網(wǎng)絡(luò)靶場(chǎng)■初步建設(shè)階段，完善中圖3-24密碼科學(xué)與技術(shù)專業(yè)網(wǎng)絡(luò)靶場(chǎng)建設(shè)方向情況匹配程度是否看好。安全測(cè)評(píng)人才意向就業(yè)單位占比靠前的分別為企業(yè)(40%)政府(18%高等院校(14%)、科研院所(13%)、國(guó)防(12%)。如圖3-25所示。■高等院?！隹蒲性核鲎灾鲃?chuàng)業(yè)圖3-25學(xué)生意向就業(yè)單位分布情況從專業(yè)角度來看，網(wǎng)絡(luò)空間安全專業(yè)學(xué)生意向就業(yè)單位占比最高的為企業(yè)(46%),其次是高等院校和政府，占比均為14%;信息安全專業(yè)學(xué)生意向就業(yè)單位占比最高的為企業(yè)(36%),其次為政府(34%)和國(guó)防(13%);密碼科學(xué)與技術(shù)專業(yè)學(xué)生意向就業(yè)單位占比最高的高等院校(45%),其次為國(guó)防(27%)。如圖3-26所示。網(wǎng)絡(luò)空間安全專業(yè)網(wǎng)絡(luò)空間安全專業(yè)信息安全專業(yè)密碼科學(xué)與技術(shù)專業(yè)計(jì)算機(jī)學(xué)與技術(shù)專業(yè)網(wǎng)絡(luò)工程專業(yè)軟件工程程師、代碼審計(jì)工程師等十余個(gè)方向。安全測(cè)評(píng)人才的意向崗位中，26%的在校學(xué)生就業(yè)首選是滲透測(cè)試工程師，16%的在校學(xué)生就業(yè)首選是Web安全工程師，其次是安全服務(wù)工程師，占比為10%,這三個(gè)崗位最受人才青睞。如圖3-27所示。水25%-20%-水25%-20%-圖3-27學(xué)生意向從事崗位情況—48— 伶20%一伶20%一圖3-28網(wǎng)絡(luò)空間安全學(xué)生意向從事崗位情況20%-圖3-29信息安全學(xué)生意向從事崗位情況圖3-30密碼科學(xué)與技術(shù)專業(yè)學(xué)生意向從事崗位情況不足10%;38%的院校實(shí)戰(zhàn)教師數(shù)量不足，師資隊(duì)伍中實(shí)戰(zhàn)教師占比在11%至30%之間； 第三章院校安全測(cè)評(píng)人才培養(yǎng)現(xiàn)狀分析■不足■尚可圖3-31院校師資隊(duì)伍中實(shí)戰(zhàn)教師數(shù)量情況2.實(shí)戰(zhàn)教師占比隨著學(xué)生學(xué)歷上升而增加從另一個(gè)角度來看，不同層次的院校師資隊(duì)伍中，實(shí)戰(zhàn)教師的占比呈現(xiàn)出明顯的差異。?？圃谧x和本科院校中，實(shí)戰(zhàn)教師的占比較少。50%的?？茖W(xué)生認(rèn)為師資隊(duì)伍中嚴(yán)重缺乏實(shí)戰(zhàn)教師，僅4%的專科學(xué)生認(rèn)為實(shí)戰(zhàn)教師數(shù)量充足；在本科階段，39%本科學(xué)生認(rèn)為院校師資隊(duì)伍中嚴(yán)重缺乏實(shí)戰(zhàn)教師，認(rèn)為實(shí)戰(zhàn)教師數(shù)量充足的學(xué)生僅占10%。如圖3-32所示。碩士博士本科?？啤鰢?yán)重缺乏■不足■尚可■充足圖3-32不同學(xué)歷師資隊(duì)伍中實(shí)戰(zhàn)教師占比分布而在碩士和博士階段，師資隊(duì)伍中實(shí)戰(zhàn)教師的占比情況顯著提高。在碩士階段，有24%的學(xué)生認(rèn)為其院校的師資隊(duì)伍中嚴(yán)重缺乏實(shí)戰(zhàn)教師，有16%的學(xué)生認(rèn)為實(shí)戰(zhàn)教師數(shù)量充足；在博士階段，這一比例進(jìn)一步改善，只有15%的學(xué)生認(rèn)為師資隊(duì)伍中嚴(yán)重缺乏 圖3-33課程開設(shè)占比圖3-34安全測(cè)評(píng)相關(guān)課程數(shù)量 網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書一安全測(cè)試評(píng)估篇另一方面，在欠缺的安全測(cè)試評(píng)估能力方面，超過30%的學(xué)生認(rèn)為自身在滲透測(cè)試，病毒與木馬分析，逆向分析，漏洞挖掘、分析和利用等方面的能力有所欠缺。相比之僅有9%的學(xué)生認(rèn)為自身在加解密方面的能力不足。如圖3-35所示。病毒與木馬分析逆向分析追蹤溯源電子取證代碼審計(jì)Web安全操作系統(tǒng)安全以上數(shù)據(jù)可以說明，我國(guó)大部分院校開設(shè)了的安全測(cè)試相關(guān)課程。這些課程主要集安全測(cè)評(píng)相關(guān)教材的編寫出版情況可以在一定程度上反映出目前院校安全測(cè)試評(píng)估人才培養(yǎng)現(xiàn)狀。總體而言，安全測(cè)評(píng)相關(guān)的教材存在不同領(lǐng)域分布不均、院校使用率不在網(wǎng)絡(luò)安全相關(guān)專業(yè)的在校學(xué)生中，僅有43%的學(xué)生能夠列舉出與安全測(cè)試評(píng)估相關(guān)的教材，34%的學(xué)生認(rèn)為自己沒有接觸過安全測(cè)試評(píng)估相關(guān)教材，16%的學(xué)生不清楚自己是否接觸過。這說明目前我國(guó)網(wǎng)絡(luò)安全相關(guān)專業(yè)對(duì)于安全測(cè)試評(píng)估相關(guān)教材的使用 第三章院校安全測(cè)評(píng)人才培養(yǎng)現(xiàn)狀分析校學(xué)生對(duì)安全測(cè)評(píng)教材缺乏接觸；同時(shí)，部分學(xué)生不清楚自己是否接觸過相關(guān)教材，這體現(xiàn)出學(xué)生對(duì)安全測(cè)評(píng)這一概念以及對(duì)應(yīng)教材缺乏具體的認(rèn)識(shí)，安全測(cè)評(píng)相關(guān)教材的編寫和使用需要進(jìn)一步提高針對(duì)性。如圖3-36所示。此外，能夠列舉出安全測(cè)評(píng)相關(guān)教材的在校學(xué)生中，能列舉出的數(shù)量也較少，80%的學(xué)生只能列舉出1本安全測(cè)評(píng)相關(guān)教材，僅有6%的學(xué)生列舉出兩本以上。這體現(xiàn)出院校安全測(cè)評(píng)教材的使用量仍然較少，學(xué)生獲取安全測(cè)評(píng)知識(shí)的渠道亟待增強(qiáng)。如圖3-37所示。2.針對(duì)安全測(cè)評(píng)出版書籍較少據(jù)調(diào)查，目前在售的名稱直接包含“安全測(cè)評(píng)”關(guān)鍵詞的相關(guān)書籍?dāng)?shù)量為12本，且其1否2是3網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)體系指南是4網(wǎng)絡(luò)安全測(cè)評(píng)培訓(xùn)教程否5網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)師培訓(xùn)教材否6否7網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0定級(jí)測(cè)評(píng)實(shí)施與運(yùn)維否8是9否否網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求應(yīng)用指南否否 第三章院校安全測(cè)評(píng)人才培養(yǎng)現(xiàn)狀分析網(wǎng)絡(luò)與內(nèi)容安全是所有課程中相關(guān)教材數(shù)量最多的，總數(shù)達(dá)到61本；其次是軟件安全與測(cè)試，共有44本相關(guān)教材；其他課程的教材數(shù)量與這兩類課程相比大幅減少，密碼學(xué)及工程實(shí)踐、區(qū)塊鏈工程實(shí)踐、網(wǎng)絡(luò)攻防原理與技術(shù)3類課程教材數(shù)量在10-20本之間；數(shù)據(jù)庫(kù)系統(tǒng)原理與安全、工業(yè)互聯(lián)網(wǎng)安全、漏洞分析技術(shù)實(shí)驗(yàn)3類課程教材數(shù)量在10本以下，其中漏洞分析技術(shù)實(shí)驗(yàn)相關(guān)教材數(shù)量最少，僅為4本。 力評(píng)價(jià)GPE方法。基于安全測(cè)評(píng)GPE方法，對(duì)安全測(cè)評(píng)人才涉及的四類崗位，進(jìn)行多 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法專業(yè)能力(ProfessionalAbility)和評(píng)價(jià)等級(jí)(EvaluationLevel)三個(gè)方面，形成了一種綜理測(cè)試設(shè)計(jì)尖施通用能力(GeneralAbility)是指在不同崗位和工作環(huán)境中都需定義說明學(xué)、編程語言等知識(shí)，從而建立一個(gè)多領(lǐng)域的復(fù)雜知識(shí)系統(tǒng)。定義說明專業(yè)能力(ProfessionalAbility)是指綜合思想意識(shí)、理論知識(shí)、實(shí)戰(zhàn)技能的能力集合，支撐人才在測(cè)試設(shè)計(jì)、測(cè)試實(shí)施和測(cè)試報(bào)告的關(guān)鍵環(huán)節(jié)中高效、準(zhǔn)確地完成任務(wù)。如表4-2所示。定義說明是指安全測(cè)評(píng)崗位人才根據(jù)項(xiàng)目的安全需求和目標(biāo)，設(shè)計(jì)出全面且有針對(duì)性的安全測(cè)試方案的能力。2.能深入理解系統(tǒng)架構(gòu)，業(yè)務(wù)流程，根據(jù)業(yè)務(wù)需求，制定是指安全測(cè)評(píng)崗位人才根據(jù)測(cè)試方案，運(yùn)用測(cè)評(píng)工具和技術(shù)，對(duì)測(cè)試用例進(jìn)行測(cè)試的能力。2.靈活運(yùn)用專業(yè)知識(shí)和技術(shù)，執(zhí)行脆弱性測(cè)試、滲透測(cè)試、漏洞分析等具體任務(wù)；3.具備在測(cè)評(píng)過程中及時(shí)發(fā)現(xiàn)并解決問題的能力，高效、有序地完成測(cè)評(píng)任務(wù)，最大化利用時(shí)間和資源。是指能整理和分析測(cè)試過程中收集的數(shù)據(jù)，并通過客觀描述測(cè)試過程、發(fā)現(xiàn)問題、影響1.能夠通過收集測(cè)試數(shù)據(jù)準(zhǔn)確分析測(cè)評(píng)結(jié)果，識(shí)別出關(guān)鍵安全問題和潛在風(fēng)險(xiǎn)；2.具備撰寫清晰、全面、結(jié)構(gòu)化的測(cè)評(píng)報(bào)告的能力，確保報(bào)告內(nèi)容詳實(shí)、邏輯嚴(yán)謹(jǐn)；3.能基于測(cè)評(píng)結(jié)果提出切實(shí)可行的安全改進(jìn)建議和解決方評(píng)價(jià)等級(jí)(EvaluationLevel)是指對(duì)安全測(cè)評(píng)人才在通用能力和專業(yè)能力兩個(gè)方面進(jìn) 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法以繼續(xù)分層，反映出安全測(cè)評(píng)人才能力水平。這種等級(jí)分類不僅有助于用人單位明確人才的當(dāng)前能力水平，根據(jù)不同的能力水平安排崗位，也為人才發(fā)展方向提供了指導(dǎo)。如表4-3所示。定義說明高級(jí)全架構(gòu)設(shè)計(jì)等；成功。面對(duì)新型安全挑戰(zhàn)時(shí)表現(xiàn)創(chuàng)新能力，能夠提出和實(shí)施創(chuàng)新的解決方案；略進(jìn)步；中級(jí)配置評(píng)估等；溝通和協(xié)調(diào)團(tuán)隊(duì)成員，共同完成任務(wù)；3.具備較強(qiáng)的問題解決能力，能夠識(shí)別和分析安全問題并提本的安全配置檢查等技能；2.熟練掌握和使用基礎(chǔ)的網(wǎng)絡(luò)安全工具；3.在團(tuán)隊(duì)合作中表現(xiàn)出積極性，能夠遵循指示并完GPE方法為安全測(cè)評(píng)崗位人才分類分級(jí)的評(píng)價(jià)提供了思路，基于GPE評(píng)價(jià)模型，可晰地了解自己的現(xiàn)狀和未來發(fā)展方向。未來，隨著技術(shù)的不斷進(jìn)步和安全需求的變化，GPE方法將持續(xù)優(yōu)化和完善，為網(wǎng)絡(luò)安全人才的評(píng)估和培養(yǎng)提供科學(xué)有效的支持。11.使用自動(dòng)化工具和手動(dòng)技術(shù)掃描系統(tǒng)和應(yīng)用程序，發(fā)現(xiàn)并評(píng)估潛在的安全漏洞；2.模擬真實(shí)黑客攻擊，評(píng)估系統(tǒng)的弱點(diǎn)和易受攻擊面。2安全攻防工程師1.深入研究新興的安全漏洞和攻擊技術(shù)；2.評(píng)估漏洞的危害程度和潛在影響，并推導(dǎo)出相應(yīng)的防護(hù)策略和建31.評(píng)估和審查信息系統(tǒng)的等級(jí)保護(hù)合規(guī)性；2.制定符合等級(jí)保護(hù)要求的安全標(biāo)準(zhǔn)和流程。4安全產(chǎn)品測(cè)評(píng)工程師1.進(jìn)行安全產(chǎn)品的功能測(cè)試，識(shí)別潛在的安全漏洞和風(fēng)險(xiǎn)；2.參與安全評(píng)估流程，確保產(chǎn)品在設(shè)計(jì)、開發(fā)和發(fā)布階段的安全 X級(jí)X層(E)專業(yè)能力(P)通用能力理論知識(shí)實(shí)戰(zhàn)技能思想意識(shí) 網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書一安全測(cè)試評(píng)估篇高級(jí)九層八層率的全面提升。中級(jí)六層攻堅(jiān)克難、領(lǐng)域?qū)＜椅鍖铀膶迂?zé)問題的推進(jìn)解決。 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法三層極溝通并有效解決。二層一層為組織機(jī)構(gòu)選拔、培養(yǎng)人才提供參考，在滲透測(cè)試三級(jí)九層分層體系基礎(chǔ)上，給出不同高位人才的評(píng)價(jià)要求和評(píng)價(jià)方法。高級(jí)人才的評(píng)價(jià)要求如表4-7所示。專業(yè)能力(P)通用能理論知識(shí)1.了解網(wǎng)絡(luò)安全相關(guān)概念及發(fā)展歷程，了解國(guó)內(nèi)外網(wǎng)絡(luò)安全法律法規(guī)和政策；工智能、區(qū)塊鏈等前沿技術(shù)應(yīng)用的主要安全威脅；1.精通網(wǎng)絡(luò)體系、通信協(xié)學(xué)基礎(chǔ)等相關(guān)網(wǎng)絡(luò)安全技術(shù)基本知識(shí)；2.精通漏洞管理、滲透測(cè)試方法和技術(shù)；3.精通理解網(wǎng)絡(luò)安全、滲透測(cè)試行業(yè)發(fā)展趨勢(shì)及網(wǎng)絡(luò)補(bǔ)方法；3.熟悉典型行業(yè)業(yè)務(wù)特點(diǎn)與安全態(tài)勢(shì)；4.精通安全體系化分析的實(shí)戰(zhàn)技能 1.跨部門統(tǒng)籌協(xié)調(diào)大規(guī)模多業(yè)務(wù)高防護(hù)場(chǎng)景滲透測(cè)試獲得共贏；方案落地應(yīng)用，并持續(xù)推動(dòng)擴(kuò)大應(yīng)用場(chǎng)景。業(yè)務(wù)可持續(xù)發(fā)展的視角給出體系化解決方案思路； 網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇專業(yè)能力(P)通用能力思想意識(shí)1.強(qiáng)烈的使命感，深度洞察和理解網(wǎng)絡(luò)安全及滲透測(cè)試相關(guān)技術(shù)方向和趨勢(shì)；2.從行業(yè)視角思考問題，持續(xù)探索滲透測(cè)試新技術(shù)新方法，展方向；3.具備資源統(tǒng)籌、協(xié)調(diào)能力，積極尋找長(zhǎng)期共贏點(diǎn)，激勵(lì)并合理分配滿足各方訴專業(yè)能力(P)通用能理論知識(shí)1.了解網(wǎng)絡(luò)安全相關(guān)概念及發(fā)展歷程，了解國(guó)內(nèi)外網(wǎng)絡(luò)安全法律法規(guī)和政策；應(yīng)用的主要安全威脅；1.熟悉網(wǎng)絡(luò)體系、通信協(xié)學(xué)基礎(chǔ)等相關(guān)網(wǎng)絡(luò)安全技術(shù)基本知識(shí)；2.精通漏洞管理、滲透測(cè)試方法和技術(shù)；3.精通理解網(wǎng)絡(luò)安全、滲攻防原理。1.精通常見漏洞原理和修補(bǔ)方法；維度和基本方法；3.熟悉典型行業(yè)業(yè)務(wù)特點(diǎn)與安全態(tài)勢(shì)。實(shí)戰(zhàn)技能1.創(chuàng)新滲透測(cè)試技術(shù)和方法，并達(dá)到行業(yè)領(lǐng)先水平；方案具有前瞻性。效激勵(lì)各方獲得共贏；1.結(jié)合場(chǎng)景從行業(yè)視角和決方案；建設(shè)性意見。思想意識(shí)1.有使命感，在網(wǎng)絡(luò)安全和滲透測(cè)試領(lǐng)不斷深耕，能夠分解目標(biāo)并指引有效的體系化2.有全局意識(shí)和前瞻性視野，推動(dòng)滲透測(cè)試關(guān)鍵項(xiàng)目建立，體系；應(yīng)用3.關(guān)注滲透測(cè)試領(lǐng)域內(nèi)人才成長(zhǎng)和技能組成，具備建設(shè)人才梯隊(duì)的意識(shí)和能專業(yè)能力(P)通用能理論知識(shí)發(fā)展歷程，了解國(guó)內(nèi)外網(wǎng)絡(luò)安全法律法規(guī)和政策；用的主要安全威脅；2.精通漏洞管理、滲透測(cè)試方法和技術(shù)； 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法專業(yè)能力(P)通用能理論知識(shí)3.熟悉網(wǎng)絡(luò)安全、滲透測(cè)3.了解典型行業(yè)業(yè)務(wù)特點(diǎn)實(shí)戰(zhàn)技能1.滲透測(cè)試技術(shù)應(yīng)用和方目標(biāo)。1.統(tǒng)籌協(xié)調(diào)大規(guī)模場(chǎng)景滲備攻防全局性視角；2.推動(dòng)滲透測(cè)試相關(guān)方案1.結(jié)合場(chǎng)景從中短期體系建設(shè)視角給出解決方案；思想意識(shí)1.有創(chuàng)新意識(shí)，體系化和滲透測(cè)試架構(gòu)能力突出，持續(xù)優(yōu)化滲透測(cè)試技術(shù)和業(yè)務(wù)體系；2.具備攻防全局視角，具備攻防同步思考的意識(shí)和能力；3.具備跨部門協(xié)同、有效溝通、影響相關(guān)方的能力和技巧，積極組織協(xié)同推進(jìn)，促成有4.3.4滲透測(cè)試工程師崗位中級(jí)人才評(píng)價(jià)專業(yè)能力(P)通用能理論知識(shí)1.熟悉滲透測(cè)試基本法規(guī)2.熟悉網(wǎng)絡(luò)系統(tǒng)架構(gòu)及3.熟悉測(cè)試需求分析的一般方法；4.熟悉團(tuán)隊(duì)管理方法；5.熟悉項(xiàng)目管理方法。1.精通掌握常見軟硬件和術(shù)，包括對(duì)稱和非對(duì)稱加密。等滲透測(cè)試方法；發(fā)展趨勢(shì)。1.精通常見漏洞原理和修補(bǔ)方法；2.精通滲透測(cè)試報(bào)告編制要素；價(jià)維度和基本方法。 專業(yè)能力(P)通用能實(shí)戰(zhàn)技能1.帶領(lǐng)團(tuán)隊(duì)對(duì)中型項(xiàng)目的關(guān)鍵點(diǎn)進(jìn)行分析拆解，完成滲透測(cè)試方案設(shè)計(jì)；2.統(tǒng)籌協(xié)調(diào)并完成較復(fù)雜1.統(tǒng)籌協(xié)調(diào)較復(fù)雜滲透測(cè)解決困難；2.推動(dòng)滲透測(cè)試相關(guān)方案系建設(shè)視角給出解決方案；思想意識(shí)1.有強(qiáng)烈的目標(biāo)導(dǎo)向意識(shí)，以結(jié)果為導(dǎo)向并輸入最優(yōu)解；2.有較強(qiáng)的攻關(guān)能力，主動(dòng)思考并能夠解決工作中碰到的滲透測(cè)試相關(guān)核心難題；續(xù)發(fā)展。專業(yè)能力(P)通用能理論知識(shí)1.熟悉滲透測(cè)試基本法規(guī)2.熟悉網(wǎng)絡(luò)系統(tǒng)架構(gòu)及功能、滲透測(cè)試流程和設(shè)3.熟悉測(cè)試需求分析的一般方法；4.熟悉團(tuán)隊(duì)管理方法；1.熟練掌握常見軟硬件和等滲透測(cè)試方法；補(bǔ)方法；2.熟悉滲透測(cè)試報(bào)告編制3.熟悉系統(tǒng)加固方案評(píng)價(jià)實(shí)戰(zhàn)技能1.帶領(lǐng)團(tuán)隊(duì)對(duì)中型項(xiàng)目的關(guān)鍵點(diǎn)進(jìn)行分析拆解，完成滲透測(cè)試方案設(shè)計(jì)；2.在測(cè)試中能夠引入前沿?cái)嗔?，結(jié)合ROI和風(fēng)險(xiǎn)優(yōu)先級(jí)給出整改方案；2.帶領(lǐng)團(tuán)隊(duì)完成評(píng)估報(bào)告思想意識(shí)防護(hù)方案；2.關(guān)注流程、規(guī)范和解決方案的持續(xù)性改進(jìn)；3.熟悉滲透測(cè)試行業(yè)發(fā)展?fàn)顩r，探索和應(yīng)用新方法新技術(shù)提專業(yè)能力(P)通用能理論知識(shí)1.熟悉滲透測(cè)試基本法規(guī)1.熟練掌握常見軟硬件和和方法；和修補(bǔ)方法； 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法專業(yè)能力(P)通用能理論知識(shí)2.熟悉網(wǎng)絡(luò)系統(tǒng)架構(gòu)及3.了解測(cè)試需求分析的一般方法；4.了解團(tuán)隊(duì)管理方法；5.了解項(xiàng)目管理方法。包括對(duì)稱和非對(duì)稱加密；盒等滲透測(cè)試方法；2.熟悉滲透測(cè)試報(bào)告編制3.了解系統(tǒng)加固方案評(píng)價(jià)維度和基本方法。實(shí)戰(zhàn)技能1.帶領(lǐng)團(tuán)隊(duì)完成中型項(xiàng)目的滲透測(cè)試方案設(shè)計(jì)；方案的編寫。1.能夠根據(jù)具體場(chǎng)景，綜具，完成滲透測(cè)試；技術(shù)提升測(cè)試效率。1.能夠判斷測(cè)試中發(fā)現(xiàn)的風(fēng)險(xiǎn)的優(yōu)先級(jí)，并能因地制宜的給出整改建議；2.帶領(lǐng)團(tuán)隊(duì)完成評(píng)估報(bào)告編制。思想意識(shí)1.有風(fēng)險(xiǎn)意識(shí)，能夠意識(shí)到安全風(fēng)險(xiǎn)問題，并制定方案解決問題；2.強(qiáng)烈的主動(dòng)意識(shí)，攻堅(jiān)落地有難度的滲透測(cè)試項(xiàng)目或技術(shù)課題3.有技術(shù)能力和經(jīng)驗(yàn)主動(dòng)沉淀和輸出意識(shí)，精通滲透測(cè)試技術(shù)，并指導(dǎo)團(tuán)隊(duì)提升為組織機(jī)構(gòu)選拔、培養(yǎng)人才提供參考，在滲透測(cè)試三級(jí)九層分層體系基礎(chǔ)上，給出不同高位人才的評(píng)價(jià)要求和評(píng)價(jià)方法。中級(jí)人才的評(píng)價(jià)要求如表4-9所示。專業(yè)能力(P)通用能理論知識(shí)1.了解滲透測(cè)試基本法規(guī)典型網(wǎng)絡(luò)架構(gòu)及功能；3.熟悉滲透測(cè)試的基本要素。1.熟悉常見漏洞利用技術(shù)和攻擊技術(shù)；2.了解社會(huì)工程學(xué)；等滲透測(cè)試方法。1.熟悉常用系統(tǒng)修補(bǔ)和加固的基本方法；2.熟悉滲透測(cè)試報(bào)告編制要素。 網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇專業(yè)能力(P)通用能實(shí)戰(zhàn)技能1.獨(dú)立完成單個(gè)系統(tǒng)的滲透測(cè)試方案設(shè)計(jì)；2.獨(dú)立完成滲透測(cè)試方案的編寫。1.熟練應(yīng)用各種漏洞掃描工具開展?jié)B透測(cè)試；測(cè)試的效率和準(zhǔn)確性；3.可以應(yīng)用POC/EXP等方法。1.能夠?qū)y(cè)試中發(fā)現(xiàn)的2.能獨(dú)立完成評(píng)估報(bào)告編制。思想意識(shí)1.具備獨(dú)立思考能力，具備較強(qiáng)的自驅(qū)力，對(duì)同類工作任務(wù)能夠做到舉一反三；2.積極跟進(jìn)業(yè)界滲透測(cè)試、安全漏洞等相關(guān)進(jìn)展，注重知識(shí)和經(jīng)驗(yàn)沉淀；3.熟練掌握滲透測(cè)試相關(guān)工具和技術(shù)，根據(jù)需要制定不同的滲透測(cè)試方案。專業(yè)能力(P)通用能理論知識(shí)1.了解滲透測(cè)試基本法規(guī)和典型網(wǎng)絡(luò)架構(gòu)及功能；3.熟悉滲透測(cè)試的基本要素。1.熟悉常見漏洞利用技術(shù)和攻擊技術(shù)；等滲透測(cè)試方法。1.熟悉常用系統(tǒng)修補(bǔ)和加固的基本方法；2.熟悉滲透測(cè)試報(bào)告編制要素。實(shí)戰(zhàn)技能測(cè)試工具準(zhǔn)備等工作；2.獨(dú)立完成滲透測(cè)試方案1.熟練應(yīng)用各種漏洞掃描工具開展?jié)B透測(cè)試；測(cè)試的效率和準(zhǔn)確性。1.能夠?qū)y(cè)試中發(fā)現(xiàn)的改建議；估報(bào)告編制。思想意識(shí)1.具備獨(dú)立思考能力，有自驅(qū)力，能夠在少量指導(dǎo)下達(dá)成工作目標(biāo)；2.滲透測(cè)試相關(guān)工作高效完成，有所沉淀和分享；3.熟悉本職工作流程，能夠發(fā)現(xiàn)問題并積極提出改進(jìn)意專業(yè)能力(P)通用能理論知識(shí)1.了解滲透測(cè)試基本法規(guī)和典型網(wǎng)絡(luò)架構(gòu)及功能；3.了解滲透測(cè)試的基本1.了解常見漏洞利用技術(shù)和攻擊技術(shù)；1.了解常用系統(tǒng)修補(bǔ)和加固的基本方法；2.了解滲透測(cè)試報(bào)告編制要素。 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法專業(yè)能力(P)通用能理論知識(shí)實(shí)戰(zhàn)技能1.在指導(dǎo)下能完成測(cè)試需求分析、確定測(cè)試范圍與1.熟練應(yīng)用各種漏洞掃描工具開展?jié)B透測(cè)試；能夠判斷測(cè)試中發(fā)現(xiàn)的風(fēng)改建議。思想意識(shí)1.具備良好的安全意識(shí)和行為準(zhǔn)則，有主動(dòng)意識(shí)和學(xué)習(xí)能力；2.有風(fēng)險(xiǎn)利用成本、利用難度、對(duì)業(yè)務(wù)影響等意識(shí)，對(duì)存疑處能及時(shí)反饋 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法4.4.2崗位分層級(jí)方式描述高級(jí)四層果轉(zhuǎn)化為可落地的技術(shù)方案和策略，為企業(yè)的網(wǎng)絡(luò)安全防御體系提對(duì)性的應(yīng)對(duì)策略和解決方案，協(xié)調(diào)各方資源進(jìn)行快速響應(yīng)，確保威脅得4.設(shè)計(jì)并實(shí)施適應(yīng)企業(yè)發(fā)展和業(yè)務(wù)需求的安全架構(gòu)方案，評(píng)估現(xiàn)有網(wǎng)絡(luò)安全體系架構(gòu)三層源工作。 三層中級(jí)二層的漏洞類型進(jìn)行研究和跟蹤，驗(yàn)證漏洞的可利用級(jí)網(wǎng)絡(luò)安全人員進(jìn)行技術(shù)指導(dǎo)和實(shí)踐輔導(dǎo)，跟進(jìn)培訓(xùn)效果，根初級(jí)5.協(xié)助完成合規(guī)與審計(jì)中安全風(fēng)險(xiǎn)的檢測(cè)評(píng)估與滲透測(cè)試網(wǎng)絡(luò)安全攻防工程師高級(jí)人才應(yīng)具備全局與前瞻視野，洞悉行業(yè)未來發(fā)展趨勢(shì)，引領(lǐng)技術(shù)的革新和進(jìn)步，同時(shí)精通各類攻防技巧與編程藝術(shù)，能夠?yàn)槠髽I(yè)制定并實(shí)施前瞻性的安全規(guī)劃與風(fēng)險(xiǎn)防控方案的能力，如表4-11所示。 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法專業(yè)能力(P)通用能理論知識(shí)實(shí)際的安全架構(gòu)；行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，深入理解企業(yè)的業(yè)務(wù)流程和運(yùn)營(yíng)模式，使安全策略與之緊密結(jié)合，熟悉安全策略管理的制定和審核流程。剖析復(fù)雜的網(wǎng)絡(luò)安全威脅；知識(shí)，熟悉各類惡意軟件、僵尸網(wǎng)絡(luò)、APT攻擊的特點(diǎn)和應(yīng)對(duì)方法。2.精通網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)、系統(tǒng)安全知識(shí)、應(yīng)用安全知識(shí)、各種網(wǎng)絡(luò)安全架構(gòu)法規(guī)及標(biāo)準(zhǔn)規(guī)范等。實(shí)戰(zhàn)技能踐經(jīng)驗(yàn)，熟練掌握安全技術(shù)和產(chǎn)品的集成與應(yīng)用，能夠良好的系統(tǒng)分析和問題解決能力，能快速應(yīng)對(duì)架構(gòu)優(yōu)化中的挑戰(zhàn)；2.具備卓越的戰(zhàn)略思維和風(fēng)險(xiǎn)評(píng)估能力，準(zhǔn)確把握安策略符合法規(guī)要求。應(yīng)對(duì)時(shí)，應(yīng)具備精湛的逆向挖掘威脅的細(xì)節(jié)，熟練運(yùn)用力，在高壓環(huán)境下迅速做出復(fù)雜多變的威脅場(chǎng)景；脅檢測(cè)工具和技術(shù)，如沙箱分析、行為監(jiān)測(cè)等，具備強(qiáng)大的邏輯推理和數(shù)據(jù)分析能力，能夠從海量數(shù)據(jù)中識(shí)別威脅線索。1.擁有深厚的技術(shù)功底和豐富的實(shí)踐經(jīng)驗(yàn)，能夠準(zhǔn)確評(píng)估和分析。帶隊(duì)完成重大項(xiàng)目的安全評(píng)審與風(fēng)險(xiǎn)評(píng)估工作。思想意識(shí)1.堅(jiān)守職業(yè)道德和職業(yè)操守，不進(jìn)行非法攻擊和侵犯他人隱私的行為，確保工作符合相關(guān)的法律法規(guī)；行業(yè)趨勢(shì)的敏感度，不斷提升技術(shù)水平；—76— 高級(jí)四層(E)專業(yè)能力(P)通用能力思想意識(shí)4.具備處理安全事件和突發(fā)情況的能力，能夠迅速響應(yīng)并采取相應(yīng)的應(yīng)急措施；專業(yè)能力(P)通用能力理論知識(shí)1.深入了解網(wǎng)絡(luò)安全體系架構(gòu)和相關(guān)標(biāo)準(zhǔn)，如ISO27001等；2.掌握最新的網(wǎng)絡(luò)安全威脅和攻擊趨勢(shì)，以及相應(yīng)的防御策略；務(wù)需求相結(jié)合；手段和防御方式，熟知各種網(wǎng)絡(luò)攻擊和防御的原理，深入理解網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和原理，熟練掌握各類安全漏洞和風(fēng)險(xiǎn)的利用方法及防御方式，能夠針對(duì)多種攻防場(chǎng)徑，并具備編制防御和應(yīng)急方案所需的理論知識(shí)。證授權(quán)、訪問控制等；和安全開發(fā)最佳實(shí)踐，能夠從開發(fā)角度評(píng)估應(yīng)用程序的和風(fēng)險(xiǎn)有一定的了解；擊類型、手法以及其特征和應(yīng)對(duì)方法。熟練掌握應(yīng)急響標(biāo)準(zhǔn)操作程序。對(duì)各類操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)有深入了解。密碼學(xué)、人工智能在安全中的應(yīng)用等；最新信息；實(shí)戰(zhàn)技能并掌握其防火原理；2.具備良好的系統(tǒng)架構(gòu)設(shè)計(jì)能力，能夠整合不同的安全組件；3.熟練掌握安全策略的配的策略定制；式，深刻理解各類漏洞和風(fēng)險(xiǎn)的原理及利用方式，熟練的工具和方法；術(shù)和手段，如網(wǎng)絡(luò)掃描、漏洞利用、社會(huì)工程學(xué)等；BurpSuite等；能夠根據(jù)需求開發(fā)定制化的術(shù)進(jìn)行評(píng)估和驗(yàn)證；2.擁有良好的創(chuàng)新思維和問題解決能力，能夠提出針評(píng)估方案；3.具有較為敏銳的風(fēng)險(xiǎn)發(fā)現(xiàn)能力、風(fēng)險(xiǎn)評(píng)估能力，精通各類風(fēng)險(xiǎn)評(píng)估工具的使用 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法專業(yè)能力(P)通用能實(shí)戰(zhàn)技能掌握各類安全工具的運(yùn)行原者/防御者視角充分分析安全和規(guī)劃，以及安全防御架構(gòu)測(cè)試工具和腳本；5.熟練掌握網(wǎng)絡(luò)協(xié)議和系統(tǒng)架構(gòu)，能夠快速定位和分析安全問題；析工具，能夠快速識(shí)別異常能力，在高壓下保持冷靜和果斷決策。精通數(shù)據(jù)恢復(fù)和系統(tǒng)修復(fù)技術(shù)，保障系統(tǒng)的快速恢復(fù)。已收集的信息中快速發(fā)現(xiàn)存夠獨(dú)立或帶隊(duì)完成復(fù)雜的風(fēng)險(xiǎn)評(píng)估工作。思想意識(shí)關(guān)的法律法規(guī)；行業(yè)趨勢(shì)的敏感度，不斷提升技術(shù)水平；4.具備處理安全事件和突發(fā)情況的能力，能夠迅速響應(yīng)并采取相應(yīng)的應(yīng)急措施；4.4.4網(wǎng)絡(luò)安全攻防工程師崗位中級(jí)人才評(píng)價(jià)專業(yè)能力(P)通用能力理論知識(shí)1.熟悉網(wǎng)絡(luò)攻擊的常見手法和趨勢(shì)，了解各類惡意軟件的特征和行為，掌握數(shù)據(jù)1.掌握多種編程語言和開發(fā)框架，了解操作系統(tǒng)的底層原理和機(jī)制，掌握常見的加密和解密算法；1.了解網(wǎng)絡(luò)安全的基本原開發(fā)的生命周期和流程，熟悉數(shù)據(jù)庫(kù)操作和數(shù)據(jù)處理技術(shù)， 專業(yè)能力(P)通用能理論知識(shí)段和防御方式，了解各種網(wǎng)了解網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和原案設(shè)計(jì)的理論知識(shí)。3.掌握事件調(diào)查的流程和技術(shù)和手段，具備一定的系全事件調(diào)查與處理。定了解，便于對(duì)工具進(jìn)行開發(fā)和優(yōu)化；能夠支撐完成簡(jiǎn)單的風(fēng)險(xiǎn)評(píng)實(shí)戰(zhàn)技能段和方式，理解各類漏洞和風(fēng)險(xiǎn)的原理及利用方式，熟悉各類安全防護(hù)工具的運(yùn)行原理，具備安全攻擊和防御知識(shí)應(yīng)用實(shí)戰(zhàn)的能力，能夠參與簡(jiǎn)單攻擊戰(zhàn)法和路徑的設(shè)計(jì)和規(guī)劃以及安全防御架1.掌握多種漏洞挖掘工具和技術(shù)，具備較強(qiáng)的代碼審行逆向分析，熟悉常見漏洞的利用方法和防范措施；3.具備較強(qiáng)的事件應(yīng)急處理能力，能夠運(yùn)用數(shù)據(jù)恢復(fù)的數(shù)據(jù)分析和溯源，善于與團(tuán)隊(duì)協(xié)作，協(xié)同調(diào)查和處理安全事件。1.掌握至少一種編程語言，如Python、C++等，具備良好的代碼規(guī)范和編程習(xí)慣，熟悉常見的安全算法和加密技術(shù)，能夠進(jìn)行跨平臺(tái)的工具開發(fā)，能夠完成工具的開發(fā)和優(yōu)化；思想意識(shí)關(guān)的法律法規(guī)；行業(yè)趨勢(shì)的敏感度，不斷提升技術(shù)水平；4.具備處理安全事件和突發(fā)情況的能力，能夠迅速響應(yīng)并采取相應(yīng)的應(yīng)急措施； 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法如表4-13所示。專業(yè)能力(P)通用能理論知識(shí)完成信息收集工作。1.了解各類常見漏洞的利用方法，熟悉各類漏洞掃描工具的原理和使用方法；2.熟悉監(jiān)測(cè)工具的原理和參數(shù)配置，了解異常行為的特征模式，熟知應(yīng)急流程和1.了解各類漏洞的形成機(jī)制級(jí)評(píng)級(jí)標(biāo)準(zhǔn)；實(shí)戰(zhàn)技能與渠道，熟悉基本的網(wǎng)絡(luò)掃分析數(shù)據(jù)的能力。對(duì)性的攻擊和防御； 思想意識(shí)關(guān)的法律法規(guī)；行業(yè)趨勢(shì)的敏感度，不斷提升技術(shù)水平；4.具備處理安全事件和突發(fā)情況的能力，能夠迅速響應(yīng)并采取相應(yīng)的應(yīng)急措施； 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法人數(shù)約為8540人。4.5.2崗位分層級(jí)方式描述 師和高級(jí)等級(jí)保護(hù)測(cè)評(píng)師。為提升組織溝通、處置及管理效率，為網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)師提供清晰的職業(yè)發(fā)展路徑，有序促進(jìn)企業(yè)等級(jí)保護(hù)測(cè)評(píng)能力的提升，等級(jí)保護(hù)測(cè)評(píng)師崗位劃分為三個(gè)級(jí)別四層。如表4-14所示。高級(jí)四層力、戰(zhàn)略思維、創(chuàng)新能力和團(tuán)隊(duì)管理能力；體系設(shè)計(jì)和管理體系設(shè)計(jì)。1.熟悉和跟蹤國(guó)內(nèi)、外網(wǎng)絡(luò)安全的相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)的發(fā)展；2.對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn)有較為深入的理解；驗(yàn)和研究創(chuàng)新能力；經(jīng)驗(yàn)，具有較強(qiáng)的組織協(xié)調(diào)和管理能力；中級(jí)大型場(chǎng)景和新業(yè)務(wù)環(huán)境的等級(jí)測(cè)評(píng)能力；具備網(wǎng)絡(luò)安全測(cè)評(píng)方案編制能力、網(wǎng)絡(luò)安全測(cè)評(píng)報(bào)告編制能力；2.正確理解網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系安全相關(guān)標(biāo)準(zhǔn)的發(fā)展；3.掌握網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)，對(duì)網(wǎng)絡(luò)安全“三化六防”有較深理解，熟悉網(wǎng)絡(luò)安全測(cè)評(píng)方法和網(wǎng)絡(luò)安全滲透測(cè)試方法，具有網(wǎng)絡(luò)安全技術(shù)研究的基礎(chǔ)和實(shí)踐經(jīng)驗(yàn)；強(qiáng)的組織協(xié)調(diào)和溝通能力；5.能夠獨(dú)立開發(fā)測(cè)評(píng)指導(dǎo)書，熟悉測(cè)評(píng)指導(dǎo)書的開發(fā)、版本控制和評(píng)審流程；6.能夠根據(jù)等級(jí)保護(hù)對(duì)象的特點(diǎn)，編制7.具有綜合分析和判斷的能力，能夠依備較強(qiáng)的文字表達(dá)能力；化的整改建議。 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法具備查閱公開的安全漏洞報(bào)告，梳理漏洞分析報(bào)告能力；具備檢索已公開的漏洞驗(yàn)證程序能力；具備標(biāo)記測(cè)試結(jié)果的漏洞等級(jí)能力；具備檢索已披露漏洞的測(cè)試方法、工具能行環(huán)境能力；具備使用常規(guī)化測(cè)試工具(漏洞掃描器/滲透測(cè)試工具集、協(xié)議分析儀等)能力；能根據(jù)滲透測(cè)試流程各環(huán)節(jié)規(guī)范開展測(cè)試工作；具備云計(jì)算環(huán)境、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工控系統(tǒng)等的漏洞挖掘能力；1.掌握等級(jí)測(cè)評(píng)方法，能夠根據(jù)測(cè)評(píng)指計(jì)測(cè)試用例獲取所需測(cè)試數(shù)據(jù)；3.能夠按照?qǐng)?bào)告編制要求整理測(cè)評(píng)數(shù)據(jù)；入點(diǎn)進(jìn)行測(cè)試；并記錄；6.能識(shí)別常見漏洞并初步判斷安全風(fēng)險(xiǎn)；準(zhǔn)體系的能力；據(jù)安全測(cè)評(píng)、物理安全測(cè)評(píng)的能力；1.了解網(wǎng)絡(luò)安全等級(jí)保護(hù)的相關(guān)政策、2.熟悉網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)；3.熟悉網(wǎng)絡(luò)安全產(chǎn)品分類，了解其功能、特點(diǎn)和操作方法；4.掌握等級(jí)測(cè)評(píng)方法，能夠根據(jù)測(cè)評(píng)指設(shè)計(jì)測(cè)試用例獲取所需測(cè)試數(shù)據(jù)；6.能夠按照?qǐng)?bào)告編制要求整理測(cè)評(píng)數(shù)據(jù)。 網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書—安全測(cè)試評(píng)估篇高級(jí)通用能理論水平熟悉和跟蹤國(guó)內(nèi)、外網(wǎng)絡(luò)安全的相關(guān)政策、法規(guī)及標(biāo)準(zhǔn)的發(fā)展。的理解。實(shí)踐能力方案及測(cè)評(píng)指導(dǎo)書的指導(dǎo)及開發(fā)。具有網(wǎng)絡(luò)安全理論研究的測(cè)評(píng)或服務(wù)項(xiàng)目數(shù)量不少于思想意識(shí)中級(jí)專業(yè)能力(P)通用能理論水平熟悉網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)政策、法規(guī)，正確理解網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系和主要標(biāo)準(zhǔn)內(nèi)容，能夠跟蹤國(guó)內(nèi)、國(guó)際網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)的發(fā)展。掌握網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)，法，具有網(wǎng)絡(luò)安全技術(shù)研究的基礎(chǔ)和實(shí)踐經(jīng)驗(yàn)。熟悉等級(jí)保護(hù)報(bào)告單項(xiàng)測(cè)分析。實(shí)踐能力本控制和評(píng)審流程；能夠根據(jù)等級(jí)保護(hù)對(duì)象的特點(diǎn)，編制測(cè)評(píng)方案，確定方法。測(cè)評(píng)方案的編制，包括確定測(cè)評(píng)對(duì)象和測(cè)評(píng)指標(biāo)，確定測(cè)評(píng)指導(dǎo)書的選擇，掌握測(cè)評(píng)實(shí)施要點(diǎn)。的問題，提出合理化的整改開展安全測(cè)評(píng)或服務(wù)項(xiàng)目思想意識(shí)象，開展針對(duì)性安全培訓(xùn)方目實(shí)施中踐行安全管理要求具有綜合分析和判斷的能力，能夠依據(jù)測(cè)評(píng)報(bào)告模板 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法評(píng)價(jià)如表4-17所示。專業(yè)能力(P)通用能理論水平了解網(wǎng)絡(luò)安全等級(jí)保護(hù)的檢查內(nèi)容。掌握開展等級(jí)保護(hù)測(cè)評(píng)活了解測(cè)試評(píng)估的范圍和所實(shí)踐能力行測(cè)評(píng)方法設(shè)計(jì)；掌握根據(jù)業(yè)務(wù)場(chǎng)景，選擇測(cè)評(píng)設(shè)計(jì)實(shí)施步驟；能使用測(cè)試工具對(duì)被測(cè)對(duì)象進(jìn)行測(cè)試并記錄；能夠按照?qǐng)?bào)告編制要求整理測(cè)評(píng)數(shù)據(jù)，整理單項(xiàng)檢查項(xiàng)數(shù)據(jù)，形成初步等級(jí)保護(hù)測(cè)評(píng)檢查結(jié)果。思想意識(shí)專業(yè)能力(P)通用能理論水平了解網(wǎng)絡(luò)安全等級(jí)保護(hù)的掌握開展等級(jí)保護(hù)測(cè)評(píng)活了解等級(jí)保護(hù)測(cè)評(píng)報(bào)告結(jié)構(gòu)，了解測(cè)試評(píng)估的范圍和所涉及的知識(shí)點(diǎn)。實(shí)踐能力所需測(cè)試數(shù)據(jù)；掌握根據(jù)業(yè)務(wù)場(chǎng)景，選擇能使用測(cè)試工具對(duì)被測(cè)對(duì)象進(jìn)行測(cè)試并記錄；掌握測(cè)評(píng)工具的操作方法，能夠合理設(shè)計(jì)測(cè)試用例獲取所需測(cè)試數(shù)據(jù)。能夠按照?qǐng)?bào)告編制要求整理測(cè)評(píng)數(shù)據(jù)，整理單項(xiàng)檢查項(xiàng)數(shù)據(jù)，形成初步等級(jí)保護(hù)測(cè)評(píng)檢查結(jié)果。思想意識(shí)熟悉網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)；解釋，指出現(xiàn)狀存在的明顯風(fēng)險(xiǎn)。 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法4.6.1崗位要求及特點(diǎn)描述 如表4-18所示。從事產(chǎn)品/軟硬件結(jié)合的整機(jī)系統(tǒng)相關(guān)的測(cè)試設(shè)計(jì)與評(píng)估、計(jì)與實(shí)現(xiàn)、測(cè)試技術(shù)規(guī)劃、關(guān)鍵技術(shù)研究等工作內(nèi)容的崗位。從事產(chǎn)品硬件、芯片相關(guān)的測(cè)試設(shè)計(jì)與評(píng)估、DFX類測(cè)試、技術(shù)規(guī)劃、關(guān)鍵技術(shù)研究等工作內(nèi)容的崗位。從事軟件平臺(tái)測(cè)試、軟件組件測(cè)試、軟硬件結(jié)合產(chǎn)品中的相關(guān)的測(cè)試系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)、測(cè)試技術(shù)規(guī)劃、關(guān)鍵技術(shù)研解決方案測(cè)試對(duì)內(nèi)代表客戶驗(yàn)收版本質(zhì)量：在實(shí)驗(yàn)室模擬各種現(xiàn)網(wǎng)評(píng)估標(biāo)準(zhǔn)，基于IPD研發(fā)流程看護(hù)客戶界面，綜合評(píng)估客戶價(jià)值和解決方案商用成熟度。解決方案測(cè)試對(duì)外代表研發(fā)支撐項(xiàng)目商業(yè)成功：保障外部客戶化測(cè)試項(xiàng)目成功交付，包括且不限于比拼、演示、POC、行業(yè)認(rèn)證、聯(lián)合客戶創(chuàng)新等。從事軟件/硬件/軟硬件結(jié)合的產(chǎn)品/服務(wù)/解決方案安全與估、DFNS類測(cè)試、測(cè)試系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)、測(cè)試技術(shù)規(guī)劃、關(guān)鍵技術(shù)研究等工作內(nèi)容的崗 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法基于安全產(chǎn)品測(cè)試崗位職責(zé)要求和層級(jí)差異，將崗位分為高級(jí)、中級(jí)和初級(jí)三個(gè)分高級(jí)面提升，通過外規(guī)內(nèi)化、內(nèi)歸外化兌現(xiàn)安全產(chǎn)品競(jìng)爭(zhēng)力領(lǐng)先一代。中級(jí)安全產(chǎn)品競(jìng)爭(zhēng)力業(yè)界一流。四層系統(tǒng)，測(cè)試系統(tǒng)競(jìng)爭(zhēng)力顯著提升；對(duì)安全產(chǎn)品測(cè)試質(zhì)量和效率上效率上實(shí)現(xiàn)全面提升。安全產(chǎn)品測(cè)評(píng)工程師崗位高級(jí)人才具備構(gòu)建安全產(chǎn)品測(cè)試業(yè)務(wù)發(fā)展愿景，帶領(lǐng)測(cè)試 專家團(tuán)隊(duì)開創(chuàng)定義測(cè)試技術(shù)方向和測(cè)試系統(tǒng)，測(cè)試系統(tǒng)引領(lǐng)行業(yè)標(biāo)準(zhǔn)、規(guī)范能力。全面提升系列安全產(chǎn)品測(cè)試質(zhì)量和效率，支撐產(chǎn)品競(jìng)爭(zhēng)力全面領(lǐng)先。高級(jí)崗位人才要求如表4-20所示。專業(yè)能力(P)通用能理論水平1.測(cè)試策略：策略制定和評(píng)估、策略執(zhí)行、策略分析和與識(shí)別、測(cè)試技術(shù)與測(cè)試系統(tǒng)分析計(jì)、測(cè)試方案與用例設(shè)計(jì)、測(cè)試架構(gòu)維護(hù)與演進(jìn)。1.測(cè)試工程：測(cè)試工程方現(xiàn)、測(cè)試工程規(guī)劃；案設(shè)計(jì)能力；件測(cè)試分類、研發(fā)模式測(cè)試、1.測(cè)試評(píng)估：缺陷分析與管理、測(cè)試評(píng)估、評(píng)估模型設(shè)計(jì)與實(shí)現(xiàn)；實(shí)踐能力1.挖掘潛在需求，并提出系統(tǒng)規(guī)劃；制定測(cè)試策略，通過分工和協(xié)作，驅(qū)動(dòng)質(zhì)量和測(cè)試效率提升；通過先進(jìn)測(cè)試技術(shù)創(chuàng)新，構(gòu)建精準(zhǔn)高效測(cè)試策略制定技術(shù)；3.具備創(chuàng)新測(cè)試系統(tǒng)設(shè)計(jì)的能力，有效消減測(cè)試覆蓋計(jì)方案。1.具備對(duì)測(cè)試系統(tǒng)或工具平臺(tái)的創(chuàng)新能力；主導(dǎo)測(cè)試系統(tǒng)服務(wù)化構(gòu)建；創(chuàng)新性制定測(cè)試模式、自動(dòng)挑戰(zhàn)或問題，提升測(cè)試效率、界領(lǐng)先。掌握行業(yè)質(zhì)量評(píng)估標(biāo)準(zhǔn)和系統(tǒng)的重構(gòu)優(yōu)化能力，構(gòu)建系統(tǒng)級(jí)的產(chǎn)品質(zhì)量評(píng)估系統(tǒng)，實(shí)時(shí)準(zhǔn)確呈現(xiàn)當(dāng)前真實(shí)的產(chǎn)品質(zhì)量。思想意識(shí)1.具備戰(zhàn)略思維和全局視角，長(zhǎng)遠(yuǎn)規(guī)劃，深刻洞察新機(jī)會(huì)和挑戰(zhàn)；2.具備創(chuàng)新測(cè)試意識(shí)，跟蹤安全產(chǎn)品測(cè)試技術(shù)和發(fā)展趨勢(shì)，探索新的測(cè)試技術(shù)，提升整體安全產(chǎn)品測(cè)試水平；3.具備內(nèi)外部影響力和推動(dòng)力，對(duì)技術(shù)路徑和關(guān)鍵方案進(jìn)行決策，引領(lǐng)技術(shù)發(fā)展方推動(dòng)測(cè)試系統(tǒng)的創(chuàng)新、測(cè)試作業(yè)平臺(tái)演進(jìn)和共建共享；4.勇于挑戰(zhàn)，克服困難，主動(dòng)擔(dān)責(zé)，堅(jiān)持不懈，精益求精，追求卓越；5.不斷總結(jié)，不斷學(xué)習(xí)，持續(xù)改進(jìn)，懂得傾聽，尊重他人，善于與他人合作；6.至誠(chéng)守信，工作中能承受壓力，不推卸責(zé)任。 第四章安全測(cè)評(píng)人才能力評(píng)價(jià)方法專業(yè)能力(P)通用能理論水平1.測(cè)試策略：策略制定和與識(shí)別、測(cè)試技術(shù)與測(cè)試系統(tǒng)分析1.測(cè)試工程：測(cè)試工程方法與技術(shù)、測(cè)試工程設(shè)計(jì)與實(shí)現(xiàn)、測(cè)試工程規(guī)劃；案設(shè)計(jì)能力；1.測(cè)試評(píng)估：缺陷分析與計(jì)與實(shí)現(xiàn)；實(shí)踐能力1.挖掘潛在需求，并提出創(chuàng)新性競(jìng)爭(zhēng)力方案；洞察測(cè)測(cè)試系統(tǒng)規(guī)劃；制定測(cè)試策略，通過分工和協(xié)作，驅(qū)動(dòng)質(zhì)量和測(cè)試效率提升；通過先進(jìn)測(cè)試技術(shù)創(chuàng)新，構(gòu)建精準(zhǔn)高效測(cè)試策略制定技術(shù)；3.具備創(chuàng)新測(cè)試系統(tǒng)設(shè)計(jì)的能力，有效消減測(cè)試覆蓋風(fēng)險(xiǎn)；備豐富的測(cè)試經(jīng)驗(yàn)，能夠反推前端應(yīng)用，提升系統(tǒng)設(shè)計(jì)方案。1.具備對(duì)測(cè)試系統(tǒng)或工具系統(tǒng)服務(wù)化構(gòu)建；趨勢(shì)，規(guī)劃完善測(cè)試模式、自動(dòng)化框架、研發(fā)環(huán)境等測(cè)成本，業(yè)界一流。規(guī)范，具備對(duì)產(chǎn)品質(zhì)量評(píng)估系統(tǒng)的重構(gòu)優(yōu)化能力，構(gòu)建實(shí)時(shí)準(zhǔn)確呈現(xiàn)當(dāng)前真實(shí)的產(chǎn)品質(zhì)量。思想意識(shí)1.具備戰(zhàn)略思維和全局視角，長(zhǎng)遠(yuǎn)規(guī)劃，深刻洞察新機(jī)會(huì)和挑戰(zhàn)；體安全產(chǎn)品測(cè)試水平；3.具備內(nèi)外部影響力和推動(dòng)力，對(duì)技術(shù)路徑和關(guān)鍵方案進(jìn)行決策，引領(lǐng)技