信息安全测试员国家职业技能标准（征求意见稿）.docx

《信息安全测试员国家职业技能标准（征求意见稿）.docx》由会员分享，可在线阅读，更多相关《信息安全测试员国家职业技能标准（征求意见稿）.docx（12页珍藏版）》请在三一文库上搜索。

1、信息安全测试员国家职业技能标准（征求意见稿）1职业概况1.1 职业名称信息安全测试员（信息安全渗透测试员）1.2 职业编码4-0404-041.3 职业定义是指通过对评测目标的网络和系统进行渗透测忒，发现安全问题并提出改进建议，使网络和系统免受恶意攻击的人抗。1.4 职业技能等级本职业共设四个等级，分别为：四级/中级工、三级/高级工、二级/技师、一级/高级技师。15职业环境条件室内，常温。16职业能力特征具有定的学习、观察、推理、判断、表达、计算能力：有较强的问题分析、独立工作、沟通交往、协调合作等能力，心理健康.1.7 普通受教育程度高中毕业（含）以上（或同等学力）1.8 培训叁考学时1.1

2、1 工、三级/高级工不少于160标准学时；二级/技师不少于120标准学时：一级i级技师不少于80标准学时。19职业技能鉴定要求1.1.2 申报条件具备以下条件之一者，可申报四级/中级工：（1）取得相关职业I五级/初级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作2年（含）以上。I相关职业：M络Ij饵息安全管理员、倡息安全工程技术人M、通俗工程技术人员计算机硬件工程技术人员、计算机软件工程技术人小、计0机网络工程技术人员、信息.系统分析工程技术人员、信史通信网络匕行管理员、信息通信信息化廉统管理员、计算机程序设计仍、计舞机软件式试员等.（2）累计从事本职业或相关职业工作3年（含

3、以上。（3）取得技工学校本专业或相美专业毕业证书（含尚未取得毕业证书的在校应届毕业生）：或取得经评估论证、以中级技能为培养目标的中等及以上职业学校本专业或相关专业毕业证书（含尚未取得毕业证书的在校应届毕业生）：具备以下条件之一者，可申报三级/南级工：（1）取得本职业或相关职业四级/中级工职业资格证书（技能等级证书）后,累计从事本职业或相关职业工作3年（含）以上。（2）取得本职业或相关职业四级/中级工职业资格证书（技能等级证书），并具有高级技工学校、技师学院毕业证书（含尚未取得毕业证书的在校应届毕业生）；或取得本职业或相关职业四级/中级工职业资格证书（技能等级证书），并具有经评估论证、以高级技

4、能为培养目标的高等职业学校本专业或相关专业,毕业证书（含尚未取得毕业证书的在校应届毕业生）。（3）具有大专及以上本专业或相关专业;毕业证书，并取得本职业或相关职业四级/中级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作2年（含）以上。具备以下条件之一者，可申报二级/技师：（1）取得本职业或相关职业三级/高级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作4年（含）以上。（2）取得本职业或相关职业三级/高级工职业资格证书（技能等级证书）的高级技工学校、技师学院毕业生.，累计从事本职业或相关职业工作3年（含）以上；或取得本职业或相关职业预备技师证书的技师学院毕业生，累

5、计从事本职业或相关职业工作2年（含）以上。具备以下条件并，可申报级/高级技师：信息安全渗透测试员：,相关专业（技工学校）:计算机网络应用、汴算机程序设计、if算机应用与维佬、计算机信息管理、亚信网络府川、通估运营服务、网络安防系统安装与雏护、物联冏应M技术、网络与倒息安全、云计尊技术吨用、工业互联网技术应用、人工W能技术应用、数字媒体技术血用等怡息类专业.Mf1.关专业（中等职业学校）1效字媒体技术应用，计翼机平面谀计.计算机网络技术.网站珑谀&筲理.网络安防廉统安装Ij挑护.软件9倍总服务、客户信川服务、计算机9数码产M维修.电子与信息技术，电了技本应阳、通信技术、通信运ft服务、通信展统工

6、林安装叮鲍护，物联网技术应用.网络信总安全、移动应用技术1.j服务等信息技术类专业相关专业（R等职业学校）：计算机Bt用技术、计算机网络技术、计算机信息管理、计算机泵鼓与推护、软件技术、轼件与信息服务、嵌入式技术与应用、数字展示技术、数字盥体应用技术、信息安全与理、移动底阳开发、云计域技术与应用人敝粼技术与应用、人1.W优技术照务等计灯机类专业.Me关专业（书美豳等学校本科）I信息安全.计算机科学与技术、软件工标,网络工S1.物联网工程,数字媒体之术,智能科学与技术.空间值患切数字技术.电子与计算机工探、效据科学与大敏据按术，网络空间安全、新媒体技术、保变技术、城务科学与工程、虚拟现实技术、区

7、块埼工程、网络安全JJ执法等计口.机类、电子信息类专业.取得本职业或相关职业二皱/技师职业资格证书（技能等级证书）后，笈计从事本职业或相关职业工作3年（含）以上。1.1.3 鉴定方式鉴定方式分为理论知识考试、技能考核以及综合审定。理论知识考试笔试、机考等方式为主，主要考核从业人员从事本职业应掌握的基本要求和相关知识要求：技能考核主要采用现场操作、模拟操作等方式进行，主要考核从业人员从事本职业应具备的技能水平：综合审定主要针对技师和高级技师，通常采取审阅申报材料、答辩等方式进行全面评议和审查。理论知识考试、技能考核和综合审定均实行百分制，成绩皆达60分（含）以上者为合格。1.1.1 考人员、考评

8、人员与考生配比理论知识考试中的监考人员与考生配比为1：15,且每个考场不少于2名监考人员：技能考核中的考评人员与考生配比不低于1：5,旦考评人员为3名（含）以上单数；综合审定委员为3人（含）以上单数。1.9.4 鉴定时间理论知识考试时间不少于90分钟，技能操作考核时间不少于120分钟.综合审定时间不少于30分钟.，1.9.5 鉴定场所设备理论知识考试在标准教室进行：技能操作考核在具有必备的网络环境、软彼件资源，安全设施完善的场所进行。2基本要求2.1 职业道德2.1.1 职业道德基本知识2.1.2 职业守则（1）遵纪守法，保密合规“（2）廉洁自律,可靠可信。（3）牢记职责，爱岗敬业。（4）客观

9、严谨，公平公正。（5）流程规范，操作安全。（6）认真负成，团结协作。（7）挑战自我，勇丁创新.2. 2.1计算机基础知识（1）操作系统知识.（2） 应用软件知识.（3） 数据库知识.（4） 计算机网络知识。（5） 2.2网络安全基础知识（1）网络安全基本概念.（2）网络安全模型。（3）密码学基础知识。（6） .3网络安全技术专业知识（1） WEB安全专业知识。（2）网络协议安全专业知识.（3）中间件安全专业知识。（4）操作系统安全专业知识。（5）数据库安全专业知识。（6）密码学专业知识。（7）社会工程学专业知识。（8）安全审计技术专业知识.（9）反恶意软件与入侵检测技术专业知识。C1.O）备份

10、与恢更技术专业知识。2. 2.4工作常用知识（1） 应用文写作的一般要求.（2） 网络与信息安全专业英语基本词汇.2.2.5相关法律、法规知识（3） 中华人民共和国民法典的相关知识。（4） 中华人民共和国劳动法的相关知识。（5） ，中华人民共和国劳动合同法的相关知识。（6） 中华人民共和国网络安全法的相关知识。（7） 中华人民共和国密码法的相关知识。（8） 中华人民共和国数据安全法（草案）的相关知识。（9） 中华人民共和国个人信息保护法（草案的相关知识。（10） *网络安全审查办法的相关知识。（11） E网络安全漏洞管理规定（待颁布）的相关知识。（12） 6网络安全威胁信息发布管理办法(待颁布

11、)的相关知识。（三）网络安全技术标准的相关知识.(12)其他网络安全相关法律法规、政策、管理规定相关知识。3工作要求本标准对四级/中级工、三破/高级工、二级/技师、级/高级技师的技能要求和相关知识要求依次递进，高级别涵盖低级别的要求.12.1 级/中级工(信息安全渗透测试员)职业功能工作内容技能要求相关知识要求1.安全研究1.1漏洞侑息研究1.1.1 能查恻公开的安全漏洞(以卜向林温河报告，梳理漏洞分析报告1.1.2 能收集已公开的漏洞验证程序1.1.3 能评估测试结果海洞等级1.1.1CNNVD(中国国家信息安全温洞库、CNVD国家信息安全漏洞共享平台、CVE(CommonVu1.nerab

12、i1.ities&EXPaSUncs)等平台使用方法1.1.2漏洞报告横理方法1.1.3CNNVD(中国国家信息安全漏洞库、CNVD(同家信息安全漏洞扶享平台、CVE(COmmOnVu1.nerabi1.ities&EXPoSUes)等平台漏洞晚理1.1.4已公开漏涧蛤证程序检索方法IJS漏洞等级僻定方法1.2漏涧工其研究1.2健枪索己披露的漏洞的测试方法、工具1.2.2健搭建漏洞测试与测试工具所需的运行环境1.2.1 漏涧测试环境搭建方法1.2.2 JS洞触发尿理2.脆弱性测试2.1侑息收生2.1.1 .能根据测试对象类型确认测试工具2.1.2 能根据授权文件确定测试对象边界2.1.3 能使

13、用信总收集IJ!元成信息收佻J1.作2.1.1 域名的必木蝮念2.1.2 信息收集工作方法2.1.3 信息收集工具使用方法2.2测试实施2.2.1 能配比、使用港透测试工具完成测试2.2.2 能确认扫描工作执行的工作状态2.2.3 能配置、使用压力测试工具完成测试22I渗透测试工具配亘方法2.2.2 倦透测试1：具使用方法2.2.3 归描状态确认方法2.2.4 压力测试匚具配置方法2.2.5 压力测试匚具使用方法3.渗透测试3.1环境恢复3.1.1 能区分测试过程中所产生的数抠类型3.1.2 能评估测试所产生数据对信息系统的影响3.1.1系统、应刖日志等常见数据类型3.1.2应用系统功能、业务

14、流程3.1.3港透测试操作影响评估,方法3.2测试管理3.2.1 能根据测试工作流程确定使用测试工具类型3.2.2 能根据标准测试项造择测试方案3.2.1 滋透测试工具确认方法3.2.2 测试方案选择方法4.修5?防护4.1测试报管墙制4.1.1.健根据模板整理测试获得的数据4.1.2能板招测试掖告模板整理相关的测试记录4.1测试数舜白档方法4.1.2测试记录整理方法4.2漏洞修复测试4.2.1 能根据测试工具输出的测试报告验证漏洞4.2.2 能借助漏洌测试工具验证漏洞修复效果421漏洞测试工具使用方法4.2.2漏洞脸证方法4.2.3漏涧发测方法3. 2三级/高级工（信息安全渗透测试员）职业功

15、能工作内容技能要求相关知识要求1.安全研究1.1漏洞信息研究1.1.1 使收集已公开高危漏洞伯息进行混测研究，能写漏洞复现报告1.1.2 能评估已公开漏洞的危害、影响他Iib提交漏洞评估报告1.1.ICNNVD（中国国家信息安金漏洞昨）、CNVD（国家侑息安全漏洞共享平台）、CVE（COmmonVu1.nerabi1.ities&EXPoSUrCS）等平ff漏洞除体系知识1.1.2漏洞红现报告嵋写方法1.1.3公开漏洞危害评估方法1.1.4涮洞评估报告编写方法i.2漏洞工具研究1.2.1 能验证已被舞漏洞测试工具的有效性1.2.2 能根据已有的潟洞代码片段漏与漏洞触发代码1.2.1 己掇正洞洞

16、的测试工具使用方法1.2.2 漏洞触发代码编写方法2.腌弱性测试2.1信息收柒2.1.1.能使用自动化和人工相结台完成信息收集工作2.1.2健检理、分析信息收案结果2.1.1 人工信息收集方法2.1.2 %维度数据关联分析方法2.2测试实施2.2.1 能通过资产风险寻找测试突破12.2.2 焚根据给定测试项人工实施漏洞测试工作223健根据目标系统实际情况制定压力测试策略,确定测试指标2.2.1 注透测试实施流程2.2.2 漏涧验证方法2.2.3 人I：渗透方法2.2.4 压力测试实Ift方法3.清透测试3.1测试准各3.1.1 能判新业务高衅期.忸峥进行渗透测试3.1.2 健W估所使用测试手段

17、对系统的业务影响3.1.1 系统业务负我判断方法3.1.2 漏洞原理及影响3.2环境恢史3.2.1 能确定环境恢女的内容3.2.2 能对环境恢史提电建议3.2.1 数据文件查找方法3.2.2 日志文件分析方法3.3测试管理3.3.1能根据制成对象确证制试流程332能根据日志文件判断对应的行为3.3.3健根擀测试1.作实施过程中的异常情况，发现不规苞的操作或失误3.3.1港透测试筑施方法332测试弁常情况判断方法3.3.3测试异常应急处黄方法4.修复防护4.1测试报告铜制4.1.1 能梳理测试过程中获取的数据4.1.2 能根据测试结果编写测试报告4.1.1测试数据处理方法4.1.2测试根告漏制方

18、法4.2漏洞修复测试421能根据测试项及测试站果，给出懂更建议4.2.2健根抠测状报Pr,及证漏洞修复效果4.2.1 工漏洞验证方法4.2.2 漏洞验证I：只使用方法4.2.3 漏洞修St方法J.，磁/技加（口号女主渗JS测风贝/职业功能工作内容技能要求相关知策要求1.安全研究1.1漏洞信息研究.1.I健根据己公开的高危iW洞信息.编写漏洞利用流程报告1.1.2能根据盲方发布的漏洞侑息提出解决方法1.IiW洞攻击原理,漏洞防护、绕过原理1.1.2漏洞利用流程报告嫡写方法1.2漏洞工具研究1.2.1 能优化已公开湖洞测试工具1.2.2 能型成开发网刑验证程序用于测试工作1.2.1 湿洞测试工具原

19、理1.2.2 漏洞验证程序集成开发方法1.3漏洞发现1.3.1 健在有目标系统源码的茶础上进疗漏洞检掘1.3.2 能使用代码审计的方式测送目标湿洞1.3.1 常见（例如收录于CNVD中的漏洞）应用漏涧挖掘方法1.3.2 代码审计方法2.SB洞测试2.1佶息收集1.1.1 1.I能使用人工方式收集信息1.1.2 能使用社会工程学并结合技术手段获取测试目标信息1.1.3 能根据测试对象的业务也机绘制业务数据流向图2.1.1 社交工具、授盍引箪使用方法2.1.2 社会工程学柢念及实施方法2.1.3 业务逻辑流程,业务数招流绘图方法2.2测试实施2.2.1能根据误报信息优化测试工具的使用谯略2.2.2

20、健根据业务逻辑，测试业务逻辑都洞2.23能揄耳压力测试脚本,并对目标进行压力测试2.2.4使对压力测试数据进行分析,编写压力测试报告2.2.1测试工具使用策略优化方法2.2.2系统调用送料、业务理轼交互方式2.23业务逻辑漏洞测试思路224压力测试脚本编写方法225压力测试数据分析方法2.2.6压力测试报告揭写方法3.涛透测试3.1漏洌利用3.1.1 能利用多漏洞联合方式进行测试3.1.2 能完整记录漏洞利用过程3.1.3 能境过安全防御机制进行测试3.1.4 能制定渤试路径3.1.5 1.5德进行社会工程学测试进行测试工作3.1.1 漏洞关联分析方法3.1.2 漏洞利用过程记录方法3.1.3

21、 1.3安全设价检测机制原理3.1.4 安全防御机制烧过方法3.1.5 测试路径分析方法3.1.6 社会工程会实施方法3.2环境恢发3.2.1 健确认测试对象相关的数据及资料完整和准确3.2.2 能确认环境恢攵3.2.1测试数据隔认要求3.22环境恢复翌求3.2.2环境恢复确认方法3.3测试管理3.3.1 能实施测试工作中的风险规避措施及应急预案3.3.2 健在实施过程中进行风冷管控3.3.3 健毋耳用于指导制试实施1二作的安全测试计划3.3.4 健编写用于指称测试实施工作的安全测状技术指南3.3.1 测试操作异常识别方法3.3.2 测试异常情况处理流程3.3.3 信息系统风险管控要求3.3.

22、4 测试实施计划编写方法3.3.5 测状技术指由温写方法4.修品防护4.1测试报告编制4.1.1 能讲解测试过程4.1.2 能编写测试报告模板4.1.1测试过程要点4.1.2测试报告模板编写方法4.2漏洞修复建议4.2.1便给出通用型漏洞修建议422f常给出业务逻辑漏洞的传复建坟4.2.1通用型漏洞修攵原理422业务逻辑漏洞原理、修复方法5.用调指导5.1培训实施51.I能M订培训工作计划5.1.2 能编制和实施培训方案5.1.3 能揭写本职业培训教材、讲义、课件5.1.4 能进行本职业培训宣讲1.1.1 职业技能与理论基础知识1.1.2 培训工作计划的制订要求和方法1.1.3 培训方案嫡制和

23、实施的要求和方法1.1.4 培训教材、讲义、课件的第耳知识1.1.5 教学教法知识5.2技术指导5.2.1 能对本职业三级/高级工及以下姬别人员进行技能指导5.2.2 能对本职业三税/高级工及以下级别人员技能水平进行考核5.2.1 探作经验和技能总结方法5.2.2 技能和理论基础知识水平考核的要求和方法5.2.3 技能和理论基础知识水平考核的内容3.4一级/高级技师（信息安全渗透测试员）职业功能工作内容技能要求相关知火要求I.安全研究1.1翻涧信息研究.1.能研窕湖洞影响范H1.编写温词预警报告1.1.2能判断漏洞的补丁或临时解决方案对湖洞防范的有效性1.1.1 漏洞防护方法1.1.2 潟洞预

24、告报告编写方法1.2漏洞工具研究121能分析漏洞伟息并编写淘洞触发代码122根据谢洞触发代码，编号JH洞测试I：具1.2.1 漏洞信息分析方法1.2.2 漏洞检测工具煽写方法1.3温洞发现1.3.1能发现未知充洞。132能对发现的未知漏洞进行评估,编写漏洞说明材料.13IiW洞原理分析方法132漏洞说明文件防耳方法2J8洞测试2.1信息收集2.1.1 能编写信息收佻i.1.2.1.2 能更新迭代信息收集1.具2.1.1 信息收集1：具编写方法2.1.2 信息收集工具迭代方法2.2测试紫东2.2.1 能结合测试场景制定测试工具的使用策略2.2.2 能编写测试工具223健根据压力测试结果,给出针对

25、性的系统优化方案2.2.1代码审计原珅2.2.2 测试工具纲与方法2.2.3 测试报告审定方法2.2.4 系统性能优化方法3.清透测试3.1做患处同3.1.1 能发现系统内除藏的恶意程序3.1.2 能对系统内吃藏的怒意科序进行分折、处置或潮源3.1.1 恶意程序发现方法3.1.2 恶意程序分析处置方法3.1.3 恶意程序溯源方法3.2测试管理3.2.1 能评估信息系统异常情况类型和级别等指标3.2.2 能制定测试作应急B1.案，解决异常问题3.2.3 健审定、优化安全测试技术指南3.2.4 能审定、优化实施计划3.2.1 测试异常情况区分标准322测试突发情况处理方法3.2.3 安全事件影响等

26、级的评估方法324应急预案编制方法3.2.5 安全渊试方法、原理3.2.6 技术指圉、实施计划审定方法4.修亚防护4测试报告编制4.1.1 能审定、优化测试报告4.1.2 能审定、优化测试报雷模板4.1.1测试报告审定、优化方法41.2测试报告模板审定、优化方法4.2漏洞修复建议4.2.1 能对测试对象给出具体怪红建议4.2.2 健对整体信息系统给出安全优化建议4.2.1 安全防护、安全检测标准4.2.2 系统整体梨构4.2.3 系统整体安全优化方法5.培训指导5.1培训实施4.1.1 能对培调雷求进行分析4.1.2 能编制培训规划4.1.3 健姐织1号木职业培训教材、讲义、教案4.1.4 能

27、进行本职业培训宣讲4.1.1培训需求分析的要求和方法4.1.2培训规划编制的要求&1.3培训预算与决算的审核方法5.2技术指导4.2.1 能对本职业各级别人员技能进行指导4.2.2 能对本职业各级别人员技健水平进行考核4.2.3 能组织开展技术革新活动4.2.1操作技能方法4.2.2指导技能操作的知识423技术革新的方法4权重表4.1 理论知识权重表4.1.1理论知识权重表（信息安全渗透测试员）顶H技能等级四级/中级工(%)三级/高级工(%)二级/技师(%)一级/高级技师(%)基本职业道德5555要求基础知识201055安全研究25202025相关脆弱性测试25302525知识渗透测试20302520要求修及防护551010培训指导1010合计1001001001004. 2技能要求权重表4. 2.1技能要求权重表(信息安全渗透测试员)上他等级四级/中级工(%)三级/高皴工(%)二级/技师(%)一级/高级技师(%)安全研究30302530技能脆弱性测试30302525要求渗透测试20302520修复防护20101010培训指导1515合计100100100100