2024网络安全人才实战能力白皮书安全测试评估篇

网络安全人才实战能力白皮书 2024 安全测试评估篇 编写组织 指导单位 国务院学位委员会学科评议组（网络空间安全组） 教育部高等学校网络空间安全专业教学指导委员会 主编单位 北京航空航天大学中国科学技术大学 永信至诚科技集团股份有限公司 副主编单位 华中科技大学西安电子科技大学 上海交通大学山东大学 武汉大学 北京邮电大学东南大学暨南大学 北京理工大学湖南大学 哈尔滨工业大学西北工业大学天津大学 战略支援部队信息工程大学 北京电子科技学院四川大学 《网络空间安全科学学报》 中国信息安全测评中心 中国联合网络通信集团有限公司中通服华信咨询设计研究院 华为技术有限公司 南方电网数字电网集团信息通信科技有限公司 蚂蚁科技集团股份有限公司 福建师范大学中国刑事警察学院 中国烟草总公司福建省公司 编委会主任：方滨兴 编委会执行主任：封化民 编委会副主任：俞能海蔡品品 主编：刘建伟 副主编：（按照姓氏首字母顺序 安建平程光陈凯 陈兴蜀高松黄欣沂 李晖李小勇刘 苗守野秦拯魏建国 王峰韦王美琴 王震许谢雪 袁晨张宏莉张佳发 张丽章建聪赵磊 委：(按照姓氏首字母顺序) 白晓磊媛陈晓琳陈子弘 付然方伟军高何博宇 葛郭新海 李翔露 博 胡思煌何志坚 吕亚丽欧 秦玉海 孙金强立魏品品昊文涛 王王星王佩望君 王戈许伟杰杨 詹东岩阳张慧翔张 张曾亮郑世敏 曾子懿周天阳 网络安全人才实战能力白皮书一安全测试评估篇 前言 习近平总书记指出：“网络安全牵一发而动全身，深刻影响政治、经济、文化、社会、 军事等各领域安全。没有网络安全就没有国家安全，就没有经济社会稳定运行，产大人 民群众利益也难以得到保障。”要站在贯彻落实总体国家安全观的高度，强化网络安全 意识，全面加强网络安全保障体系和能力建设，筑牢网络安全屏障，坚决维护国家网络 安全。 网络空间的竞争，归根结底是人才竞争。在我国深入推进网络强国战略的同时，网 络安全人才缺口巨大成为网络安全产业面临的主要问题之一，允其是实战人才更是严重 缺失。网络安全人才实战能力建设已经成为驱须解决的时代新命题。 为了推动我国网络空间紧荣稳定，《网络安全人才实战能力白皮书》编委会持续聚焦 我国“网络安全人才实战能力”研究，已在国家网络安全宣传周成功发布“攻防实战能 力篇”和“人才评价篇”，得到了政产学研用各界的密切关注。在此基础之上，编委会拟定 了今年的主题“安全测试评估篇”。 随若人工智能、5G、物联网、区块链等技术的发展和进步，设备数量及数据量急剧 化浪潮下，数以百亿的设施设备在数字世界中重构，未知的漏洞和风险也与日俱增，对 数学化设备开展带态化安全测试评估，已成为发现和处置安全稳患的必要手段以及检验 数字安全屏障可靠性的重要方式。在此背景下，培养具备风险发现、风险验证能力的人 才，对数字化进程中的全要素、全场景开展全生命周期测试评估，对于保障国家安全、 促进经济发展、维护社会稳定具有深远的意义。 国范围内首个聚焦“安全测试评估”的白皮书，通过大量一线网络安全从业人员、网络 安全相关专业在校学生调研间卷及网络安全人才测评演练数据，分析呈现供给侧、需求 增加，数据安全威胁持续放大，已成为事关国家安全与经济社会发展的重大问题。数字 侧安全测试评估人才的基本情况、培养情况和岗位实践。同时结合专家实战精髓，提出 一套安全测试评估人才的立体化评价方法，为数字中国建设中的安全测试评估人才培养 和评价提供可行方案，以此为抓手为网络强国建设、数字化建设构筑安全基石。 一I- 网络安全人才实战能力白皮书一安全测试评估篇 《白皮书》主要具有以下特点： 1.政产学研用联动，深度部析呈现问题。在国务院学位委员会学科评议组（网络空 间安全组）、教育部高等学校网络空间安全专业教学指导委员会的指导下，全国16所一 流网络安全学院建设示范项目高校、科研院所、大型央国企及民营企业的一系列深耕网 络安全人才培养、数字安全建设工作多年的专家共同组成了《白皮书》编委会。各位专 家凝练在科研实践、教育实践和岗位实践中的深厚经验，系统梳理了当前我国安全测评 人才现状，凝练出共性间题与挑战，对更好地开展安全测评人才建设具有重要意义。 2.明确问题核心，精准把脉施策。《白皮书》通过剖析安全测评政策法规、标准，人 员整体水平，测评结果的公信度等呕待解决的问题，分析问题背后的成因，并提出解决 思路，对人才供需两侧如何把脉施策具有很强的指导性。 3.实践经验为基，引领实践航向。《白皮书》通过大量问卷调研、田野调查，对一大 批来自央国企业、民营企业一线网络安全岗位的管理者、从业者进行了深度访谈，以理论结合实践的方式创新提出了立体化综合评价安全测评人才能力的GPE方法，对指导 相关单位开展安全测试评估人才评价实践、建设人才梯队具有很强的启发性。 《白皮书》由国务院学位委员会学科评议组（网络空间安全组)、教育部高等学校网 络空间安全专业教学指导委员会指导，北京航空航天大学、中国科学技术大学、永信至 诚科技集团股份有限公司担任主编单位，华中科技大学、西安电子科技大学、上海交通 大学、山东大学、北京邮电大学、东南大学、暨南大学、武汉大学、北京理工大学、湖南大学、哈尔滨工业大学、西北工业大学、天津大学、战略支援部队信息工程大学、北京电 子科技学院、四川大学、中国信息安全测评中心、《网络空间安全科学学报》、中国联合 网络通信集团有限公司、申通服华信咨询设计研究院、华为技术有限公司、蚂数科技集 团股份有限公司、南方电网数字电网集团信息通信科技有限公司、福建师范大学、中国 刑事警察学院、中国烟草总公司福建省公司担任副主编单位。 《白皮书》编写过程中得到了上述单位的大力支持，再次对所有支持和参与《白皮 书》撰写工作的所有单位和个人表示感谢。 由于撰写仓促，如存在表述不妥之处，敬请批评斧正。不胜感激。 一II一 1.1 1.2 1. 网络安全人才实战能力自皮书一安全试评估第 目录 CONTENTS 第一章网络安全测评状况综述 01 国内外网络安全测评政策法规01 1.1.1国际网络安全测评政策法规· 10 1.1.2国内网络安全测评政策法规 04 我国网络安全测评人才状况06 1.2.1人才培养状况· 06 1.2.2人才应用状况· 3我国网络安全测评领域面临挑战11 1.3.1安全测评法律法规及标准不健全 11 1.3.2安全测评人员能力有待提升 11 1.3.3安全测评管理机制不规范 12 1.3.4安全测评工具国产化较弱 13 第二章用人单位安全测评人才现状分析 14 2.1用人单位安全测评人才分布情况 14 2.1.1性别、年龄及学历情况 14 16 2.1.2行业、地域及岗位情况 19 2.1.3安全测评人才资格认证情况 III 网络安全人才实战能力白皮书一安全测试评估篇 目 CONTENTS 2.2用人单位安全测评岗位实践情况 20 2.2.1常用的安全测评方式、工具及技术 20 23 2.2.2安全测评人才需求单位· 24 2.2.3用人单位对安全测评人才的满意度情况 2.3用人单位进行安全测评的对象 26 2.3.1政府进行安全测评的对象 26 2.3.2行业进行安全测评的对象2/ 2.3.3企事业进行安全测评的对象 第三章院校安全测评人才培养现状分析 32 3.1院校安全测评人才实战能力培养情况 32 3.1.1安全测评人才学历情况 32 33 3.1.2安全测评人才培养院校及所设专业情况 36 3.2院校安全测评人才培养平台建设情况 37 3.1.3安全测评人才地域分布情况 3.2.1相关专业教学实验室/学科平台建设情况37 42 3.2.2网络靶场建设情况 47 50 3.2.3学生意向就业单位分布 3.3院校安全测评相关资源情况 50 3.3.1师资队伍中实战教师占比情况 IV 网络安全人才实战能力自皮书一安全试评估第 52 3.3.2安全测评相关课程设置情况 54 3.3.3安全测评相关教材编写出版情况 第四章安全测评人才能力评价方法 58 4.1安全测评人才能力评价方法概述 58 59 4.1.1通用能力 60 4.1.2专业能力 4.2安全测评人才岗位分层评价概述 62 4.1.3评价等级· 62 4.2.1安全测评人才分类· 62 4.2.2安全测评人才分层. 4.3渗透测试工程师岗位评价 63 4.3.1岗位要求及特点描述 63 t9 4.3.2岗位分层级方式描述 65 4.3.3渗透测试工程师岗位高级人才评价 67 4.3.4渗透测试工程师岗位中级人才评价- 69 4.3.5渗透测试工程师岗位初级人才评价 71 71 4.3.6有效的评价方式- 4.4网络安全攻防工程师岗位评价 4.4.1岗位要求及特点描述 4.5 4.6 网络安全人才实战能力白皮书一安全测试评估篇 目 CONTENTS 4.4.2岗位分层级方式描述4.4.3网络安全攻防工程师岗位高级人才评价 74 4.4.4网络安全攻防工程师岗位中级人才评价： 77 4.4.5网络安全攻防工程师岗位初级人才评价 79 4.4.6有效的评价方式 等级保护测评师岗位评价80 4.5.1岗位要求及特点描述 80 4.5.2岗位分层级方式描述 81 4.5.3等级保护测评师岗位高级人才评价： 83 4.5.4等级保护测评师岗位中级人才评价· 83 4.5.5等级保护测评师岗位初级人才评价.. 85 4.5.6有效的评价方式 86 安全产品测评工程师岗位评价87 4.6.1岗位要求及特点描述 4.6.2岗位分层级方式描述 89 4.6.3安全产品测评工程师岗位高级人才评价： 68 4.6.4安全产品测评工程师岗位中级人才评价 91 4.6.5安全产品测评工程师岗位初级人才评价 92 4.6.6有效的评价方式 95 VI: 网络安全人才实战能力白皮书一安全测试评估篇 第五章安全测评人才在国家网络安全建设中的作用 97 5.1支撑国家政策法规的制定和优化 L6 5.1.1为政策法规制定提供依据 5.2提高行业安全监管能力和水平 66 86 5.1.2为政策法规优化提供建议 5.2.1推动行业监管能力提升· 66 5.2.2提升监管队伍水平提升. 5.3推动国家网络安全标准制定 100 5.3.1提供底层数据和分析支撑 100 100 5.3.2参与标准制定与实施 101 5.3.3促进国际标准对接· 5.4促进国家网络安全产业发展和技术创新 102 5.4.1促进风险隐患排查与产业安全加固· 102 103 5.4.2促进安全产品技术创新与策略优化 第六章网络安全测试评估工作的指导性建议 105 6.1加强顶层设计，加快制定安全测评政策法规及标准 105 6.1.1完善关键信息基础设施安全测评标准 105 106 6.1.2健全数据安全测评制度与标准... VII- userid:529794,docid:174555,date:2024-09-11,sgpjbg.com 网络安全人才实战能力白皮书一安全测试评估篇 目录 CONTENTS 6.2深化政产学研用协同合作，加强测评专门人才培养 108 107 6.1.3研制人工智能安全测评政策法规及标准 6.2.1加快转变安全测评人才培养模式 108 109 6.2.2推动安全测评产业创新发展· 110 6.2.3筑牢安全测评人才思想防线…· 6.3