网络安全技术技能人才职业能力图谱 8大方向、49大类、152小类、734项 1 目录 图谱综述1 方向一安全运营4 一、软件、设备的安装与调试4 二、检查与整改9 三、监测与分析13 四、响应与处置17 五、溯源与反制20 六、云安全运营25 七、终端安全运营29 八、其他运营能力36 方向二网络攻防43 一、WEB漏洞利用与挖掘43 二、系统层漏洞利用与挖掘49 三、安全工具使用57 四、编程与开发63 五、社工与渗透69 六、攻击辅助76 七、其他攻击能力83 方向三安全管理90 一、安全意识管理90 二、安全组织建设98 三、安全规划设计100 四、风险评估管理110 五、数据安全管理114 方向四开发与测试119 一、通用开发能力119 二、安全开发123 三、安全测试126 四、安全产品设计131 五、系统安全134 六、AI辅助138 方向五安全分析141 一、溯源分析141 二、可视化分析146 三、恶意样本分析153 四、威胁情报技术158 五、安全分析报告169 方向六电子数据取证172 一、电子数据提取172 二、电子数据恢复199 三、数据库系统取证213 四、程序功能分析217 五、现场勘察220 六、案件支撑225 七、法律应用230 八、其他能力236 方向七工控安全240 一、资产识别240 二、工控协议256 三、工业安全检测264 四、工业自动化272 五、主机安全277 六、典型应用场景安全281 方向八内容安全285 一、违法信息识别285 二、违规信息识别287 三、内容安全关键技术290 四、内容安全管理策略294 全景图297 图谱概述 新质生产力的发展离不开数字化与智能化,而数字化与智能化的发展又必须以网络安全为基础。如何才能培养出适应新质生产力发展需要的网络安全人才,是全国网络安全工作者和教育工作者需要共同面对的迫切问题。 网络安全人才,特别是技术技能型人才的职业能力培养,不能只学理论不懂实践,而是必须要以产教融合为基础,以岗位实践为目标,构建系统性的、细粒度的、具体化的职业能力培养体系。 正是在这样的思想指导下,在中国职教学会领导的高度关注和支持下,奇安信行业安全研究中心、中国职业技术教育学会网络安全专委会、全国网络空间安全行业产教融合共同体、北京理工大学、重庆电子科技职业大学等机构的网络安全专家、学者,历时半年多,共同开发了出了这套“网络安全技术技能人才职业能力图谱”。并于2024年世界职业技术教育大会期间正式发布。 图谱主要包括安全运营、网络攻防、安全管理、开发与测试、安全分析等5个通用安全技术方向,以及电子数据取证、工控安 全、内容安全等3个专向安全技术方向,共8大方向、49大类、 152小类、734项具体能力,是目前国内外最为系统、最为全面、最细粒度,也是最为接近中国网络安全实战、实践要求的网络安 全人才能力图谱。 图谱以网络安全建设与运营实践为基础,结合各行业网络安全用人需求和岗位特点进行绘制,并对每一项具体能力都给出了详细的说明和描述,全文超过12万字。该图谱不仅可以作为高等院校和职业院校网络安全人才培养的参考框架,还可以作为岗前岗后培训,以及网络安全人才自修自学的参考框架。 特别需要说明的是,本图谱并没有采用常见的,以岗位为出发点的能力图谱架构方式,主要是考虑到以下因素: 1、在网络安全行业中,很多岗位对人才的网络安全能力要求是共通的,很多基础安全能力是复用的,是各个网络安全岗位都需要的。 2、不同行业,不同的用人单位,即便是完全相同的岗位,实际用人需求也会有很大的差别,岗位和能力需求之间并不是简单的对应关系。这也是网络安全行业用人需求的一大特点。 3、网络安全人才需求的整体增长,并不能简单的对应为某一个岗位用人需求的增长。如果严格按照岗位需求培养人才,反而可能严重影响网络安全人才适应性和整体竞争力,限制人才的就业选择范围。 在后续的研究中,我们会通过“岗位普适度”的调研,来完善图谱与岗位、就业之间的联系。对于那些绝大多数用人单位、绝大多数网络安全岗位都需要的职业能力,我们应当加大培养力度和培养范围。对于需要结合工程实践和企业实习工作才能完成的能力培养,就需要通过产教融合的方式,在政企机构中为学生们提供实验、实践等教学机会。 方向一安全运营 安全云运营能力,是指政企单位在日常生产经营活动中,对信息化系统进行持续的安全建设和安全运营过程中,或者是在网络安全实战攻防演习过程中,需要用到的网络安全技术与实战能力。主要包括:检查与整改、监测与分析、响应与处置、溯源与反制等实战化运营能力,以及软件/设备的安装与调试、云安全运营、终端安全运营和其他特定的安全运营能力。 一、软件、设备的安装与调试 软件/设备的安装与调试能力,主要是指能够在政企单位的机房中或信息化系统中、安装部署和调试常见网络安全产品(包括软件和硬件)的技术能力。常见的网络安全产品主要又可分为包括终端安全管控、云安全管控、防火墙、入侵检测等防护类产 品,以及EDR、NDR、SOC/态势感知、流量威胁检测、日志审计、上网行为管理等监测类产品。 (一)防护类 防护类网络安全产品是指那些旨在保护网络系统免受恶意攻击、数据泄露、非法访问等安全威胁的产品。这些产品通过不同的技术和策略,为网络系统的硬件、软件及数据提供全方位的保护。 1)终端安全管控 终端安全管控是一种保护网络安全的策略式方法,旨在通过一系列内嵌的规则和策略来管理企业网络中的终端设备。这些规则和策略包括法律、法规、权限和角色定义,确保每个连接到业务网络的设备必须遵守特定的安全级别、授权范围和操作权限。 2)云安全管控 云安全管控是指一系列旨在保护云计算环境免受未授权访问、数据泄露、恶意软件攻击等威胁的策略、技术和实践。它不仅涵盖了云平台自身的安全,还包括云上数据的安全、云间交互的安全以及云用户身份与访问管理的安全。 3)防火墙 防火墙是一种网络安全设备,用于保护一个网络免受外部的 网络攻击和入侵行为。它主要由服务访问规则、验证工具、包过滤和应用网关等部分组成,可以设置在不同网络之间,如企业内部网和互联网之间,以防止外部恶意程序对内部系统的破坏或阻止内部重要信息向外流出。防火墙可以灵活应用于网络边界、子网隔离等位置,如企业网络出口、大型网络内部子网隔离、数据中心边界等。 防火墙可以是硬件设备、软件系统或软件即服务(SaaS)等形式,根据预定的安全策略监视、过滤和控制传入和传出网络的流量。它执行一种访问控制尺度,允许“同意”的人和数据进入网络,同时将“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客访问网络。 4)入侵检测 入侵检测系统是一种能够及时发现网络攻击企图、攻击行为和攻击结果的威胁检测产品,可通过网络数据监听及多样的告警机制帮助用户及时发现安全威胁时间的发生并采取相应措施。该产品采用协议分析和入侵检测引擎,通过硬件架构优化,能够快速处理网络数据,精准检出网络攻击行为。 (二)监测类 监测类网络安全产品主要是指那些能够对网络环境进行实时监控、检测和分析,从而及时发现并应对潜在安全威胁的产品。 1)EDR 终端安全响应系统(EDR)是威胁情报驱动的新一代终端安全产品,通过持续监测终端活动行为、检测安全风险、对威胁风险进行深度调查、提供补救响应手段的方式,补充传统终端安全产品防御高级威胁能力的不足,在对抗高级威胁中获得更好的效果与更快的效率,减少高级威胁最终达到目的可能性。 2)NDR NDR(NetworkDetectionandResponse)是一种网络安全产品,主要用于实时监测网络流量,发现安全隐患,并对网络威胁或异常流量进行追踪溯源、响应拦截和安全处置。NDR系统通过分析网络流量来检测和响应各种安全威胁,保障业务网络、支撑系统及整个信息化系统的安全高效运行。 3)SOC/态势感知 SOC(SecurityOperationsCenter,安全管理中心)是一个综合性的安全管理系统,旨在通过整合多种网络设备和安全设备的数据,进行智能关联分析,从而实现对网络安全事件的实时检测、响应和管理。 态势感知(SituationAwareness)是一种基于环境的、动态的、整体地洞悉安全风险的能力。它基于安全大数据,从全局视角提升对安全威胁的发现、识别、理解和响应能力。 SOC平台的核心是态势感知。态势感知通过收集各种信息(如日志、流量等),结合规则模型和安全智能情报,进行态势判断,从而做出时间轴、上下文关系等分析,帮助判断潜在的威胁和风险。态势感知是数据驱动的,通过客户的现时和历史数据进行分析,最终实现安全威胁的发现、分析和响应。 4)流量威胁检测 流量威胁检测是指通过监测和分析网络流量,识别异常行为、检测潜在威胁并提供对网络性能的深入洞察。其主要目标是识别和消除IT基础架构中的恶意威胁,防止未经授权的访问、恶意活动和数据泄露,以保护网络免受潜在损害。 5)日志审计 日志审计主要用于全面收集企业IT系统中各种设备(如安全设备、网络设备、数据库、服务器、应用系统、主机等)产生的日志,并进行存储、监控、审计、分析、报警和响应。这些日志包括运行、告警、操作、消息和状态等信息。 6)上网行为管理 上网行为管理系统是软硬件一体化控制管理网关,可对企业内部员工的上网行为进行全方位有效管理,保护Web访问安全,降低互联网使用风险,避免企业机密信息泄露,提升员工工作效 率,阻止、限制P2P等严重消耗带宽的应用,保障企业核心业务带宽。 二、检查与整改 检查与整改,主要是指在网络安全运营过程中,或在网络安全实战攻防演习之前,对机构网络安全建设与运营的摸底排查和整改加固工作,目的是通过事前有针对性的自查工作,提前发现问题、提前消除隐患。其中包括:安全检查、整改加固与规则优化这3个小类,11项具体能力。 (一)安全检查 安全检查是指对网络系统的安全性进行全面检测和评估的过程,以确保网络系统不受未经授权的访问、使用或破坏,保护网络中的数据、设备和应用不受威胁。网络安全检查通常包括多个方面,以确保网络的整体安全性。 1)资产梳理 资产梳理是指对网络空间中的所有资产进行全面、详细的梳理和记录,以便更好地管理和保护这些资产。 2)基线检查 基线检查是指对系统和网络设备的安全配置进行详细描述 和检查的过程,确保它们满足最低的安全要求。基线检查通常包括对操作系统、数据库、中间件、网络设备等的配置进行核查,确保它们符合安全标准和最佳实践。 3)渗透测试/漏洞发现 渗透测试是一种通过模拟恶意黑客的攻击方法来评估计算机网络系统安全的方法。它通过主动分析系统的任何弱点、技术缺陷或漏洞,从攻击者可能存在的位置利用安全漏洞,以评估系统的安全性。 漏洞发现(又称漏洞挖掘)是通过一系列技术手段和方法,对目标系统、软件或网络进行深入分析,以发现其中存在的安全漏洞。这些漏洞可能包括代码缺陷、配置不当、权限管理问题等,一旦被恶意利用,可能导致数据泄露、系统被攻陷等严重后果。 4)有效性验证 有效性验证是指通过技术、流程和工具的融合,验证潜在攻击者如何利用已识别的威胁暴露,以及安全防御体系和流程的实际应对情况。这种验证方法旨在确保安全措施在实际面对攻击时的有效性和可靠性。 (二)整改加固 整改加固是指通过一系列措施和技术手段,增强网络系统的安全性,防止或减少未经授权的访问、数据泄露或系统损坏。这包括对网络设备、服务器、数据库和其他关键组件进行安全配置和加固,以防止潜在的攻击。 1)应用漏洞修复与升级 漏洞修复是指发现并修复软件、操作系统或应用程序中存在的安全弱点,以防止恶意攻击。这通常涉及使用漏洞扫描工具发现漏洞,评估其严重性,并采取相应的修复措施,如安装补丁或更新软件版本。同时,升级也是确保系统安全性的重要手段,它涉及更新软件、操作系统或硬件的版本,以获取新的功能、性能改进或安全修复。通过及时的漏洞修复和定期的升级,管理员可以显著提升系统的安全性、稳定性和性