2024网络安全人才实战能力白皮书安全测试评估篇

安全测试评估篇 编写组织 指导单位 国务院学位委员会学科评议组（网络空间安全组）教育部高等学校网络空间安全专业教学指导委员会 主编单位 北京航空航天大学中国科学技术大学永信至诚科技集团股份有限公司 副主编单位 华中科技大学西安电子科技大学上海交通大学山东大学北京邮电大学东南大学暨南大学武汉大学北京理工大学湖南大学哈尔滨工业大学西北工业大学天津大学战略支援部队信息工程大学北京电子科技学院四川大学中国信息安全测评中心《网络空间安全科学学报》中国联合网络通信集团有限公司中通服华信咨询设计研究院华为技术有限公司蚂蚁科技集团股份有限公司南方电网数字电网集团信息通信科技有限公司福建师范大学中国刑事警察学院中国烟草总公司福建省公司 编委会副主任：俞能海蔡品品 安建平程光陈凯陈兴蜀高松黄欣沂李晖李小勇刘苗守野秦拯魏建国王峰韦王美琴王震许谢雪袁晨张宏莉张佳发张丽章建聪赵磊 白晓媛陈晓琳陈子弘付磊方伟军高博宇葛然郭新海何露胡思煌何志坚李翔吕亚丽欧博秦玉海孙金立魏品品昊文涛王强王星王佩君王戈许伟杰杨望詹东阳张慧翔张张岩曾亮郑世敏曾子懿周天阳 前言 习近平总书记指出：“网络安全牵一发而动全身，深刻影响政治、经济、文化、社会、军事等各领域安全。没有网络安全就没有国家安全，就没有经济社会稳定运行，产大人民群众利益也难以得到保障。”要站在贯彻落实总体国家安全观的高度，强化网络安全意识，全面加强网络安全保障体系和能力建设，筑牢网络安全屏障，坚决维护国家网络安全。 网络空间的竞争，归根结底是人才竞争。在我国深入推进网络强国战略的同时，网络安全人才缺口巨大成为网络安全产业面临的主要问题之一，允其是实战人才更是严重缺失。网络安全人才实战能力建设已经成为驱须解决的时代新命题。 为了推动我国网络空间紧荣稳定，《网络安全人才实战能力白皮书》编委会持续聚焦我国“网络安全人才实战能力”研究，已在国家网络安全宣传周成功发布“攻防实战能力篇”和“人才评价篇”，得到了政产学研用各界的密切关注。在此基础之上，编委会拟定了今年的主题“安全测试评估篇”。 随若人工智能、5G、物联网、区块链等技术的发展和进步，设备数量及数据量急剧增加，数据安全威胁持续放大，已成为事关国家安全与经济社会发展的重大问题。数字化浪潮下，数以百亿的设施设备在数字世界中重构，未知的漏洞和风险也与日俱增，对数学化设备开展带态化安全测试评估，已成为发现和处置安全稳患的必要手段以及检验数字安全屏障可靠性的重要方式。在此背景下，培养具备风险发现、风险验证能力的人才，对数字化进程中的全要素、全场景开展全生命周期测试评估，对于保障国家安全、促进经济发展、维护社会稳定具有深远的意义。 国范围内首个聚焦“安全测试评估”的白皮书，通过大量一线网络安全从业人员、网络安全相关专业在校学生调研间卷及网络安全人才测评演练数据，分析呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践。同时结合专家实战精髓，提出一套安全测试评估人才的立体化评价方法，为数字中国建设中的安全测试评估人才培养和评价提供可行方案，以此为抓手为网络强国建设、数字化建设构筑安全基石。 《白皮书》主要具有以下特点： 1.政产学研用联动，深度部析呈现问题。在国务院学位委员会学科评议组（网络空间安全组）、教育部高等学校网络空间安全专业教学指导委员会的指导下，全国16所一流网络安全学院建设示范项目高校、科研院所、大型央国企及民营企业的一系列深耕网络安全人才培养、数字安全建设工作多年的专家共同组成了《白皮书》编委会。各位专家凝练在科研实践、教育实践和岗位实践中的深厚经验，系统梳理了当前我国安全测评人才现状，凝练出共性间题与挑战，对更好地开展安全测评人才建设具有重要意义。 2.明确问题核心，精准把脉施策。《白皮书》通过剖析安全测评政策法规、标准，人员整体水平，测评结果的公信度等呕待解决的问题，分析问题背后的成因，并提出解决思路，对人才供需两侧如何把脉施策具有很强的指导性。 3.实践经验为基，引领实践航向。《白皮书》通过大量问卷调研、田野调查，对一大批来自央国企业、民营企业一线网络安全岗位的管理者、从业者进行了深度访谈，以理论结合实践的方式创新提出了立体化综合评价安全测评人才能力的GPE方法，对指导相关单位开展安全测试评估人才评价实践、建设人才梯队具有很强的启发性。 《白皮书》由国务院学位委员会学科评议组（网络空间安全组)、教育部高等学校网络空间安全专业教学指导委员会指导，北京航空航天大学、中国科学技术大学、永信至诚科技集团股份有限公司担任主编单位，华中科技大学、西安电子科技大学、上海交通大学、山东大学、北京邮电大学、东南大学、暨南大学、武汉大学、北京理工大学、湖南大学、哈尔滨工业大学、西北工业大学、天津大学、战略支援部队信息工程大学、北京电子科技学院、四川大学、中国信息安全测评中心、《网络空间安全科学学报》、中国联合网络通信集团有限公司、申通服华信咨询设计研究院、华为技术有限公司、蚂数科技集团股份有限公司、南方电网数字电网集团信息通信科技有限公司、福建师范大学、中国刑事警察学院、中国烟草总公司福建省公司担任副主编单位。 《白皮书》编写过程中得到了上述单位的大力支持，再次对所有支持和参与《白皮书》撰写工作的所有单位和个人表示感谢。 由于撰写仓促，如存在表述不妥之处，敬请批评斧正。不胜感激。 目录CONTENTS 第一章网络安全测评状况综述 1.1国内外网络安全测评政策法规01 1.1.1国际网络安全测评政策法规·101.1.2国内网络安全测评政策法规04 1.2.1人才培养状况·061.2.2人才应用状况· 1.3我国网络安全测评领域面临挑战11 1.3.1安全测评法律法规及标准不健全111.3.2安全测评人员能力有待提升111.3.3安全测评管理机制不规范121.3.4安全测评工具国产化较弱13 第二章用人单位安全测评人才现状分析 14 2.1用人单位安全测评人才分布情况14 2.1.1性别、年龄及学历情况142.1.2行业、地域及岗位情况162.1.3安全测评人才资格认证情况19 目 CONTENTS 2.2.1常用的安全测评方式、工具及技术202.2.2安全测评人才需求单位·232.2.3用人单位对安全测评人才的满意度情况24 2.3用人单位进行安全测评的对象26 2.3.1政府进行安全测评的对象262.3.2行业进行安全测评的对象2 /2.3.3企事业进行安全测评的对象 第三章院校安全测评人才培养现状分析32 3.1院校安全测评人才实战能力培养情况32 3.1.1安全测评人才学历情况323.1.2安全测评人才培养院校及所设专业情况333.1.3安全测评人才地域分布情况36 3.2院校安全测评人才培养平台建设情况37 3.2.1相关专业教学实验室/学科平台建设情况373.2.2网络靶场建设情况423.2.3学生意向就业单位分布47 3.3院校安全测评相关资源情况50 3.3.1师资队伍中实战教师占比情况50 3.3.2安全测评相关课程设置情况523.3.3安全测评相关教材编写出版情况54 第四章安全测评人才能力评价方法 58 4.1安全测评人才能力评价方法概述58 4.1.1通用能力594.1.2专业能力604.1.3评价等级· 4.2安全测评人才岗位分层评价概述62 4.2.1安全测评人才分类·624.2.2安全测评人才分层.62 4.3渗透测试工程师岗位评价63 4.3.1岗位要求及特点描述634.3.2岗位分层级方式描述t94.3.3渗透测试工程师岗位高级人才评价654.3.4渗透测试工程师岗位中级人才评价-674.3.5渗透测试工程师岗位初级人才评价694.3.6有效的评价方式-71 4.4网络安全攻防工程师岗位评价 4.4.1岗位要求及特点描述71 目 CONTENTS 4.4.2岗位分层级方式描述4.4.3网络安全攻防工程师岗位高级人才评价744.4.4网络安全攻防工程师岗位中级人才评价：774.4.5网络安全攻防工程师岗位初级人才评价794.4.6有效的评价方式 4.5等级保护测评师岗位评价80 4.5.1岗位要求及特点描述804.5.2岗位分层级方式描述814.5.3等级保护测评师岗位高级人才评价：834.5.4等级保护测评师岗位中级人才评价·834.5.5等级保护测评师岗位初级人才评价..854.5.6有效的评价方式86 4.6.1岗位要求及特点描述4.6.2岗位分层级方式描述894.6.3安全产品测评工程师岗位高级人才评价：684.6.4安全产品测评工程师岗位中级人才评价914.6.5安全产品测评工程师岗位初级人才评价924.6.6有效的评价方式95 第五章安全测评人才在国家网络安全建设中的作用97 5.1支撑国家政策法规的制定和优化L6 5.1.1为政策法规制定提供依据5.1.2为政策法规优化提供建议86 5.2.1推动行业监管能力提升·665.2.2提升监管队伍水平提升. 5.3.1提供底层数据和分析支撑1005.3.2参与标准制定与实施1005.3.3促进国际标准对接·101 5.4促进国家网络安全产业发展和技术创新102 5.4.1促进风险隐患排查与产业安全加固·1025.4.2促进安全产品技术创新与策略优化103 第六章网络安全测试评估工作的指导性建议105 6.1加强顶层设计，加快制定安全测评政策法规及标准105 6.1.1完善关键信息基础设施安全测评标准1056.1.2健全数据安全测评制度与标准...106 目录 CONTENTS 6.1.3研制人工智能安全测评政策法规及标准107 6.2深化政产学研用协同合作，加强测评专门人才培养108 6.2.1加快转变安全测评人才培养模式1086.2.2推动安全测评产业创新发展·1096.2.3筑牢安全测评人才思想防线…·1106.2.4深化产教融合人才培养机制110 6.3规范测评方法和流程，提高测评结果公信度112 6.3.1构建国家安全测评统一标准体系·1136.3.2加强测评机构资质审批与监管1136.3.3提升安全测评独立性与公正性…114 6.4突破安全测评关键技术，实现测评工具自主可控115 6.4.1释放创新能量突破关键技术·1156.4.2推进安全测评工具国产化116 第一章 网络安全测评状况综述 在数字信息化时代，网络空间成为了人类生存的新家园。人类互联互通休戚与共，共同绘就网络空间文明新篇章。作为维护网络空间秩序、深化网络空间治理的基石，网络安全人才及人才增养与发展受到了前所未有的重视。同时，网络安全威励日益复杂多变，风险暴露面无限增大，深入开展全面测评及拓展场景化安全测评应用，也成为了各国制定网络安全政策法规、实施网络安全人才发展策略、开展网络安全科研创新的抓手。 本章通过呈现国内外安全测评政策法规、国内网络安全测评人才状况，总结我国网络安全测评领域面临挑战。通过深入分析，为监管机构、用人单位和院校提供洞见，为推动网络安全测评工作的进步和网络安全测评人才的发展贡献力量。 1.1国内外网络安全测评政策法规 1.1.1国际网络安全测评政策法规 1.美国网络安全测评政策法规 美国在网络安全测评政策法规制定中，始终将关键基础设施防护作为重点，并展现出连贯性与继承性的特征。1996年，时任总统克林领签署第13010号行政令（关键基础设施保护》（CriticalInfrastructureProtection），强调确保关键基础设施的可用性与安全性，成立了关键基础设施保护总统委员会(PCCIP)，为包括网络安全测评在内的网络安全工作确立了明确目标，并奠定了组织基础。 2002年，时任总统布什签署了《2002年国土安全法》（HomelandSecurityActof2002）和《联邦信息安全管理法案》（TheFederalInformationSecurityManagementAct,