信息安全测试员国家职业技能标准（征求意见稿）.docx

信息安全测试员国家职业技能标准（征求意见稿）1职业概况1.1 职业名称信息安全测试员（信息安全渗透测试员）1.2 职业编码4-0404-041.3 职业定义是指通过对评测目标的网络和系统进行渗透测忒，发现安全问题并提出改进建议，使网络和系统免受恶意攻击的人抗。1.4 职业技能等级本职业共设四个等级，分别为：四级/中级工、三级/高级工、二级/技师、一级/高级技师。15职业环境条件室内，常温。16职业能力特征具有定的学习、观察、推理、判断、表达、计算能力：有较强的问题分析、独立工作、沟通交往、协调合作等能力，心理健康.1.7 普通受教育程度高中毕业（含）以上（或同等学力）1.8 培训叁考学时1.1.1 工、三级/高级工不少于160标准学时；二级/技师不少于120标准学时：一级i级技师不少于80标准学时。19职业技能鉴定要求1.1.2 申报条件具备以下条件之一者，可申报四级/中级工：（1）取得相关职业I五级/初级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作2年（含）以上。I相关职业：M络Ij饵息安全管理员、倡息安全工程技术人M、通俗工程技术人员'计算机硬件工程技术人员、计算机软件工程技术人小、计0机网络工程技术人员、信息.系统分析工程技术人员、信史通信网络匕行管理员、信息通信信息化廉统管理员、计算机程序设计仍、计舞机软件式试员等.（2）累计从事本职业或相关职业工作3年（含）以上。（3）取得技工学校本专业或相美专业毕业证书（含尚未取得毕业证书的在校应届毕业生）：或取得经评估论证、以中级技能为培养目标的中等及以上职业学校本专业或相关专业'毕业证书（含尚未取得毕业证书的在校应届毕业生）：具备以下条件之一者，可申报三级/南级工：（1）取得本职业或相关职业四级/中级工职业资格证书（技能等级证书）后,累计从事本职业或相关职业工作3年（含）以上。（2）取得本职业或相关职业四级/中级工职业资格证书（技能等级证书），并具有高级技工学校、技师学院毕业证书（含尚未取得毕业证书的在校应届毕业生）；或取得本职业或相关职业四级/中级工职业资格证书（技能等级证书），并具有经评估论证、以高级技能为培养目标的高等职业学校本专业或相关专业,毕业证书（含尚未取得毕业证书的在校应届毕业生）。（3）具有大专及以上本专业或相关专业;毕业证书，并取得本职业或相关职业四级/中级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作2年（含）以上。具备以下条件之一者，可申报二级/技师：（1）取得本职业或相关职业三级/高级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作4年（含）以上。（2）取得本职业或相关职业三级/高级工职业资格证书（技能等级证书）的高级技工学校、技师学院毕业生.，累计从事本职业或相关职业工作3年（含）以上；或取得本职业或相关职业预备技师证书的技师学院毕业生，累计从事本职业或相关职业工作2年（含）以上。具备以下条件并，可申报级/高级技师：信息安全渗透测试员：,相关专业（技工学校）:计算机网络应用、汴算机程序设计、if算机应用与维佬、计算机信息管理、亚信网络府川、通估运营服务、网络安防系统安装与雏护、物联冏应M技术、网络与倒息安全、云计尊技术吨用、工业互联网技术应用、人工W能技术应用、数字媒体技术血用等怡息类专业.Mf1.关专业（中等职业学校）1效字媒体技术应用，计翼机平面谀计.计算机网络技术.网站珑谀&筲理.网络安防廉统安装Ij挑护.软件9倍总服务、客户信川服务、计算机9数码产M维修.电子与信息技术，电了技本应阳、通信技术、通信运ft服务、通信展统工林安装叮鲍护，物联网技术应用.网络信总安全、移动应用技术1.j服务等信息技术类专业'相关专业（R等职业学校）：计算机Bt用技术、计算机网络技术、计算机信息管理、计算机泵鼓与推护、软件技术、轼件与信息服务、嵌入式技术与应用、数字展示技术、数字盥体应用技术、信息安全与理、移动底阳开发、云计域技术与应用'人敝粼技术与应用、人1.W优技术照务等计灯机类专业.Me关专业（书美豳等学校本科）I信息安全.计算机科学与技术、软件工标,网络工S1.物联网工程,数字媒体之术,智能科学与技术.空间值患切数字技术.电子与计算机工探、效据科学与大敏据按术，网络空间安全、新媒体技术、保变技术、城务科学与工程、虚拟现实技术、区块埼工程、网络安全JJ执法等计口.机类、电子信息类专业.取得本职业或相关职业二皱/技师职业资格证书（技能等级证书）后，笈计从事本职业或相关职业工作3年（含）以上。1.1.3 鉴定方式鉴定方式分为理论知识考试、技能考核以及综合审定。理论知识考试笔试、机考等方式为主，主要考核从业人员从事本职业应掌握的基本要求和相关知识要求：技能考核主要采用现场操作、模拟操作等方式进行，主要考核从业人员从事本职业应具备的技能水平：综合审定主要针对技师和高级技师，通常采取审阅申报材料、答辩等方式进行全面评议和审查。理论知识考试、技能考核和综合审定均实行百分制，成绩皆达60分（含）以上者为合格。1.1.1 考人员、考评人员与考生配比理论知识考试中的监考人员与考生配比为1：15,且每个考场不少于2名监考人员：技能考核中的考评人员与考生配比不低于1：5,旦考评人员为3名（含）以上单数；综合审定委员为3人（含）以上单数。1.9.4 鉴定时间理论知识考试时间不少于90分钟，技能操作考核时间不少于120分钟.综合审定时间不少于30分钟.，1.9.5 鉴定场所设备理论知识考试在标准教室进行：技能操作考核在具有必备的网络环境、软彼件资源，安全设施完善的场所进行。2基本要求2.1 职业道德2.1.1 职业道德基本知识2.1.2 职业守则（1）遵纪守法，保密合规“（2）廉洁自律,可靠可信。（3）牢记职责，爱岗敬业。（4）客观严谨，公平公正。（5）流程规范，操作安全。（6）认真负成，团结协作。（7）挑战自我，勇丁创新.2. 2.1计算机基础知识（1）操作系统知识.（2） 应用软件知识.（3） 数据库知识.（4） 计算机网络知识。（5） 2.2网络安全基础知识（1）网络安全基本概念.（2）网络安全模型。（3）密码学基础知识。（6） .3网络安全技术专业知识（1） WEB安全专业知识。（2）网络协议安全专业知识.（3）中间件安全专业知识。（4）操作系统安全专业知识。（5）数据库安全专业知识。（6）密码学专业知识。（7）社会工程学专业知识。（8）安全审计技术专业知识.（9）反恶意软件与入侵检测技术专业知识。C1.O）备份与恢更技术专业知识。2. 2.4工作常用知识（1） 应用文写作的一般要求.（2） 网络与信息安全专业英语基本词汇.2.2.5相关法律、法规知识（3） 中华人民共和国民法典的相关知识。（4） 中华人民共和国劳动法的相关知识。（5） ，中华人民共和国劳动合同法的相关知识。（6） 中华人民共和国网络安全法的相关知识。（7） 中华人民共和国密码法的相关知识。（8） 中华人民共和国数据安全法（草案）的相关知识。（9） 中华人民共和国个人信息保护法（草案的相关知识。（10） *网络安全审查办法的相关知识。（11） E网络安全漏洞管理规定（待颁布）的相关知识。（12） 6网络安全威胁信息发布管理办法(待颁布)的相关知识。（三）网络安全技术标准的相关知识.(12)其他网络安全相关法律法规、政策、管理规定相关知识。3工作要求本标准对四级/中级工、三破/高级工、二级/技师、级/高级技师的技能要求和相关知识要求依次递进，高级别涵盖低级别的要求.12.1 级/中级工(信息安全渗透测试员)职业功能工作内容技能要求相关知识要求1.安全研究1.1漏洞侑息研究1.1.1 能查恻公开的安全漏洞(以卜向林温河报告，梳理漏洞分析报告1.1.2 能收集已公开的漏洞验证程序1.1.3 能评估测试结果海洞等级1.1.1CNNVD(中国国家信息安全温洞库、CNVD国家信息安全漏洞共享平台、CVE(CommonVu1.nerabi1.ities&EXPaSUncs)等平台使用方法1.1.2漏洞报告横理方法1.1.3CNNVD(中国国家信息安全漏洞库、CNVD(同家信息安全漏洞扶享平台、CVE(COmmOnVu1.nerabi1.ities&EXPoSUes)等平台漏洞晚理1.1.4已公开漏涧蛤证程序检索方法IJS漏洞等级僻定方法1.2漏涧工其研究1.2健枪索己披露的漏洞的测试方法、工具1.2.2健搭建漏洞测试与测试工具所需的运行环境1.2.1 漏涧测试环境搭建方法1.2.2 JS洞触发尿理2.脆弱性测试2.1侑息收生2.1.1 .能根据测试对象类型确认测试工具2.1.2 能根据授权文件确定测试对象边界2.1.3 能使用信总收集IJ!元成信息收佻J1.作2.1.1 域名的必木蝮念2.1.2 信息收集工作方法2.1.3 信息收集工具使用方法2.2测试实施2.2.1 能配比、使用港透测试工具完成测试2.2.2 能确认扫描工作执行的工作状态2.2.3 能配置、使用压力测试工具完成测试22I渗透测试工具配亘方法2.2.2 倦透测试1：具使用方法2.2.3 归描状态确认方法2.2.4 压力测试匚具配置方法2.2.5 压力测试匚具使用方法3.渗透测试3.1环境恢复3.1.1 能区分测试过程中所产生的数抠类型3.1.2 能评估测试所产生数据对信息系统的影响3.1.1系统、应刖日志等常见数据类型3.1.2应用系统功能、业务流程3.1.3港透测试操作影响评估,方法3.2测试管理3.2.1 能根据测试工作流程确定使用测试工具类型3.2.2 能根据标准测试项造择测试方案3.2.1 滋透测试工具确认方法3.2.2 测试方案选择方法4.修5?防护4.1测试报管墙制4.1.1.健根据模板整理测试获得的数据4.1.2能板招测试掖告模板整理相关的测试记录4.1测试数舜白档方法4.1.2测试记录整理方法4.2漏洞修复测试4.2.1 能根据测试工具输出的测试报告验证漏洞4.2.2 能借助漏洌测试工具验证漏洞修复效果421漏洞测试工具使用方法4.2.2漏洞脸证方法4.2.3漏涧发测方法3. 2三级/高级工（信息安全渗透测试员）职业功能工作内容技能要求相关知识要求1.安全研究1.1漏洞信息研究1.1.1 使收集已公开高危漏洞伯息进行混测研究，能写漏洞复现报告1.1.2 能评估已公开漏洞的危害、影响他Iib提交漏洞评估报告1.1.ICNNVD（中国国家信息安金漏洞昨）、CNVD（国家侑息安全漏洞共享平台）、CVE（COmmonVu1.nerabi1.ities&EXPoSUrCS）等平ff漏洞除体系知识1.1.2漏洞红现报告嵋写方法1.1.3公开漏洞危害评估方法1.1.4涮洞评估报告编写方法i.2漏洞工具研究1.2.1 能验证已被舞漏洞测试工具的有效性1.2.2 能根据已有的潟洞代码片段漏与漏洞触发代码1.2.1 己掇正洞洞的测试工具使用方法1.2.2 漏洞触发代码编写方法2.腌弱性测试2.1信息收柒2.1.1.能使用自动化和人工相结台完成信息收集工作2.1.2健检理、分析信息收案结果2.1.1 人工信息收集方法2.1.2 %维度数据关联分析方法2.2测试实施2.2.1 能通过资产风险寻找测试突破12.2.2 焚根据给定测试项人工实施漏洞测试工作223健根据目标系统实际情况制定压力测试策略,确定测试指标2.2.1 注透测试实施流程2.2.2 漏涧验证方法2.2.3 人I：渗透方法2.2.4 压力测试实Ift方法3.清透测试3.1测试准各3.1.1 能判新业务高衅期.忸峥进行渗透测试3.1.2 健W估所使用测试手段对系统的业务影响3.1.1 系统业务负我判断方法3.1.2 漏洞原理及影响3.2环境恢史3.2.1 能确定环境恢女的内容3.2.2 能对环境恢史提电建议3.2.1 数据文件查找方法3.2.2 日志文件分析方法3.3测试管理3.3.1能根据制成对象确证制试流程332能根据日志文件判断对应的行为3.3.3健根擀测试1.作实施过程中的异常情况，发现不规苞的操作或失误3.3.1港透测试筑施方法332测试弁常情况判断方法3.3.3测试异常应急处黄方法4.修复防护4.1测试报告铜制4.1.1 能梳理测试过程中获取的数据4.1.2 能根据测试结果编写测试报告4.1.1测试数据处理方法4.1.2测试根告漏制方法4.2漏洞修复测试421能根据测试项及测试站果，给出懂更建议4.2.2健根抠测状报Pr,及证漏洞修复效果4.2.1 工漏洞验证方法4.2.2 漏洞验证I：只使用方法4.2.3 漏洞修St方法J.，磁/技加（口号女主渗JS测风贝/职业功能工作内容技能要求相关知策要求1.安全研究1.1漏洞信息研究.1.I健根据己公开的高危iW洞信息.编写漏洞利用流程报告1.1.2能根据盲方发布的漏洞侑息提出解决方法1.IiW洞攻击原理,漏洞防护、绕过原理1.1.2漏洞利用流程报告嫡写方法1.2漏洞工具研究1.2.1 能优化已公开湖洞测试工具1.2.2 能型成开发网刑验证程序用于测试工作1.2.1 湿洞测试工具原理1.2.2 漏洞验证程序集成开发方法1.3漏洞发现1.3.1 健在有目标系统源码的茶础上进疗漏洞检掘1.3.2 能使用代码审计的方式测送目标湿洞1.3.1 常见（例如收录于CNVD中的漏洞）应用漏涧挖掘方法1.3.2 代码审计方法2.SB洞测试2.1佶息收集1.1.1 1.I能使用人工方式收集信息1.1.2 能使用社会工程学并结合技术手段获取测试目标信息1.1.3 能根据测试对象的业务也机绘制业务数据流向图2.1.1 社交工具、授盍引箪使用方法2.1.2 社会工程学柢念及实施方法2.1.3 业务逻辑流程,业务数招流绘图方法2.2测试实施2.2.1能根据误报信息优化测试工具的使用谯略2.2.2健根据业务逻辑，测试业务逻辑都洞2.23能揄耳压力测试脚本,并对目标进行压力测试2.2.4使对压力测试数据进行分析,编写压力测试报告2.2.1测试工具使用策略优化方法2.2.2系统调用送料、业务理轼交互方式2.23业务逻辑漏洞测试思路224压力测试脚本编写方法225压力测试数据分析方法2.2.6压力测试报告揭写方法3.涛透测试3.1漏洌利用3.1.1 能利用多漏洞联合方式进行测试3.1.2 能完整记录漏洞利用过程3.1.3 能境过安全防御机制进行测试3.1.4 能制定渤试路径3.1.5 1.5德进行社会工程学测试进行测试工作3.1.1 漏洞关联分析方法3.1.2 漏洞利用过程记录方法3.1.3 1.3安全设价检测机制原理3.1.4 安全防御机制烧过方法3.1.5 测试路径分析方法3.1.6 社会工程会实施方法3.2环境恢发3.2.1 健确认测试对象相关的数据及资料完整和准确3.2.2 能确认环境恢攵3.2.1测试数据隔认要求3.22环境恢复翌求3.2.2环境恢复确认方法3.3测试管理3.3.1 能实施测试工作中的风险规避措施及应急预案3.3.2 健在实施过程中进行风冷管控3.3.3 健毋耳用于指导制试实施1二作的安全测试计划3.3.4 健编写用于指称测试实施工作的安全测状技术指南3.3.1 测试操作异常识别方法3.3.2 测试异常情况处理流程3.3.3 信息系统风险管控要求3.3.4 测试实施计划编写方法3.3.5 测状技术指由温写方法4.修品防护4.1测试报告编制4.1.1 能讲解测试过程4.1.2 能编写测试报告模板4.1.1测试过程要点4.1.2测试报告模板编写方法4.2漏洞修复建议4.2.1便给出通用型漏洞修建议422f常给出业务逻辑漏洞的传复建坟4.2.1通用型漏洞修攵原理422业务逻辑漏洞原理、修复方法5.用调指导5.1培训实施51.I能M订培训工作计划5.1.2 能编制和实施培训方案5.1.3 能揭写本职业培训教材、讲义、课件5.1.4 能进行本职业培训宣讲1.1.1 职业技能与理论基础知识1.1.2 培训工作计划的制订要求和方法1.1.3 培训方案嫡制和实施的要求和方法1.1.4 培训教材、讲义、课件的第耳知识1.1.5 教学教法知识5.2技术指导5.2.1 能对本职业三级/高级工及以下姬别人员进行技能指导5.2.2 能对本职业三税/高级工及以下级别人员技能水平进行考核5.2.1 探作经验和技能总结方法5.2.2 技能和理论基础知识水平考核的要求和方法5.2.3 技能和理论基础知识水平考核的内容3.4一级/高级技师（信息安全渗透测试员）职业功能工作内容技能要求相关知火要求I.安全研究1.1翻涧信息研究.1.能研窕湖洞影响范H1.编写温词预警报告1.1.2能判断漏洞的补丁或临时解决方案对湖洞防范的有效性1.1.1 漏洞防护方法1.1.2 潟洞预告报告编写方法1.2漏洞工具研究121能分析漏洞伟息并编写淘洞触发代码122根据谢洞触发代码，编号JH洞测试I：具1.2.1 漏洞信息分析方法1.2.2 漏洞检测工具煽写方法1.3温洞发现1.3.1能发现未知充洞。132能对发现的未知漏洞进行评估,编写漏洞说明材料.13IiW洞原理分析方法132漏洞说明文件防耳方法2J8洞测试2.1信息收集2.1.1 能编写信息收佻i.1.2.1.2 能更新迭代信息收集1.具2.1.1 信息收集1：具编写方法2.1.2 信息收集工具迭代方法2.2测试紫东2.2.1 能结合测试场景制定测试工具的使用策略2.2.2 能编写测试工具223健根据压力测试结果,给出针对性的系统优化方案2.2.1代码审计原珅2.2.2 测试工具纲与方法2.2.3 测试报告审定方法2.2.4 系统性能优化方法3.清透测试3.1做患处同3.1.1 能发现系统内除藏的恶意程序3.1.2 能对系统内吃藏的怒意科序进行分折、处置或潮源3.1.1 恶意程序发现方法3.1.2 恶意程序分析处置方法3.1.3 恶意程序溯源方法3.2测试管理3.2.1 能评估信息系统异常情况类型和级别等指标3.2.2 能制定测试作应急B1.案，解决异常问题3.2.3 健审定、优化安全测试技术指南3.2.4 能审定、优化实施计划3.2.1 测试异常情况区分标准322测试突发情况处理方法3.2.3 安全事件影响等级的评估方法324应急预案编制方法3.2.5 安全渊试方法、原理3.2.6 技术指圉、实施计划审定方法4.修亚防护4测试报告编制4.1.1 能审定、优化测试报告4.1.2 能审定、优化测试报雷模板4.1.1测试报告审定、优化方法41.2测试报告模板审定、优化方法4.2漏洞修复建议4.2.1 能对测试对象给出具体怪红建议4.2.2 健对整体信息系统给出安全优化建议4.2.1 安全防护、安全检测标准4.2.2 系统整体梨构4.2.3 系统整体安全优化方法5.培训指导5.1培训实施4.1.1 能对培调雷求进行分析4.1.2 能编制培训规划4.1.3 健姐织1号木职业培训教材、讲义、教案4.1.4 能进行本职业培训宣讲4.1.1培训需求分析的要求和方法4.1.2培训规划编制的要求&1.3培训预算与决算的审核方法5.2技术指导4.2.1 能对本职业各级别人员技能进行指导4.2.2 能对本职业各级别人员技健水平进行考核4.2.3 能组织开展技术革新活动4.2.1操作技能方法4.2.2指导技能操作的知识423技术革新的方法4权重表4.1 理论知识权重表4.1.1理论知识权重表（信息安全渗透测试员）顶H技能等级四级/中级工(%)三级/高级工(%)二级/技师(%)一级/高级技师(%)基本职业道德5555要求基础知识201055安全研究25202025相关脆弱性测试25302525知识渗透测试20302520要求修及防护551010培训指导1010合计1001001001004. 2技能要求权重表4. 2.1技能要求权重表(信息安全渗透测试员)上他等级四级/中级工(%)三级/高皴工(%)二级/技师(%)一级/高级技师(%)安全研究30302530技能脆弱性测试30302525要求渗透测试20302520修复防护20101010培训指导1515合计100100100100