信息安全測試員 國家職業(yè)技能標(biāo)準

信息安全測試員

國家職業(yè)技能標(biāo)準

（征求意見稿）

1職業(yè)概況

1.1職業(yè)名稱

信息安全測試員（信息安全滲透測試員）

1.2職業(yè)編碼

4-04-04-04

1.3職業(yè)定義

是指通過對評測目標(biāo)的網(wǎng)絡(luò)和系統(tǒng)進行滲透測試，發(fā)現(xiàn)安全問題并提出改進

建議，使網(wǎng)絡(luò)和系統(tǒng)免受惡意攻擊的人員。

1.4職業(yè)技能等級

本職業(yè)共設(shè)四個等級，分別為：四級/中級工、三級/高級工、二級/技師、

一級/高級技師。

1.5職業(yè)環(huán)境條件

室內(nèi)，常溫。

1.6職業(yè)能力特征

具有一定的學(xué)習(xí)、觀察、推理、判斷、表達、計算能力；有較強的問題分析、

獨立工作、溝通交往、協(xié)調(diào)合作等能力，心理健康。

1.7普通受教育程度

高中畢業(yè)（含）以上（或同等學(xué)力）

1.8培訓(xùn)參考學(xué)時

四級/中級工、三級/高級工不少于160標(biāo)準學(xué)時；二級/技師不少于

120標(biāo)準學(xué)時；一級/高級技師不少于80標(biāo)準學(xué)時。

1.9職業(yè)技能鑒定要求

1.9.1申報條件

具備以下條件之一者，可申報四級/中級工：

（1）取得相關(guān)職業(yè)1五級/初級工職業(yè)資格證書（技能等級證書）后，累計

從事本職業(yè)或相關(guān)職業(yè)工作2年（含）以上。

1相關(guān)職業(yè)：網(wǎng)絡(luò)與信息安全管理員、信息安全工程技術(shù)人員、通信工程技術(shù)人員、計算機硬件工程技術(shù)人員、

計算機軟件工程技術(shù)人員、計算機網(wǎng)絡(luò)工程技術(shù)人員、信息系統(tǒng)分析工程技術(shù)人員、信息通信網(wǎng)絡(luò)運行管理

員、信息通信信息化系統(tǒng)管理員、計算機程序設(shè)計員、計算機軟件測試員等。

（2）累計從事本職業(yè)或相關(guān)職業(yè)工作3年（含）以上。

（3）取得技工學(xué)校本專業(yè)或相關(guān)專業(yè)2畢業(yè)證書（含尚未取得畢業(yè)證書的在

校應(yīng)屆畢業(yè)生）；或取得經(jīng)評估論證、以中級技能為培養(yǎng)目標(biāo)的中等及以上職業(yè)

學(xué)校本專業(yè)或相關(guān)專業(yè)3_5畢業(yè)證書（含尚未取得畢業(yè)證書的在校應(yīng)屆畢業(yè)生）；

具備以下條件之一者，可申報三級/高級工：

（1）取得本職業(yè)或相關(guān)職業(yè)四級/中級工職業(yè)資格證書（技能等級證書）后，

累計從事本職業(yè)或相關(guān)職業(yè)工作3年（含）以上。

（2）取得本職業(yè)或相關(guān)職業(yè)四級/中級工職業(yè)資格證書（技能等級證書），

并具有高級技工學(xué)校、技師學(xué)院畢業(yè)證書（含尚未取得畢業(yè)證書的在校應(yīng)屆畢業(yè)

生）；或取得本職業(yè)或相關(guān)職業(yè)四級/中級工職業(yè)資格證書（技能等級證書），并

具有經(jīng)評估論證、以高級技能為培養(yǎng)目標(biāo)的高等職業(yè)學(xué)校本專業(yè)或相關(guān)專業(yè)4畢業(yè)

證書（含尚未取得畢業(yè)證書的在校應(yīng)屆畢業(yè)生）。

（3）具有大專及以上本專業(yè)或相關(guān)專業(yè)5畢業(yè)證書，并取得本職業(yè)或相關(guān)

職業(yè)四級/中級工職業(yè)資格證書（技能等級證書）后，累計從事本職業(yè)或相關(guān)職

業(yè)工作2年（含）以上。

具備以下條件之一者，可申報二級/技師：

（1）取得本職業(yè)或相關(guān)職業(yè)三級/高級工職業(yè)資格證書（技能等級證書）

后，累計從事本職業(yè)或相關(guān)職業(yè)工作4年（含）以上。

（2）取得本職業(yè)或相關(guān)職業(yè)三級/高級工職業(yè)資格證書（技能等級證書）

的高級技工學(xué)校、技師學(xué)院畢業(yè)生，累計從事本職業(yè)或相關(guān)職業(yè)工作3年（含）

以上；或取得本職業(yè)或相關(guān)職業(yè)預(yù)備技師證書的技師學(xué)院畢業(yè)生，累計從事本職

業(yè)或相關(guān)職業(yè)工作2年（含）以上。

具備以下條件者，可申報一級/高級技師：

信息安全滲透測試員：

2相關(guān)專業(yè)（技工學(xué)校）：計算機網(wǎng)絡(luò)應(yīng)用、計算機程序設(shè)計、計算機應(yīng)用與維修、計算機信息管理、通信網(wǎng)

絡(luò)應(yīng)用、通信運營服務(wù)、網(wǎng)絡(luò)安防系統(tǒng)安裝與維護、物聯(lián)網(wǎng)應(yīng)用技術(shù)、網(wǎng)絡(luò)與信息安全、云計算技術(shù)應(yīng)用、

工業(yè)互聯(lián)網(wǎng)技術(shù)應(yīng)用、人工智能技術(shù)應(yīng)用、數(shù)字媒體技術(shù)應(yīng)用等信息類專業(yè)。

3相關(guān)專業(yè)（中等職業(yè)學(xué)校）：數(shù)字媒體技術(shù)應(yīng)用、計算機平面設(shè)計、計算機網(wǎng)絡(luò)技術(shù)、網(wǎng)站建設(shè)與管理、網(wǎng)

絡(luò)安防系統(tǒng)安裝與維護、軟件與信息服務(wù)、客戶信息服務(wù)、計算機與數(shù)碼產(chǎn)品維修、電子與信息技術(shù)、電子

技術(shù)應(yīng)用、通信技術(shù)、通信運營服務(wù)、通信系統(tǒng)工程安裝與維護、物聯(lián)網(wǎng)技術(shù)應(yīng)用、網(wǎng)絡(luò)信息安全、移動應(yīng)

用技術(shù)與服務(wù)等信息技術(shù)類專業(yè)。

4相關(guān)專業(yè)（高等職業(yè)學(xué)校）：計算機應(yīng)用技術(shù)、計算機網(wǎng)絡(luò)技術(shù)、計算機信息管理、計算機系統(tǒng)與維護、軟

件技術(shù)、軟件與信息服務(wù)、嵌入式技術(shù)與應(yīng)用、數(shù)字展示技術(shù)、數(shù)字媒體應(yīng)用技術(shù)、信息安全與管理、移動

應(yīng)用開發(fā)、云計算技術(shù)與應(yīng)用、大數(shù)據(jù)技術(shù)與應(yīng)用、人工智能技術(shù)服務(wù)等計算機類專業(yè)。

5相關(guān)專業(yè)（普通高等學(xué)校本科）：信息安全、計算機科學(xué)與技術(shù)、軟件工程、網(wǎng)絡(luò)工程、物聯(lián)網(wǎng)工程、數(shù)字

媒體技術(shù)、智能科學(xué)與技術(shù)、空間信息與數(shù)字技術(shù)、電子與計算機工程、數(shù)據(jù)科學(xué)與大數(shù)據(jù)技術(shù)、網(wǎng)絡(luò)空間

安全、新媒體技術(shù)、保密技術(shù)、服務(wù)科學(xué)與工程、虛擬現(xiàn)實技術(shù)、區(qū)塊鏈工程、網(wǎng)絡(luò)安全與執(zhí)法等計算機類、

電子信息類專業(yè)。

取得本職業(yè)或相關(guān)職業(yè)二級/技師職業(yè)資格證書（技能等級證書）后，累計

從事本職業(yè)或相關(guān)職業(yè)工作3年（含）以上。

1.9.2鑒定方式

鑒定方式分為理論知識考試、技能考核以及綜合審定。理論知識考試筆試、

機考等方式為主，主要考核從業(yè)人員從事本職業(yè)應(yīng)掌握的基本要求和相關(guān)知識要

求；技能考核主要采用現(xiàn)場操作、模擬操作等方式進行，主要考核從業(yè)人員從事

本職業(yè)應(yīng)具備的技能水平；綜合審定主要針對技師和高級技師，通常采取審閱申

報材料、答辯等方式進行全面評議和審查。

理論知識考試、技能考核和綜合審定均實行百分制，成績皆達60分（含）

以上者為合格。

1.9.3監(jiān)考人員、考評人員與考生配比

理論知識考試中的監(jiān)考人員與考生配比為1︰15，且每個考場不少于2名

監(jiān)考人員；技能考核中的考評人員與考生配比不低于1︰5，且考評人員為3名

（含）以上單數(shù)；綜合審定委員為3人（含）以上單數(shù)。

1.9.4鑒定時間

理論知識考試時間不少于90分鐘，技能操作考核時間不少于120分鐘，綜

合審定時間不少于30分鐘。

1.9.5鑒定場所設(shè)備

理論知識考試在標(biāo)準教室進行；技能操作考核在具有必備的網(wǎng)絡(luò)環(huán)境、軟硬

件資源，安全設(shè)施完善的場所進行。

2基本要求

2.1職業(yè)道德

2.1.1職業(yè)道德基本知識

2.1.2職業(yè)守則

（1）遵紀守法，保密合規(guī)。

（2）廉潔自律，可靠可信。

（3）牢記職責(zé)，愛崗敬業(yè)。

（4）客觀嚴謹，公平公正。

（5）流程規(guī)范，操作安全。

（6）認真負責(zé)，團結(jié)協(xié)作。

（7）挑戰(zhàn)自我，勇于創(chuàng)新。

2.2基礎(chǔ)知識

2.2.1計算機基礎(chǔ)知識

（1）操作系統(tǒng)知識。

（2）應(yīng)用軟件知識。

（3）數(shù)據(jù)庫知識。

（4）計算機網(wǎng)絡(luò)知識。

2.2.2網(wǎng)絡(luò)安全基礎(chǔ)知識

（1）網(wǎng)絡(luò)安全基本概念。

（2）網(wǎng)絡(luò)安全模型。

（3）密碼學(xué)基礎(chǔ)知識。

2.2.3網(wǎng)絡(luò)安全技術(shù)專業(yè)知識

（1）WEB安全專業(yè)知識。

（2）網(wǎng)絡(luò)協(xié)議安全專業(yè)知識。

（3）中間件安全專業(yè)知識。

（4）操作系統(tǒng)安全專業(yè)知識。

（5）數(shù)據(jù)庫安全專業(yè)知識。

（6）密碼學(xué)專業(yè)知識。

（7）社會工程學(xué)專業(yè)知識。

（8）安全審計技術(shù)專業(yè)知識。

（9）反惡意軟件與入侵檢測技術(shù)專業(yè)知識。

（10）備份與恢復(fù)技術(shù)專業(yè)知識。

2.2.4工作常用知識

（1）應(yīng)用文寫作的一般要求。

（2）網(wǎng)絡(luò)與信息安全專業(yè)英語基本詞匯。

2.2.5相關(guān)法律、法規(guī)知識

（1）《中華人民共和國民法典》的相關(guān)知識。

（2）《中華人民共和國勞動法》的相關(guān)知識。

（3）《中華人民共和國勞動合同法》的相關(guān)知識。

（4）《中華人民共和國網(wǎng)絡(luò)安全法》的相關(guān)知識。

（5）《中華人民共和國密碼法》的相關(guān)知識。

（6）《中華人民共和國數(shù)據(jù)安全法》(草案)的相關(guān)知識。

（7）《中華人民共和國個人信息保護法》(草案)的相關(guān)知識。

（8）《網(wǎng)絡(luò)安全審查辦法》的相關(guān)知識。

（9）《網(wǎng)絡(luò)安全漏洞管理規(guī)定》（待頒布）的相關(guān)知識。

（10）《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法》（待頒布）的相關(guān)知識。

（11）網(wǎng)絡(luò)安全技術(shù)標(biāo)準的相關(guān)知識。

（12）其他網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策、管理規(guī)定相關(guān)知識。

3工作要求

本標(biāo)準對四級/中級工、三級/高級工、二級/技師、一級/高級技師的技能要

求和相關(guān)知識要求依次遞進，高級別涵蓋低級別的要求。

3.1四級/中級工（信息安全滲透測試員）

職業(yè)功能工作內(nèi)容技能要求相關(guān)知識要求

1.1.1CNNVD（中國國家信息安全

漏洞庫）、CNVD（國家信息安全

漏洞共享平臺）、CVE(Common

Vulnerabilities&Exposures)等平臺

1.1.1能查閱公開的安全漏洞使用方法

（以下簡稱漏洞）報告，梳理1.1.2漏洞報告梳理方法

1.1漏洞信漏洞分析報告1.1.3CNNVD（中國國家信息安全

息研究1.1.2能收集已公開的漏洞驗證漏洞庫）、CNVD（國家信息安全

程序漏洞共享平臺）、CVE(Common

1.安全研

能評估測試結(jié)果漏洞等級Vulnerabilities&Exposures)等平臺

究1.1.3

漏洞原理

1.1.4已公開漏洞驗證程序檢索方

法

1.1.5漏洞等級評定方法

1.2.1能檢索已披露的漏洞的測

1.2漏洞工試方法、工具1.2.1漏洞測試環(huán)境搭建方法

具研究1.2.2能搭建漏洞測試與測試工1.2.2漏洞觸發(fā)原理

具所需的運行環(huán)境

2.1.1.能根據(jù)測試對象類型確

認測試工具

2.1.1域名的基本概念

信息收能根據(jù)授權(quán)文件確定測試

2.12.1.2信息收集工作方法

集對象邊界2.1.2

2.1.3信息收集工具使用方法

2.1.3能使用信息收集工具完成

2.脆弱性信息收集工作

測試能配置、使用滲透測試工

2.2.12.2.1滲透測試工具配置方法

具完成測試

2.2.2滲透測試工具使用方法

測試實能確認掃描工作執(zhí)行的工

2.22.2.2掃描狀態(tài)確認方法

施作狀態(tài)2.2.3

2.2.4壓力測試工具配置方法

2.2.3能配置、使用壓力測試工

具完成測試2.2.5壓力測試工具使用方法

3.1.1能區(qū)分測試過程中所產(chǎn)生3.1.1系統(tǒng)、應(yīng)用日志等常見數(shù)據(jù)

3.1環(huán)境恢的數(shù)據(jù)類型類型

復(fù)3.1.2能評估測試所產(chǎn)生數(shù)據(jù)對3.1.2應(yīng)用系統(tǒng)功能、業(yè)務(wù)流程

3.滲透測信息系統(tǒng)的影響3.1.3滲透測試操作影響評估方法

試3.2.1能根據(jù)測試工作流程確定

3.2測試管使用測試工具類型3.2.1滲透測試工具確認方法

理3.2.2能根據(jù)標(biāo)準測試項選擇測3.2.2測試方案選擇方法

試方案

4.1.1.能根據(jù)模板整理測試獲得

4.1測試報的數(shù)據(jù)4.1.1測試數(shù)據(jù)歸檔方法

告編制4.1.2能根據(jù)測試報告模板整理4.1.2測試記錄整理方法

4.修復(fù)防相關(guān)的測試記錄

護4.2.1能根據(jù)測試工具輸出的測

4.2.1漏洞測試工具使用方法

4.2漏洞修試報告驗證漏洞

4.2.2漏洞驗證方法

復(fù)測試4.2.2能借助漏洞測試工具驗證

漏洞復(fù)測方法

漏洞修復(fù)效果4.2.3

3.2三級/高級工（信息安全滲透測試員）

職業(yè)功能工作內(nèi)容技能要求相關(guān)知識要求

1.1.1CNNVD（中國國家信息安

1.1.1能收集已公開高危漏洞信全漏洞庫）、CNVD（國家信息

息進行漏洞研究，編寫漏洞復(fù)安全漏洞共享平臺）、

1.1漏洞現(xiàn)報告CVE(CommonVulnerabilities&

等平臺漏洞庫體系知識

信息研究1.1.2能評估已公開漏洞的危Exposures)

害、影響范圍，提交漏洞評估1.1.2漏洞復(fù)現(xiàn)報告編寫方法

安全研究

1.報告1.1.3公開漏洞危害評估方法

1.1.4漏洞評估報告編寫方法

1.2.1能驗證已披露漏洞測試工

1.2.1已披露漏洞的測試工具使用

漏洞具的有效性

1.2方法

工具研究能根據(jù)已有的漏洞代碼片

1.2.2漏洞觸發(fā)代碼編寫方法

段編寫漏洞觸發(fā)代碼1.2.2

2.1.1能使用自動化和人工相結(jié)

2.1信息合完成信息收集工作2.1.1人工信息收集方法

收集2.1.2能梳理、分析信息收集結(jié)2.1.2多維度數(shù)據(jù)關(guān)聯(lián)分析方法

果

2.脆弱性測2.2.1能通過資產(chǎn)風(fēng)險尋找測試

試突破口

2.2.1滲透測試實施流程

2.2.2能根據(jù)給定測試項人工實

測試2.2.2漏洞驗證方法

2.2施漏洞測試工作

實施2.2.3人工滲透方法

2.2.3能根據(jù)目標(biāo)系統(tǒng)實際情況

壓力測試實施方法

制定壓力測試策略，確定測試2.2.4

指標(biāo)

3.1.1能判斷業(yè)務(wù)高峰期，錯峰

3.1測試進行滲透測試3.1.1系統(tǒng)業(yè)務(wù)負載判斷方法

準備3.1.2能評估所使用測試手段對3.1.2漏洞原理及影響

系統(tǒng)的業(yè)務(wù)影響

3.2環(huán)境3.2.1能確定環(huán)境恢復(fù)的內(nèi)容3.2.1數(shù)據(jù)文件查找方法

恢復(fù)3.2.2能對環(huán)境恢復(fù)提出建議3.2.2日志文件分析方法

3.滲透測試

3.3.1能根據(jù)測試對象確定測試

流程

能根據(jù)日志文件判斷對應(yīng)3.3.1滲透測試實施方法

測試3.3.2

3.3的行為測試異常情況判斷方法

管理3.3.2

3.3.3能根據(jù)測試工作實施過程3.3.3測試異常應(yīng)急處置方法

中的異常情況，發(fā)現(xiàn)不規(guī)范的

操作或失誤

4.1.1能梳理測試過程中獲取的

4.1測試數(shù)據(jù)4.1.1測試數(shù)據(jù)處理方法

報告編制4.1.2能根據(jù)測試結(jié)果編寫測試4.1.2測試報告編制方法

報告

4.修復(fù)防護

4.2.1能根據(jù)測試項及測試結(jié)

4.2.1人工漏洞驗證方法

4.2漏洞果，給出修復(fù)建議

4.2.2漏洞驗證工具使用方法

修復(fù)測試4.2.2能根據(jù)測試報告，驗證漏

漏洞修復(fù)方法

洞修復(fù)效果4.2.3

3.3二級/技師（信息安全滲透測試員）

職業(yè)功能工作內(nèi)容技能要求相關(guān)知識要求

1.1.1能根據(jù)已公開的高危漏洞1.1.1漏洞攻擊原理，漏洞防

1.1漏洞信息，編寫漏洞利用流程報告護、繞過原理

信息研究1.1.2能根據(jù)官方發(fā)布的漏洞信1.1.2漏洞利用流程報告編寫方

息提出解決方法法

1.2.1能優(yōu)化已公開漏洞測試工

1.2.1漏洞測試工具原理

1.2漏洞具

漏洞驗證程序集成開發(fā)方

1.安全研究工具研究能集成開發(fā)漏洞驗證程序1.2.2

1.2.2法

用于測試工作

1.3.1能在有目標(biāo)系統(tǒng)源碼的基

1.3.1常見(例如收錄于CNVD中

漏洞礎(chǔ)上進行漏洞挖掘

1.3的漏洞）應(yīng)用漏洞挖掘方法

發(fā)現(xiàn)能使用代碼審計的方式測

1.3.2代碼審計方法

試目標(biāo)漏洞1.3.2

社交工具、搜索引擎使用

能使用人工方式收集信息2.1.1

2.1.1方法

能使用社會工程學(xué)并結(jié)合

信息2.1.2社會工程學(xué)概念及實施方

2.1技術(shù)手段獲取測試目標(biāo)信息2.1.2

收集法

能根據(jù)測試對象的業(yè)務(wù)邏

2.1.3業(yè)務(wù)邏輯流程，業(yè)務(wù)數(shù)據(jù)

輯繪制業(yè)務(wù)數(shù)據(jù)流向圖2.1.3

流繪圖方法

2.漏洞測試2.2.1能根據(jù)誤報信息優(yōu)化測試2.2.1測試工具使用策略優(yōu)化方

工具的使用策略法

2.2.2能根據(jù)業(yè)務(wù)邏輯，測試業(yè)2.2.2系統(tǒng)調(diào)用邏輯、業(yè)務(wù)邏輯

2.2測試務(wù)邏輯漏洞交互方式

實施2.2.3能編寫壓力測試腳本，并2.2.3業(yè)務(wù)邏輯漏洞測試思路

對目標(biāo)進行壓力測試2.2.4壓力測試腳本編寫方法

2.2.4能對壓力測試數(shù)據(jù)進行分2.2.5壓力測試數(shù)據(jù)分析方法

析，編寫壓力測試報告2.2.6壓力測試報告編寫方法

3.1.1能利用多漏洞聯(lián)合方式進

行測試3.1.1漏洞關(guān)聯(lián)分析方法

3.1.2能完整記錄漏洞利用過程3.1.2漏洞利用過程記錄方法

3.1漏洞3.1.3能繞過安全防御機制進行3.1.3安全設(shè)備檢測機制原理

3.滲透測試

利用測試3.1.4安全防御機制繞過方法

3.1.4能制定測試路徑3.1.5測試路徑分析方法

3.1.5能進行社會工程學(xué)測試進3.1.6社會工程學(xué)實施方法

行測試工作

3.2.1能確認測試對象相關(guān)的數(shù)3.2.1測試數(shù)據(jù)確認要求

環(huán)境

3.2據(jù)及資料完整和準確環(huán)境恢復(fù)要求

恢復(fù)3.2.2

3.2.2能確認環(huán)境恢復(fù)3.2.2環(huán)境恢復(fù)確認方法

3.3.1能實施測試工作中的風(fēng)險

規(guī)避措施及應(yīng)急預(yù)案

3.3.1測試操作異常識別方法

3.3.2能在實施過程中進行風(fēng)險

3.3.2測試異常情況處理流程

3.3測試管控

3.3.3信息系統(tǒng)風(fēng)險管控要求

管理3.3.3能編寫用于指導(dǎo)測試實施

測試實施計劃編寫方法

工作的安全測試計劃3.3.4

3.3.5測試技術(shù)指南編寫方法

3.3.4能編寫用于指導(dǎo)測試實施

工作的安全測試技術(shù)指南

4.1測試4.1.1能講解測試過程4.1.1測試過程要點

報告編制4.1.2能編寫測試報告模板4.1.2測試報告模板編寫方法

4．修復(fù)防

護

4.2.1能給出通用型漏洞修復(fù)建

4.2.1通用型漏洞修復(fù)原理

4.2漏洞議

4.2.2業(yè)務(wù)邏輯漏洞原理、修復(fù)方

修復(fù)建議能給出業(yè)務(wù)邏輯漏洞的修

4.2.2法

復(fù)建議

5.1.1本職業(yè)技能與理論基礎(chǔ)知識

5.1.2培訓(xùn)工作計劃的制訂要求和

5.1.1能制訂培訓(xùn)工作計劃

方法

5.1.2能編制和實施培訓(xùn)方案

5.1培訓(xùn)5.1.3培訓(xùn)方案編制和實施的要求

能編寫本職業(yè)培訓(xùn)教材、

實施5.1.3和方法

講義、課件

5.1.4培訓(xùn)教材、講義、課件的

5.1.4能進行本職業(yè)培訓(xùn)宣講

5.培訓(xùn)指導(dǎo)編寫知識

5.1.5教學(xué)教法知識

5.2.1能對本職業(yè)三級/高級工及5.2.1操作經(jīng)驗和技能總結(jié)方法

以下級別人員進行技能指導(dǎo)5.2.2技能和理論基礎(chǔ)知識水平考

5.2技術(shù)

能對本職業(yè)三級高級工及核的要求和方法

指導(dǎo)5.2.2/

以下級別人員技能水平進行考5.2.3技能和理論基礎(chǔ)知識水平考

核核的內(nèi)容

3.4一級/高級技師（信息安全滲透測試員）

職業(yè)功能工作內(nèi)容技能要求相關(guān)知識要求

1.1.1能研究漏洞影響范圍，編

1.1漏洞寫漏洞預(yù)警報告1.1.1漏洞防護方法

信息研究1.1.2能判斷漏洞的補丁或臨時1.1.2漏洞預(yù)告報告編寫方法

解決方案對漏洞防范的有效性

1.安全研究

1.2.1能分析漏洞信息并編寫漏

1.2.1漏洞信息分析方法

1.2漏洞洞觸發(fā)代碼

1.2.2漏洞檢測工具編寫方法

工具研究1.2.2根據(jù)漏洞觸發(fā)代碼，編寫

漏洞測試工具

1.3.1能發(fā)現(xiàn)未知漏洞。

1.3漏洞1.3.1漏洞原理分析方法

能對發(fā)現(xiàn)的未知漏洞進行

發(fā)現(xiàn)1.3.2漏洞說明文件編寫方法

評估，編寫漏洞說明材料。1.3.2

2.1信息2.1.1能編寫信息收集工具2.1.1信息收集工具編寫方法

收集2.1.2能更新迭代信息收集工具2.1.2信息收集工具迭代方法

2.2.1能結(jié)合測試場景制定測試

2.漏洞測試2.2.1代碼審計原理

工具的使用策略

2.2測試2.2.2測試工具編寫方法

2.2.2能編寫測試工具

實施2.2.3測試報告審定方法

2.2.3能根據(jù)壓力測試結(jié)果，給

系統(tǒng)性能優(yōu)化方法

出針對性的系統(tǒng)優(yōu)化方案2.2.4

3.1.1能發(fā)現(xiàn)系統(tǒng)內(nèi)隱藏的惡意

3.1.1惡意程序發(fā)現(xiàn)方法

3.1隱患程序

3.1.2惡意程序分析處置方法

處置3.1.2能對系統(tǒng)內(nèi)隱藏的惡意程

惡意程序溯源方法

序進行分析、處置或溯源3.1.2

3.2.1測試異常情況區(qū)分標(biāo)準

3.滲透測試能評估信息系統(tǒng)異常情況

3.2.1測試突發(fā)情況處理方法

類型和級別等指標(biāo)3.2.2

3.2.3安全事件影響等級的評估方

3.2.2能制定測試工作應(yīng)急預(yù)

測試法

3.2案，解決異常問題

管理3.2.4應(yīng)急預(yù)案編制方法

3.2.3能審定、優(yōu)化安全測試技

術(shù)指南3.2.5安全測試方法、原理

技術(shù)指南、實施計劃審定方

3.2.4能審定、優(yōu)化實施計劃3.2.6

法

4.1.1能審定、優(yōu)化測試報告4.1.1測試報告審定、優(yōu)化方法

4.1測試

能審定、優(yōu)化測試報告模測試報告模板審定、優(yōu)化方

報告編制4.1.24.1.2

板法

4．修復(fù)防

4.2.1能對測試對象給出具體修

護4.2.1安全防護、安全檢測標(biāo)準

4.2漏洞復(fù)建議

4.2.2系統(tǒng)整體架構(gòu)

修復(fù)建議4.2.2能對整體信息系統(tǒng)給出安

系統(tǒng)整體安全優(yōu)化方法

全優(yōu)化建議4.2.3