网络安全从业人员专业能力评价指南（标准草案）.pdf-资料库

dhxinjian-11234592-4744302543367382597.pdf-第1页.png

第1页 / 共73页

dhxinjian-11234592-4744302543367382597.pdf-第2页.png

第2页 / 共73页

dhxinjian-11234592-4744302543367382597.pdf-第3页.png

第3页 / 共73页

dhxinjian-11234592-4744302543367382597.pdf-第4页.png

第4页 / 共73页

dhxinjian-11234592-4744302543367382597.pdf-第5页.png

第5页 / 共73页

dhxinjian-11234592-4744302543367382597.pdf-第6页.png

第6页 / 共73页

dhxinjian-11234592-4744302543367382597.pdf-第7页.png

第7页 / 共73页

dhxinjian-11234592-4744302543367382597.pdf-第8页.png

第8页 / 共73页

ICS 35.040 L80 中华人民共和国国家标准 GB/T XXXXX—XXXX 网络安全从业人员专业能力评价指南 Cybersecurity workforce Professional competence Evaluation Guide 2018-04 - XX - XX 发布 XXXX - XX - XX 实施

GB/T XXXXX—XXXX 目次目次 ................................................................................. I 前言 ................................................................................ II 引言 ............................................................................... III 网络安全从业人员专业能力评价指南 ..................................................... 1 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 3.1 能力 competence ................................................................. 1 3.1 品德 merit ...................................................................... 1 3.2 知识 knowledge .................................................................. 2 3.3 技能 skill ...................................................................... 2 3.4 素质 quality .................................................................... 2 3.5 业绩 performance ................................................................ 2 4 网络安全从业人员评价要素 ........................................................... 2 4.1 品德体系 ....................................................................... 2 4.2 知识体系 ....................................................................... 3 4.3 技能体系 ....................................................................... 4 4.4 素质体系 ....................................................................... 5 4.5 业绩体系 ....................................................................... 6 5 网络安全从业人员角色分类 ........................................................... 6 6 网络安全从业人员评价模型 ........................................................... 8 7 网络安全从业人员角色评价指标 ....................................................... 9 8 网络安全从业人员评价指标权重 ...................................................... 26 9 网络安全从业人员评价方法和手段 .................................................... 65 参考文献 ............................................................................ 69 I

GB/T XXXXX—XXXX 前言本标准按照GB/T 1.1-2009和GB/T 20000.2-2009给出的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准起草单位：武汉大学，中国信息安全测评中心，北京启明星辰信息安全技术有限公司中国信息安全研究院，北京航空航天大学，北京大学，奇虎360，e安在线，本标准主要起草人：杜瑞颖 II

GB/T XXXXX—XXXX 引言伴随信息革命的飞速发展，网络空间正在全面改变人们的生产生活方式，深刻影响人类社会历史发展进程。社会对计算机和网络等信息系统的依赖越来越大。当前，网络安全形势日益严峻，国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战。敌对势力的破坏、黑客攻击、恶意软件侵扰等，已对计算机和网络等信息系统的安全构成极大的威胁，如果计算机和网络等信息系统的安全受到破坏，不仅会造成巨大的经济损失，甚至会导致社会混乱。网络空间安全关系到国家安全、社会稳定、经济发展和人民生活的各个方面，必须确保我国的网络空间安全。网络空间安全涉及面广，工作岗位众多，要建设国家网络空间安全保障体系，政府、军队、公安和企事业都需要大量网络空间安全专业人才。为了使国家有关部门能对网络空间安全人才做到统筹规划，高效管理，研制网络空间安全人才评价国家标准，有利于促进高质量的网络安全人才的储备、教育、招聘、培训和发展，使培养的人才能真正满足市场需求，有效缓解人才供求的问题。同时也有助于形成网络空间安全人才百花齐放的大好局面。 III

GB/T XXXXX—XXXX 网络安全从业人员专业能力评价指南 1 范围本标准规定了网络安全人员从事相关岗位工作应具备的思想道德、专业知识、技能、素质和业绩能力要求，适用于工作和网络安全有关的所有人员，以及在工作中需要用到网络安全知识的人员。本标准提供一个共同的、一致的用语来分类和描述网络安全工作；有关部组织机构或部门可以通过本标准编写其他的出版物或工具，定义或提供关于网络安全人才培训和教育方面的指导。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2010 信息安全技术术语 3 术语和定义 ISO/IEC 27021中界定的以及下列术语和定义适用于本文件。 3.1 能力 competence 应用知识和技能达到预期结果的能力。 [来源：ISO/IEC 17024：2012, 3.6] 3.1 品德 merit 网络安全从业人员的品德体系是指个体应该具备的符合组织发展的正确价值理念的集合，如包含遵纪守法，诚实守信，忠诚奉献，敬业负责等核心胜任力要素。 1

3.2 知识 knowledge 网络安全从业人员的知识体系是指个体应该具备的能够胜任岗位工作的专业知识结构与集合，如包含信息安全基础，信息安全技术，信息安全管理，信息安全监管与服务、 GB/T XXXXX—XXXX 专项领域等专业胜任力要素。 3.3 技能 skill 网络安全从业人员技能体系是指个体应该具备的能够胜任岗位工作的专业技能的结构与集合，如包含安全规划，安全设计，安全建设，安全运营，升级/废弃，综合技能等专业胜任力要素。 3.4 素质 quality 网络安全从业人员素质是他们应该具备的职业发展素质的结构与集合，如包含团队协作、弹性、灵活性、自我管理、战略性思维、学习能力、责任心、客户服务、人际交往技能、口头表达、冲突管理、创造性思维、正直/诚实、解决问题、决策制定、抗压性、领导力、政治敏锐性等职系胜任力要素。 3.5 业绩 performance 网络安全从业人员业绩是他们特定时间内的可描述的工作行为和可衡量的工作结果，如管理指标、经济指标、职能指标、科研指标等职系胜任力要素。 4 网络安全从业人员评价要素 4.1 品德体系品德(M)指标 M01 遵纪守法，诚实守信 M02 维护国家、社会和公众网络安全 M03 努力工作，尽职尽责 M04 发展自身，维护荣誉 2

GB/T XXXXX—XXXX 4.2 知识体系知识域/ 一级指标 K01 信息安全基础 K02 信息安全技术二级知识指标说明 K0101 基本概念信息安全基本概念，如 CIA K0102 密码学 K0103 PKI/CA 密码学基础知识，基本概念、算法 PKI/CA 体系应用相关知识 K0104 鉴别与访问控制身份鉴别技术、访问控制模型（自主访问、强制访问、基于角色等） K0105 信息安全模型信息安全保障模型（IATF、PPDR、保障评估框架等） K0201 芯片与集成电路 K0202 硬件设备体系架构芯片与集成电路基础知识、设计及分析相关知识计算机、交换机等设备体系架构相关知识 K0203 物理安全机房、设备物理环境安全相关（防火、防水、雷击、闭路电视等） K0204 通信模型及协议 OSI 七层模型与 TCP/IP 协议、利用协议漏洞进行攻击（如电子欺骗、拒绝服务攻击）方式 K0205 网络设备及网络架构交换机、路由器等网络设备工作原理、配置、安全管理及网络架构设计相关知识 K0206 无线通信 WLAN、蓝牙、RFID 等无线通信技术及安全知识 K0207 网络安全设备防火墙、入侵检测、网闸等网络安全设备工作原理及应用 K0208 操作系统安全操作系统原理、安全操作系统知识等 K0209 Windows 系统 Windows 系统机制、安全管理、配置等 K0210 Linux/Unix 系统 Linux、Unix 及类 Unix 系统（如 FreeBSD）机制、安全管理、配置等 K0211 数据库原理数据库基本概念、数据库原理、数据库安全机制等 K0212 数据库管理数据库配置管理（Oracle、mysql、sql server、db2 等） K0213 Web 应用体系 web 协议、支撑软件（apache、IIS 等）及终端安全知识。Web 攻击与防御知识（注入、跨站等） K0214 互联网应用电子邮件等其他互联网应用安全知识 K0215 软件安全开发软件工程、算法、软件安全开发生命周期等 K0216 代码安全开发语言（C、java、asp、PhP、html）知识及溢出等漏洞原理 K03 信息安全管理 K0301 安全评估风险评估、漏洞扫描、渗透测试等相关知识 K0302 安全工程系统安全工程能力成熟度模型(SSE-CMM)相关知识 K0303 安全运维运维管理标准（ITIL/ISO 2000）及运维管理相关工作 K0304 信息安全管理体系 ISMS 体系建设（27000 系列），供应链安全等 K0305 信息系统审计信息系统审计相关知识 K04 K0401 信息安全标准信息安全标准体系、信息安全标准（Tcsec、Itsec、CC 等）相关知识 3

信息安全监管与服 K0402 信息安全法律法规我国信息安全法律法规政策，国外信息安全法律法规政策战略务 K0403 内容安全数字版权、舆情、意识形态等网络内容管理知识 K0404 安全教育安全意识、信息安全培训及教育等知识 K0501 人文科学社会学、新闻传播学、语言学、心理学等 GB/T XXXXX—XXXX K05 专项领域 K0502 工控安全工业控制系统及安全 K0503 云计算安全虚拟化及云计算安全 K0504 物联网安全物联网安全 K0505 大数据大数据安全 K0506 人工智能人工智能安全 K0507 可信计算可信计算相关知识 4.3 技能体系生命周期/ 一级指标二级技能指标说明 S0101 调研表（访问问卷）编写技能熟练设计并编写风险评估调研问卷、访谈表等并分析并总结形成需求 S01 安全规划 S02 安全设计 S03 安全建设具备实施渗透测试需要掌握的技能（方法、工具、技巧等）熟练掌握网络通信分析、网络架构分析的技能熟练掌握操作系统安全状况分析的工具、方法等相关技能 S0102 渗透测试实施相关技能 S0103 网络通信分析要求的技能 S0104 操作系统安全分析要求的技能 S0105 数据库安全分析要求的技能熟练掌握数据库系统需求获取、安全状况及配置分析的技能 S0106 应用软件安全分析要求的技能 S0107 安全需求、安全规划报告报告编写技能 S0108 分析安全管理体系实施有效性的技能 S0201 机房设计的技能熟练掌握应用软件安全需求获取，安全状况分析的技能对收集的信息进行分析以梳理安全需求，并形成安全规划报告的技能对安全管理体系实施状况进行审核以评估起实施效果的技能熟练进行各种类型机房整体设计的技能 S0202 网络安全架构设计的技能 S0203 威胁建模、降低攻击面的技能 S0204 安全设计方案编写 S0301 网络设备选型、采购、部署、配置、调试及设置的技能 S0302 网络安全设备选型、采购、部署、配置及规则设置的技能 S0303windows 系统安全部署、配置的技能 S0304Unix/Linux 系统安全部署配置的技能 S0305 应用软件选择、部署及配置的技能熟练进行各种网络架构设计的技能（IP 地址、Vlan 规划等）熟练利用威胁建模、攻击面分析等方法进行安全设计熟练进行整体网络设计并编写信息系统安全设计方案使用路由器、交换机网络设备进行组网、设置并测试网络设备的技能熟练配置防火墙、入侵检测等网络安全设备以实现安全目标 windows 系统及应用的安全部署、配置及相关功能的使用技能 Linux/unix 系统及应用的安全部署配置及相关功能的使用技能各类应用软件的部署、配置的技能 4

资料库

网络安全从业人员专业能力评价指南（标准草案）.pdf

相关推荐

安全技术

热门标签

最新资料