ICS 35.040
L80
中 华 人 民 共 和 国 国 家 标 准
GB/T XXXXX—XXXX
网络安全从业人员专业能力评价指南
Cybersecurity workforce Professional competence Evaluation Guide
2018-04
- XX - XX 发布
XXXX - XX - XX 实施
GB/T XXXXX—XXXX
目
次
目次 ................................................................................. I
前言 ................................................................................ II
引言 ............................................................................... III
网络安全从业人员专业能力评价指南 ..................................................... 1
1 范围 ............................................................................... 1
2 规范性引用文件 ..................................................................... 1
3 术语和定义 ......................................................................... 1
3.1 能力 competence ................................................................. 1
3.1 品德 merit ...................................................................... 1
3.2 知识 knowledge .................................................................. 2
3.3 技能 skill ...................................................................... 2
3.4 素质 quality .................................................................... 2
3.5 业绩 performance ................................................................ 2
4 网络安全从业人员评价要素 ........................................................... 2
4.1 品德体系 ....................................................................... 2
4.2 知识体系 ....................................................................... 3
4.3 技能体系 ....................................................................... 4
4.4 素质体系 ....................................................................... 5
4.5 业绩体系 ....................................................................... 6
5 网络安全从业人员角色分类 ........................................................... 6
6 网络安全从业人员评价模型 ........................................................... 8
7 网络安全从业人员角色评价指标 ....................................................... 9
8 网络安全从业人员评价指标权重 ...................................................... 26
9 网络安全从业人员评价方法和手段 .................................................... 65
参考文献 ............................................................................ 69
I
GB/T XXXXX—XXXX
前 言
本标准按照GB/T 1.1-2009和GB/T 20000.2-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准起草单位:武汉大学,中国信息安全测评中心,北京启明星辰信息安全技术有限公司
中国信息安全研究院,北京航空航天大学,北京大学,奇虎360,e安在线,
本标准主要起草人:杜瑞颖
II
GB/T XXXXX—XXXX
引
言
伴随信息革命的飞速发展,网络空间正在全面改变人们的生产生活方式,深刻影响
人类社会历史发展进程。社会对计算机和网络等信息系统的依赖越来越大。当前,网络
安全形势日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法
权益面临严峻风险与挑战。敌对势力的破坏、黑客攻击、恶意软件侵扰等,已对计算机
和网络等信息系统的安全构成极大的威胁,如果计算机和网络等信息系统的安全受到破
坏,不仅会造成巨大的经济损失,甚至会导致社会混乱。网络空间安全关系到国家安
全、社会稳定、经济发展和人民生活的各个方面,必须确保我国的网络空间安全。
网络空间安全涉及面广,工作岗位众多,要建设国家网络空间安全保障体系,政
府、军队、公安和企事业都需要大量网络空间安全专业人才。为了使国家有关部门能对
网络空间安全人才做到统筹规划,高效管理,研制网络空间安全人才评价国家标准,有
利于促进高质量的网络安全人才的储备、教育、招聘、培训和发展,使培养的人才能真
正满足市场需求,有效缓解人才供求的问题。同时也有助于形成网络空间安全人才百花
齐放的大好局面。
III
GB/T XXXXX—XXXX
网络安全从业人员专业能力评价指南
1 范围
本标准规定了网络安全人员从事相关岗位工作应具备的思想道德、专业知识、技能、
素质和业绩能力要求,适用于工作和网络安全有关的所有人员,以及在工作中需要用到网
络安全知识的人员。
本标准提供一个共同的、一致的用语来分类和描述网络安全工作;
有关部组织机构或部门可以通过本标准编写其他的出版物或工具,定义或提供关于网
络安全人才培训和教育方面的指导。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本
适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文
件。
GB/T 25069—2010 信息安全技术 术语
3 术语和定义
ISO/IEC 27021中界定的以及下列术语和定义适用于本文件。
3.1 能力 competence
应用知识和技能达到预期结果的能力。
[来源:ISO/IEC 17024:2012, 3.6]
3.1 品德 merit
网络安全从业人员的品德体系是指个体应该具备的符合组织发展的正确价值理念的
集合,如包含遵纪守法,诚实守信,忠诚奉献,敬业负责等核心胜任力要素。
1
3.2 知识 knowledge
网络安全从业人员的知识体系是指个体应该具备的能够胜任岗位工作的专业知识结
构与集合,如包含信息安全基础,信息安全技术,信息安全管理,信息安全监管与服务、
GB/T XXXXX—XXXX
专项领域等专业胜任力要素。
3.3 技能 skill
网络安全从业人员技能体系是指个体应该具备的能够胜任岗位工作的专业技能的结
构与集合,如包含安全规划,安全设计,安全建设,安全运营,升级/废弃,综合技能等专
业胜任力要素。
3.4 素质 quality
网络安全从业人员素质是他们应该具备的职业发展素质的结构与集合,如包含团队协
作、弹性、灵活性、自我管理、战略性思维、学习能力、责任心、客户服务、人际交往技
能、口头表达、冲突管理、创造性思维、正直/诚实、解决问题、决策制定、抗压性、领导
力、政治敏锐性等职系胜任力要素。
3.5 业绩 performance
网络安全从业人员业绩是他们特定时间内的可描述的工作行为和可衡量的工作结果,
如管理指标、经济指标、职能指标、科研指标等职系胜任力要素。
4 网络安全从业人员评价要素
4.1 品德体系
品德(M)指标
M01 遵纪守法,诚实守信
M02 维护国家、社会和公众网络安全
M03 努力工作,尽职尽责
M04 发展自身,维护荣誉
2
GB/T XXXXX—XXXX
4.2 知识体系
知识域/
一级指标
K01
信息安全
基础
K02
信息安全
技术
二级知识指标
说明
K0101 基本概念
信息安全基本概念,如 CIA
K0102 密码学
K0103 PKI/CA
密码学基础知识,基本概念、算法
PKI/CA 体系应用相关知识
K0104 鉴别与访问控
制
身份鉴别技术、访问控制模型(自主访问、强制访问、基于角色等)
K0105 信息安全模型 信息安全保障模型(IATF、PPDR、保障评估框架等)
K0201 芯片与集成电
路
K0202 硬件设备体系
架构
芯片与集成电路基础知识、设计及分析相关知识
计算机、交换机等设备体系架构相关知识
K0203 物理安全
机房、设备物理环境安全相关(防火、防水、雷击、闭路电视等)
K0204 通信模型及协
议
OSI 七层模型与 TCP/IP 协议、利用协议漏洞进行攻击(如电子欺骗、拒
绝服务攻击)方式
K0205 网络设备及网
络架构
交换机、路由器等网络设备工作原理、配置、安全管理及网络架构设计相
关知识
K0206 无线通信
WLAN、蓝牙、RFID 等无线通信技术及安全知识
K0207 网络安全设备 防火墙、入侵检测、网闸等网络安全设备工作原理及应用
K0208 操作系统安全 操作系统原理、安全操作系统知识等
K0209 Windows 系统
Windows 系统机制、安全管理、配置等
K0210 Linux/Unix 系
统
Linux、Unix 及类 Unix 系统(如 FreeBSD)机制、安全管理、配置等
K0211 数据库原理
数据库基本概念、数据库原理、数据库安全机制等
K0212 数据库管理
数据库配置管理(Oracle、mysql、sql server、db2 等)
K0213 Web 应用体系
web 协议、支撑软件(apache、IIS 等)及终端安全知识。Web 攻击与防
御知识(注入、跨站等)
K0214 互联网应用
电子邮件等其他互联网应用安全知识
K0215 软件安全开发 软件工程、算法、软件安全开发生命周期等
K0216 代码安全
开发语言(C、java、asp、PhP、html)知识及溢出等漏洞原理
K03
信息安全
管理
K0301 安全评估
风险评估、漏洞扫描、渗透测试等相关知识
K0302 安全工程
系统安全工程能力成熟度模型(SSE-CMM)相关知识
K0303 安全运维
运维管理标准(ITIL/ISO 2000)及运维管理相关工作
K0304 信息安全管理体
系
ISMS 体系建设(27000 系列),供应链安全等
K0305 信息系统审计 信息系统审计相关知识
K04
K0401 信息安全标准 信息安全标准体系、信息安全标准(Tcsec、Itsec、CC 等)相关知识
3
信息安全
监管与服
K0402 信息安全法律
法规
我国信息安全法律法规政策,国外信息安全法律法规政策战略
务
K0403 内容安全
数字版权、舆情、意识形态等网络内容管理知识
K0404 安全教育
安全意识、信息安全培训及教育等知识
K0501 人文科学
社会学、新闻传播学、语言学、心理学等
GB/T XXXXX—XXXX
K05
专项领域
K0502 工控安全
工业控制系统及安全
K0503 云计算安全
虚拟化及云计算安全
K0504 物联网安全
物联网安全
K0505 大数据
大数据安全
K0506 人工智能
人工智能安全
K0507 可信计算
可信计算相关知识
4.3 技能体系
生命周期/
一级指标
二级技能指标
说明
S0101 调研表(访问问卷)编写技能
熟练设计并编写风险评估调研问卷、访谈表等并分析并总结形
成需求
S01
安全
规划
S02
安全
设计
S03
安全
建设
具备实施渗透测试需要掌握的技能(方法、工具、技巧等)
熟练掌握网络通信分析、网络架构分析的技能
熟练掌握操作系统安全状况分析的工具、方法等相关技能
S0102 渗透测试实施相关技能
S0103 网络通信分析要求的技能
S0104 操作系统安全分析要求的技
能
S0105 数据库安全分析要求的技能 熟练掌握数据库系统需求获取、安全状况及配置分析的技能
S0106 应用软件安全分析要求的技
能
S0107 安全需求、安全规划报告报
告编写技能
S0108 分析安全管理体系实施有效
性的技能
S0201 机房设计的技能
熟练掌握应用软件安全需求获取,安全状况分析的技能
对收集的信息进行分析以梳理安全需求,并形成安全规划报告
的技能
对安全管理体系实施状况进行审核以评估起实施效果的技能
熟练进行各种类型机房整体设计的技能
S0202 网络安全架构设计的技能
S0203 威胁建模、降低攻击面的技
能
S0204 安全设计方案编写
S0301 网络设备选型、采购、部
署、配置、调试及设置的技能
S0302 网络安全设备选型、采购、
部署、配置及规则设置的技能
S0303windows 系统安全部署、配置
的技能
S0304Unix/Linux 系统安全部署配
置的技能
S0305 应用软件选择、部署及配置
的技能
熟练进行各种网络架构设计的技能(IP 地址、Vlan 规划等)
熟练利用威胁建模、攻击面分析等方法进行安全设计
熟练进行整体网络设计并编写信息系统安全设计方案
使用路由器、交换机网络设备进行组网、设置并测试网络设备
的技能
熟练配置防火墙、入侵检测等网络安全设备以实现安全目标
windows 系统及应用的安全部署、配置及相关功能的使用技能
Linux/unix 系统及应用的安全部署配置及相关功能的使用技能
各类应用软件的部署、配置的技能
4