网络安全评估职业技能等级标准.pdf
网 络 安 全 评 估职 业 技 能 等 级 标 准1目 次前 言 11 范 围 22 规 范 性 引 用 文 件 23 术 语 和 定 义 24 对 应 院 校 专 业 35 面 向 工 作 岗 位 ( 群 ) 46 职 业 技 能 要 求 4参 考 文 献 . 171前 言本 标 准 按 照 GB/T 1.1-2009给 出 的 规 则 起 草 。本 标 准 起 草 单 位 三 六 零 科 技 集 团 有 限 公 司 、 北 京 奇 虎 科 技 有 限 公 司 、 北 京奇 虎 测 腾 科 技 有 限 公 司 、 北 京 奇 付 通 科 技 有 限 公 司 、 山 东 双 元 教 育 管 理 有 限 公 司 、天 津 锐 驰 科 技 有 限 公 司 、 安 徽 大 富 鸿 学 教 育 科 技 有 限 公 司 、 西 安 电 子 科 技 大 学 、山 东 科 技 大 学 、 北 京 信 息 职 业 技 术 学 院 、 武 汉 职 业 技 术 学 院 。本 标 准 主 要 起 草 人 吕 沐 阳 、 杜 廷 龙 、 王 大 鹏 、 胡 开 雨 、 史 锟 航 、 邹 艳 芸 、时 荣 鹏 、 孙 伟 峰 、 严 波 、 黄 浩 、 袁 泉 、 王 梅 、 张 德 平 、 周 小 龙 、 吴 俊 成 、 刘 虎 城 、杨 超 、 梁 永 全 、 史 宝 会 、 王 海 。声 明 本 标 准 的 知 识 产 权 归 属 于 北 京 奇 虎 测 腾 科 技 有 限 公 司 , 未 经 北 京 奇虎 测 腾 科 技 有 限 公 司 同 意 , 不 得 印 刷 、 销 售 。21 范 围本 标 准 规 定 了 网 络 安 全 评 估 职 业 技 能 等 级 对 应 的 工 作 领 域 、 工 作 任 务 及 职 业技 能 要 求 。本 标 准 适 用 于 网 络 安 全 评 估 职 业 技 能 培 训 、 考 核 与 评 价 , 相 关 用 人 单 位 的 人员 聘 用 、 培 训 与 考 核 可 参 照 使 用 。2 规 范 性 引 用 文 件下 列 文 件 对 于 本 标 准 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引 用 文 件 , 仅 注 日期 的 版 本 适 用 于 本 标 准 。 凡 是 不 注 日 期 的 引 用 文 件 , 其 最 新 版 本 适 用 于 本 标 准 。GB/T 20270-2006信 息 安 全 技 术 网 络 基 础 安 全 技 术 要 求GB/T 34990-2017信 息 安 全 技 术 信 息 系 统 安 全 管 理 平 台 技 术 要 求 和 测 试 评价 方 法GB/T 30283-2013信 息 安 全 技 术 信 息 安 全 服 务 分 类GB/T 22239-2019信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求GB/T 25069-2010 信 息 安 全 技 术 术 语3 术 语 和 定 义3.1 信 息 安 全保 护 、 维 持 信 息 的 保 密 性 、 完 整 性 和 可 用 性 , 也 可 包 括 真 实 性 、 可 核 查 性 、抗 依 赖 性 、 可 靠 性 等 性 质 。3.2 信 息 安 全 事 件3由 单 个 或 一 系 列 意 外 或 有 害 的 信 息 安 全 事 态 所 组 成 的 , 极 有 可 能 危 害 业 务 运行 和 威 胁 信 息 安 全 。3.3 安 全 级 别有 关 敏 感 信 息 访 问 的 级 别 划 分 , 以 此 级 别 加 之 安 全 范 畴 能 更 精 细 地 控 制 对 数据 的 访 问 。3.4 安 全 服 务根 据 安 全 策 略 , 为 用 户 提 供 的 某 种 安 全 功 能 及 相 关 的 保 障 。3.5 安 全 分 级根 据 业 务 信 息 和 系 统 服 务 的 重 要 性 和 受 损 影 响 , 确 定 实 施 某 种 程 度 的 保 护 ,并 对 该 保 护 程 度 给 以 命 名 。 依 据 访 问 数 据 或 信 息 需 求 , 而 确 定 的 特 定 保 护 程 度 ,同 时 赋 予 相 应 的 保 护 等 级 。 例 “ 绝 密 ” 、 “ 机 密 ” 、 “ 秘 密 ” 。3.6 安 全 审 计对 信 息 系 统 的 各 种 事 件 及 行 为 实 行 监 测 、 信 息 采 集 、 分 析 , 并 针 对 特 定 事 件及 行 为 采 取 相 应 的 动 作 。3.7 入 侵 检 测检 测 入 侵 的 正 式 过 程 。 该 过 程 一 般 特 征 为 采 集 如 下 知 识 反 常 的 使 用 模 式 ,被 利 用 的 脆 弱 性 及 其 类 型 、 利 用 的 方 式 , 以 及 何 时 发 生 及 如 何 发 生 。4 对 应 院 校 专 业4中 等 职 业 学 校 网 络 信 息 安 全 、 计 算 机 网 络 技 术 、 计 算 机 应 用 等 计 算 机 类 相关 专 业 。高 等 职 业 学 校 信 息 安 全 与 管 理 、 计 算 机 网 络 技 术 、 计 算 机 应 用 技 术 等 计 算机 类 相 关 专 业 。应 用 型 本 科 学 校 信 息 安 全 、 网 络 空 间 安 全 、 网 络 工 程 、 计 算 机 科 学 与 技 术等 计 算 机 类 相 关 专 业 。5 面 向 工 作 岗 位 ( 群 )【 网 络 安 全 评 估 】 ( 初 级 ) 主 要 面 向 企 事 业 单 位 、 政 府 等 信 息 安 全 部 门 或安 服 部 门 , 从 事 安 全 加 固 、 风 险 评 估 、 渗 透 测 试 、 安 全 服 务 运 维 、 应 急 响 应 等 工作 岗 位 。【 网 络 安 全 评 估 】 ( 中 级 ) 主 要 面 向 企 事 业 单 位 、 政 府 等 信 息 安 全 部 门 或安 服 部 门 , 从 事 安 全 管 理 、 渗 透 测 试 、 等 级 保 护 、 自 动 化 安 全 运 维 、 安 全 架 构 设计 等 工 作 岗 位 。【 网 络 安 全 评 估 】 ( 高 级 ) 主 要 面 向 企 事 业 单 位 、 政 府 等 信 息 安 全 部 门 或安 服 部 门 , 从 事 安 全 管 理 、 攻 防 对 抗 、 安 全 研 究 、 漏 洞 挖 掘 、 高 级 威 胁 分 析 、 等保 体 系 建 设 等 工 作 岗 位 。6 职 业 技 能 要 求6.1 职 业 技 能 等 级 划 分网 络 安 全 评 估 职 业 技 能 等 级 分 为 三 个 等 级 初 级 、 中 级 、 高 级 。 三 个 级 别 依次 递 进 , 高 级 别 涵 盖 低 级 别 职 业 技 能 要 求 。56.2 职 业 技 能 等 级 要 求 描 述网 络 安 全 评 估 职 业技 能 等 级 初 级 具 备 初 步 应 用 安 全 知 识 积 累 的 能 力 , 能 够 熟练 使 用 部 分 安 全 工 具 , 能 了 解 部 分 攻 击 、 原理 和 验 证 自 己 的 安 全 想 法 。中 级 具 有 了 解 安 全 架 构 体 系 的 工 作 流 , 在 安 全 理解 和 能 力 上 有 一 定 升 华 , 对 防 御 技 术 有 较 好的 理 解 , 能 将 部 分 安 全 理 念 、 知 识 创 新 性 融入 到 所 负 责 的 工 作 内 容 。高 级 能 够 对 负 责 安 全 领 域 作 出 深 度 的 理 解 和 一 定的 独 立 的 解 决 安 全 能 力 , 具 备 主 导 部 分 项 目或 安 全 攻 防 场 景 的 能 力 。表 1 网 络 安 全 评 估 职 业 技 能 等 级 要 求 ( 初 级 )工 作 领 域 工 作 任 务 职 业 技 能 要 求1.网 络 安 全 法 与 职业 素 养 1.1网 络 安 全 法 学 习 1.1.1深 刻 理 解 中 华 人 民 共 和 国 网 络 安 全法 ;1.1.2深 刻 理 解 网 络 安 全 等 级 保 护 ;1.1.3深 刻 理 解 我 国 安 全 相 关 的 法 律 法 规 。1.2职 业 素 养 认 知 1.2.1树 立 起 科 学 的 世 界 观 、 人 生 观 和 价 值 观 ;1.2.2具 有 良 好 道 德 修 养 , 诚 实 守 信 ;1.2.3具 有 乐 观 积 极 的 心 态 、 良 好 的 心 理 素 质和 健 康 体 魄 , 能 应 对 危 机 和 挑 战 。1.3网 络 风 险 认 知 1.3.1能 够 分 析 典 型 网 络 安 全 事 件 的 起 因 ;1.3.2能 够 辨 别 与 评 定 网 络 安 全 风 险 。1.4网 络 威 胁 应 对 1.4.1具 备 应 对 网 络 威 胁 的 能 力2.网 络 安 全 基 础 技能 2.1编 程 语 言 、 操 作系 统 、 计 算 机 网 络 及协 议 安 全 2.1.1能 够 使 用 C/C/PHP/Python等 , 进 行简 单 的 小 工 具 编 写 ;2.1.2理 解 C语 言 由 源 文 件 编 译 为 可 执 行 文 件的 过 程 ;2.1.3掌 握 C语 言 中 基 本 变 量 、 赋 值 、 数 组 、6指 针 、 函 数 等 基 本 概 念 ;2.1.4掌 握 C语 言 控 制 流 语 句 , 如 循 环 、 条 件判 断 等 ;2.1.5了 解 Linux基 础 架 构 , 如 文 件 系 统 、 权限 控 制 , 安 全 机 制 ;2.1.6了 解 Linux系 统 相 关 的 基 础 常 见 命 令 ;2.1.7了 解 用 户 管 理 相 关 知 识 ;2.1.8了 解 进 程 、 软 件 相 关 知 识 ;2.1.9了 解 Shell编 程 ;2.1.10了 解 Windows系 统 基 础 知 识 ;2.1.11掌 握 Python语 言 中 基 本 变 量 、 赋 值 、函 数 等 基 本 概 念 ;2.1.12掌 握 Python语 言 数 据 类 型 如 列 表 、 元组 、 字 典 、 集 合 等 ;2.1.13掌 握 Python语 言 控 制 语 句 ;2.1.14掌 握 Python语 言 类 与 对 象 的 使 用 ;2.1.15掌 握 Python语 言 网 络 编 程 ;2.1.16了 解 PHP环 境 配 置 方 法 、 PHP工 作 流 程 ;2.1.17掌 握 PHP编 程 基 础 知 识 , 能 使 用 PHP语 言 进 行 基 本 代 码 编 写 ;2.1.18了 解 OSI七 层 模 型 、 TCP/IP协 议 模 型 ;2.1.19了 解 抓 包 工 具 的 基 本 使 用 方 法( wireshark/tcpdump) ;2.1.20了 解 TCP/IP协 议 簇 中 常 见 协 议 原 理 ,对 DNS/HTTP/TLS等 应 用 层 协 议 细 节 有 深 入 的理 解 ;2.1.21掌 握 交 换 协 议 、 静 态 /动 态 路 由 协 议 和STP,LLDP等 网 络 协 议 ;2.1.22了 解 并 能 操 作 配 置 Cisco/Huawei/H3C等 主 流 网 络 设 备 的 能 力 。73.Web安 全 评 估 测 试 3.1Web安 全 /渗 透3.1.1熟 知 信 息 安 全 基 本 概 念 及 知 识 体 系 结构 ;3.1.2了 解 owasp top10攻 击 原 理 利 用 和 修 复方 式 ;3.1.3能 够 挖 掘 常 见 web 安 全 漏 洞 ( 如 SQL注入 , XSS, CSRF, SSRF, 逻 辑 漏 洞 、 文 件 漏 洞等 ) ;3.1.4了 解 常 见 开 发 框 架 及 开 源 应 用 历 史 漏洞 ;3.1.5了 解 渗 透 测 试 的 概 念 、 目 的 、 分 类 和 原则 、 流 程 ;3.1.6了 解 渗 透 测 试 执 行 过 程 中 的 主 要 阶 段 及其 内 容 ;3.1.7了 解 渗 透 测 试 过 程 所 涉 及 技 术 和 渗 透 测试 报 告 撰 写 的 方 法 ;3.1.8了 解 APT攻 击 的 概 念 、 特 点 、 经 典 案 例和 危 害 ;3.1.9了 解 常 见 的 渗 透 工 具 ( BurpSuite、SQLmap、 nmap、 AWVS) ;3.1.10了 解 DNS记 录 、 子 域 名 收 集 、 C段 扫 描 、web目 录 扫 描 、 指 纹 识 别 等 信 息 收 集 工 具 和 方法 ;3.1.11熟 悉 shodan、 zoomeye网 络 空 间 搜 索引 擎 使 用 放 , Google Hacking信 息 收 集 方 法 。4.安 全 评 估 4.1代 码 审 计 4.1.1能 够 表 述 代 码 审 计 的 原 理 ;4.1.2代 码 审 计 工 具 的 使 用 ( RIPS、 VCG、Fortify) ;4.1.3能 够 对 常 见 Web漏 洞 进 行 代 码 审 计( OWASP TOP10漏 洞 )4.1.4了 解 代 码 审 计 测 试 方 法 及 流 程 。85.安 全 事 件 分 析 5.1恶 意 软 件 分 析 5.1.1熟 悉 病 毒 的 基 本 分 类 ;5.1.2熟 悉 病 毒 的 常 见 技 术 ;5.1.3熟 练 常 见 的 安 全 工 具 ( OllyICE,IDAPro,PEiD,Wireshark,ProcMon,SandBoxie) ;5.1.4熟 练 地 搭 建 和 使 用 虚 拟 环 境 ;5.1.5熟 练 地 使 用 静 态 分 析 进 行 行 为 预 测 ;5.1.6熟 练 地 使 用 动 态 调 试 进 行 行 为 分 析 ;5.1.7可 以 独 立 分 析 出 病 毒 的 行 为 片 段 ;5.1.8可 以 独 立 分 析 病 毒 行 为 释 放 的 文 件 ,更改 的 位 置 ,抓 取 发 送 的 数 据 。6.企 业 安 全 综 合 策略 6.1等 级 保 护 6.1.1理 解 信 息 安 全 等 级 保 护 含 义 , 掌 握 等 级保 护 测 评 流 程 ;6.1.2具 备 进 行 等 级 保 护 安 全 建 设 的 能 力 ;6.1.3掌 握 二 、 三 、 四 级 等 保 安 全 基 线 要 求 ;6.1.4适 当 了 解 行 业 安 全 标 准 及 安 全 规 定 , 关注 行 业 动 态 ;6.1.5具 备 对 攻 击 事 件 的 攻 击 取 证 和 追 踪 溯 源能 力 ;6.1.6掌 握 常 见 安 全 设 备 的 工 作 原 理 , 能 够 操作 配 置 常 见 主 流 产 品 ;6.1.7具 备 对 流 量 及 安 全 设 备 的 日 志 、 告 警 分析 的 能 力 ;6.1.8熟 知 操 作 系 统 知 识 架 构 ;6.1.9能 够 对 Linux/Windows操 作 系 统 进 行 日常 运 维 和 操 作 ;6.1.10具 备 Linux/Windows操 作 系 统 应 用 能力 ( 系 统 编 程 、 服 务 搭 建 ) ;6.1.11表 述 操 作 系 统 安 全 配 置 ( 标 识 鉴 别 、访 问 控 制 、 安 全 审 计 )6.1.12表 述 常 见 操 作 系 统 漏 洞 原 理 及 利 用 方法 ;6.1.13掌 握 常 见 的 密 码 学 算 法 、 特 点 、 适 用9场 景6.1.14了 解 构 建 网 络 安 全 防 护 体 系 , 了 解 常见 安 防 设 备 的 部 署 ;6.1.15了 解 SSL和 SSL证 书 体 系 安 全 中 的 常见 安 全 问 题 。10表 2 网 络 安 全 评 估 职 业 技 能 等 级 要 求 ( 中 级 )工 作 领 域 工 作 任 务 职 业 技 能 要 求1.网 络 安 全 基 础 技能 1.1编 程 语 言 、 操 作 系统 、 计 算 机 网 络 及 协议 安 全1.1.1熟 练 掌 握 一 门 编 程 语 言C/C/PHP/Python等 , 能 够 根 据 工 作 内 容进 行 小 工 具 编 写 辅 助 自 身 ;1.1.2掌 握 Linux基 础 架 构 , 如 文 件 系 统 、 权限 控 制 , 安 全 机 制 等 ;1.1.3掌 握 Shell编 程 ;1.1.4掌 握 AWK/SED的 使 用 ;1.1.5熟 练 掌 握 用 户 管 理 相 关 知 识 , 掌 握UGO/ACL权 限 ;1.1.6熟 练 掌 握 进 程 、 软 件 相 关 知 识 ;1.1.7掌 握 Python爬 虫 的 原 理 ;1.1.8掌 握 Python urllib、 socket模 块 的 使用 ;1.1.9掌 握 PHP表 单 、 文 件 、 会 话 处 理 、 数 据库 操 作 、 正 则 、 文 件 上 传 等 ;1.1.10能 使 用 PHP语 言 或 借 助 CMS搭 建 项 目 ;1.1.11掌 握 路 由 、 交 换 技 术 ;1.1.12熟 练 掌 握 wireshark、 tcpdump的 使 用 ,并 能 使 用 这 些 工 具 进 行 协 议 分 析1.1.13理 解 TCP/IP协 议 存 在 的 脆 弱 点 细 节 ;1.1.14了 解 安 全 开 发 生 命 周 期 ( SDL) 的 流 程及 内 容 ;1.1.15熟 悉 内 网 常 见 安 全 协 议 , 如 证 书 、LDAP, kerberos, Radius、 802.1x等 。112.Web安 全 评 估 测试 2.1Web安 全 /渗 透2.1.1熟 知 信 息 安 全 基 本 概 念 及 知 识 体 系 结构 ;2.1.2Web常 见 漏 洞 攻 击 原 理 利 用 和 修 复 方式 ;2.1.3黑 盒 独 立 挖 掘 常 见 web 安 全 漏 洞 ( 如SQL注 入 , XSS, CSRF, SSRF, 权 限 绕 过 等 ) ;2.1.4能 够 复 现 owasp top10漏 洞 并 掌 握 原理 ;2.1.5能 够 复 现 常 见 开 发 框 架 及 开 源 应 用 历史 漏 洞 ;2.1.6理 解 常 见 WAF及 IDS等 安 全 设 备 规 则 绕过 方 法 ;2.1.7熟 练 掌 握 BurpSuite、 SQLMAP、 NMAP、AWVS、 Metasploit的 使 用 ;2.1.8了 解 浏 览 器 插 件 配 置 与 应 用 ;2.1.9熟 练 掌 握 常 用 的 信 息 收 集 方 法 , 能 充 分利 用 收 集 后 的 信 息 进 行 渗 透 测 试 ;2.1.10了 解 社 工 库 、 多 维 度 信 息 收 集 方 法 、钓 鱼 邮 件 、 宏 病 毒 等 ;2.1.11了 解 CobaltStrike安 装 配 置 和 使 用 方法 ;2.1.12掌 握 常 见 的 中 间 件 及 组 件 漏 洞 综 合 利用 ;2.1.13了 解 内 网 渗 透 技 术 ;2.1.14理 解 APT攻 击 的 入 侵 途 径 和 方 法 ;2.1.15掌 握 APT攻 击 的 针 对 性 防 护 策 略 。123.安 全 评 估 3.1代 码 审 计 3.1.1掌 握 代 码 审 计 工 具 的 使 用 ( RIPS、 VCG、Fortify) ;3.1.2能 够 对 常 见 Web漏 洞 进 行 代 码 审 计( OWASP TOP10漏 洞 )3.1.3具 备 代 码 阅 读 能 力 ;3.1.4掌 握 代 码 审 计 测 试 方 法 及 流 程 。4.安 全 事 件 分 析 4.1恶 意 软 件 分 析 4.1.1熟 悉 汇 编 语 言 ;4.1.2熟 悉 PE结 构 ;4.1.3可 以 从 高 级 语 言 层 面 去 理 解 对 恶 意 代码 的 静 态 分 析 ;4.1.4可 以 从 高 级 语 言 层 面 去 理 解 对 恶 意 代码 的 动 态 调 试 ;4.1.5熟 悉 IAT结 构 ;4.1.6熟 悉 资 源 结 构 ;4.1.7理 解 恶 意 代 码 漏 洞 利 用 与 攻 击 载 荷 思想4.1.8熟 悉 常 见 API与 恶 意 API;4.1.9将 样 本 分 析 特 征 进 行 入 库 ,形 成 检 测 特征 ;4.1.10针 对 恶 意 代 码 的 技 术 实 现 细 节 做 详 细描 述 ;4.1.11针 对 恶 意 代 码 的 运 作 流 程 做 详 细 描述 。5.企 业 安 全 综 合 策略 5.1等 级 保 护 5.1.1理 解 信 息 安 全 等 级 保 护 含 义 , 熟 练 掌 握等 级 保 护 测 评 流 程 ;5.1.2具 备 独 立 进 行 等 级 保 护 安 全 建 设 的 能力 ;5.1.3掌 握 二 、 三 、 四 级 等 保 安 全 基 线 要 求 ;5.1.4了 解 部 分 行 业 安 全 标 准 及 安 全 规 定 , 关注 行 业 动 态 ;135.1.5具 备 对 攻 击 事 件 的 攻 击 取 证 和 追 踪 溯源 能 力 ;5.1.6掌 握 常 见 安 全 设 备 的 工 作 原 理 , 能 够 熟练 操 作 配 置 常 见 主 流 产 品 ;5.1.7具 备 对 流 量 及 安 全 设 备 的 日 志 、 告 警 分析 的 能 力 , 对 真 实 发 生 的 安 全 攻 击 事 件 进 行 定位 ;5.1.8能 够 复 现 常 见 操 作 系 统 漏 洞 , 掌 握 利 用方 法 ;5.1.9能 够 对 常 见 操 作 系 统 漏 洞 进 行 评 估 , 确认 危 害 性 并 能 进 行 修 复 /规 避 ;5.1.10表 述 内 网 域 环 境 的 基 本 协 议 和 运 行 原理 , 能 够 手 动 搭 建 域 环 境 ;5.1.11掌 握 常 见 的 密 码 学 算 法 、 特 点 、 适 用场 景 ;5.1.12掌 握 对 网 络 设 备 进 行 安 全 加 固 的 能力 , 掌 握 网 络 设 备 安 全 基 线 ;5.1.13能 够 识 别 常 见 的 网 络 攻 击 数 据 包 ( 如DDoS、 局 域 网 攻 击 、 常 见 攻 击 特 征 包 、 扫 描 包 )能 力 。14表 3 网 络 安 全 评 估 职 业 技 能 等 级 要 求 ( 高 级 )工 作 领 域 工 作 任 务 职 业 技 能 要 求1.网 络 安 全 基 础 技能 1.1编 程 语 言 、 操 作 系统 、 计 算 机 网 络 及 协议 安 全 1.1.1熟 练 掌 握 一 门 编 程 语 言C/C/PHP/Python等 , 能 够 根 据 工 作 内 容进 行 小 工 具 编 写 辅 助 自 身 ;1.1.2掌 握 计 划 任 务 的 应 用 ;1.1.3掌 握 数 据 存 储 管 理 与 性 能 测 试 方 法 ;1.1.4掌 握 Windows域 环 境 搭 建 、 域 控 制 器 配置 等 ;1.1.5掌 握 Windows系 统 安 全 防 护 策 略 ;1.1.6熟 练 使 用 python等 开 发 语 言 进 行 安 全相 关 应 用 开 发 , 开 发 复 杂 功 能 和 安 全 工 具 ;1.1.7能 使 用 PHP搭 建 复 杂 项 目 , 熟 练 掌 握 PHP网 址 搭 建 、 安 全 配 置 等 ;1.1.8掌 握 常 见 协 议 脆 弱 点 的 利 用 方 法 和 应对 措 施 ;1.1.9熟 练 掌 握 常 见 的 协 议 /流 量 /网 络 安 全事 件 分 析 方 法 ;1.1.10掌 握 安 全 开 发 生 命 周 期 ( SDL) 的 流 程及 内 容 , 并 能 实 际 运 用 到 程 序 开 发 中 。2.Web安 全 评 估 测试 2.1Web安 全 /渗 透 2.1.1熟 知 信 息 安 全 基 本 概 念 及 知 识 体 系 结构 ;2.1.2Web常 见 漏 洞 攻 击 原 理 利 用 和 修 复 方式 ;2.1.3黑 盒 独 立 挖 掘 常 见 web 安 全 漏 洞 ( 如SQL注 入 , XSS, CSRF, SSRF, 权 限 绕 过 等 ) ;2.1.4能 够 复 现 owasp top10漏 洞 并 掌 握 原理 ;2.1.5能 够 复 现 常 见 开 发 框 架 及 开 源 应 用 历史 漏 洞 ;2.1.6具 备 对 常 见 WAF及 IDS等 安 全 设 备 规 则绕 过 的 能 力 ;152.1.7理 解 并 掌 握 BurpSuite、 SQLMAP、 NMAP、AWVS、 Metasploit等 工 具 的 原 理 及 高 级 使 用方 法 , 能 灵 活 使 用 工 具 进 行 渗 透 测 试 ;2.1.8掌 握 无 线 渗 透 原 理 及 常 用 工 具 ;2.1.9掌 握 常 用 的 社 工 技 巧 , 掌 握 CHM、 LNK、HTA文 件 生 成 及 利 用 方 法 ;2.1.10掌 握 office常 见 漏 洞 及 宏 钓 鱼 利 用 方法 ;2.1.11熟 练 掌 握 内 网 渗 透 技 术 ;2.1.12能 够 读 懂 常 见 漏 洞 EXP, 并 写 出 关 键payload。3.安 全 评 估 3.1代 码 审 计 3.1.1掌 握 代 码 审 计 工 具 的 使 用 ( RIPS、 VCG、Fortify) ;3.1.2熟 练 对 常 见 web漏 洞 进 行 代 码 审 计 ( 注入 漏 洞 、 上 传 漏 洞 、 SSRF漏 洞 等 ) ;3.1.3具 备 阅 读 复 杂 代 码 的 能 力 ;3.1.4熟 练 运 用 代 码 审 计 流 程 进 行 测 试 工 作 ;3.1.5具 备 较 丰 富 的 安 全 代 码 编 写 经 验 。4.安 全 事 件 分 析 4.1恶 意 软 件 分 析 4.1.1熟 悉 常 见 加 密 算 法 ;4.1.2能 还 原 常 见 加 密 算 法 ;4.1.3熟 悉 自 定 义 算 法 识 别 ;4.1.4能 还 原 自 定 义 加 密 算 法 ;4.1.5熟 悉 常 见 反 调 试 技 术 ;4.1.6能 跳 过 各 种 反 调 试 检 测 ;4.1.7熟 悉 常 见 压 缩 算 法 与 解 压 缩 算 法 ;4.1.8熟 练 运 用 内 存 DUMP;4.1.9熟 练 使 用 010Editor十 六 进 制 编 辑 ;4.1.10编 写 IDC脚 本 解 密 字 节 ;4.1.11可 以 手 工 脱 壳 ,压 缩 壳 和 加 密 壳 ,未 知壳 。165.企 业 安 全 综 合 策略 5.1等 级 保 护5.1.1理 解 信 息 安 全 等 级 保 护 含 义 , 熟 练 掌 握等 级 保 护 测 评 流 程 ;5.1.2具 备 独 立 进 行 等 级 保 护 安 全 建 设 的 能力 ;5.1.3掌 握 二 、 三 、 四 级 等 保 安 全 基 线 要 求 ;5.1.4了 解 多 数 行 业 安 全 标 准 及 安 全 规 定 , 关注 行 业 动 态 ;5.1.5具 备 对 攻 击 事 件 的 攻 击 取 证 和 追 踪 溯源 能 力 ;5.1.6掌 握 常 见 安 全 设 备 的 工 作 原 理 , 能 够 熟练 操 作 配 置 常 见 主 流 产 品 ;5.1.7能 够 准 确 分 析 网 络 流 量 、 日 志 、 告 警 ,并 能 够 准 确 的 进 行 安 全 评 估 , 提 出 解 决 思 路 ;5.1.8能 够 独 立 处 理 常 见 的 安 全 攻 击 事 件 ;5.1.9能 够 对 内 网 域 环 境 下 的 主 要 服 务 ( 包 括Exchange、 LDAP、 Radius、 802.1x等 ) 进 行安 全 加 固 、 安 全 配 置 和 安 全 运 维 ;5.1.10表 述 出 Linux网 络 协 议 栈 的 高 性 能 处理 机 制 ;5.1.11能 够 调 试 内 核 协 议 栈 网 络 相 关 参 数 ,对 Linux kernel内 核 架 构 有 深 入 理 解 ;5.1.12掌 握 常 见 的 密 码 学 算 法 、 特 点 、 适 用场 景 ;5.1.13熟 练 掌 握 识 别 常 见 的 网 络 攻 击 数 据 包( 如 DDoS、 局 域 网 攻 击 、 常 见 攻 击 特 征 包 、扫 描 包 ) 能 力 ;5.1.14理 解 并 表 述 新 网 络 技 术 ( 如 SDN、Vxlan、 虚 拟 化 等 )5.1.15能 够 快 速 定 位 因 安 全 因 素 导 致 的 网 络故 障 , 掌 握 排 错 的 能 力 。17参 考 文 献[1]高 等 职 业 学 校 专 业 教 学 标 准 .2019[2]本 科 专 业 类 教 学 质 量 国 家 标 准[3]中 等 职 业 学 校 专 业 教 学 标 准 .试 行[4]普 通 高 等 学 校 本 科 专 业 目 录 .2012[5]普 通 高 等 学 校 高 等 职 业 教 育 ( 专 科 ) 专 业 目 录 及 专 业 简 介[6]国 家 职 业 技 能 标 准 编 制 技 术 规 程 .2018年 版[7]中 华 人 民 共 和 国 网 络 安 全 法[8]信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求[9]信 息 安 全 技 术 网 络 安 全 等 级 保 护 测 评 要 求[10]信 息 安 全 技 术 网 络 安 全 等 级 保 护 安 全 设 计 技 术 要 求
