◆馬卓元 楊向東 閆育蕓 李 丹

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710065）

網(wǎng)絡(luò)安全已成為事關(guān)經(jīng)濟(jì)社會發(fā)展、國家長治久安和人民群眾福祉的重大戰(zhàn)略問題，建立一支規(guī)模宏大、結(jié)構(gòu)優(yōu)化、素質(zhì)優(yōu)良的網(wǎng)絡(luò)安全人才隊(duì)伍已成為維護(hù)國家網(wǎng)絡(luò)安全和建設(shè)網(wǎng)絡(luò)強(qiáng)國的核心需求[1]。目前，針對信息安全人員能力的認(rèn)證培訓(xùn)大多集中在CISA認(rèn)證、CISM認(rèn)證、CISP認(rèn)證、CISD認(rèn)證等方面，尚未在信息系統(tǒng)安全測試方面針對人員能力進(jìn)行相關(guān)認(rèn)證。因此，我們提出對信息系統(tǒng)安全測試人員進(jìn)行能力認(rèn)證。

1 信息系統(tǒng)安全測試人員能力認(rèn)證概述

信息系統(tǒng)安全測試人員能力認(rèn)證是面向在信息系統(tǒng)生命周期中，對信息系統(tǒng)的安全性開展全方位測試，以發(fā)現(xiàn)信息系統(tǒng)所有可能被攻擊者利用的安全隱患，并指導(dǎo)客戶進(jìn)行信息系統(tǒng)修復(fù)的人員的技術(shù)能力的專業(yè)認(rèn)證，是對信息系統(tǒng)安全測試知識和技能的綜合考察和認(rèn)證。證書持有人員主要從事信息系統(tǒng)安全測試領(lǐng)域的工作，具有制定信息系統(tǒng)安全測試策略、組織信息系統(tǒng)安全測試實(shí)施、編制信息系統(tǒng)安全測試評估分析報告等能力。

2 信息系統(tǒng)安全測試人員能力認(rèn)證設(shè)計基礎(chǔ)

2.1 設(shè)計目標(biāo)

從社會信息化和建設(shè)國家信息安全保障體系對信息安全人才的需求出發(fā)，設(shè)計出一套信息系統(tǒng)安全測試人員能力認(rèn)證體系，填補(bǔ)國內(nèi)在信息系統(tǒng)安全測試人員能力認(rèn)證方面的空白，為網(wǎng)絡(luò)安全人才培養(yǎng)和資質(zhì)認(rèn)證事業(yè)打下理論基礎(chǔ)，為我國網(wǎng)絡(luò)安全人才成體系化、規(guī)模化、系統(tǒng)化培養(yǎng)提供有力保障。

2.2 設(shè)計原則

（1）導(dǎo)向性

以社會中具體的職業(yè)崗位需求為導(dǎo)向，按專業(yè)技術(shù)對知識資源進(jìn)行收集歸納和清除，將重點(diǎn)放在提升學(xué)員的綜合能力上。

（2）實(shí)踐性

遵循“實(shí)踐為王”的原則， 加入實(shí)踐性較強(qiáng)的探究內(nèi)容，以提升學(xué)員的實(shí)踐能力，為以后更好地適應(yīng)崗位要求做準(zhǔn)備。

（3）持續(xù)性

根據(jù)不同的發(fā)展戰(zhàn)略對知識體系進(jìn)行持續(xù)性的改造和升級，逐步實(shí)現(xiàn)由淺到深、由片面到全面的發(fā)展。

（4）系統(tǒng)性

站在網(wǎng)絡(luò)安全人才戰(zhàn)略的高度，充分運(yùn)用系統(tǒng)性的思維，涉及能力認(rèn)證的多個方面時應(yīng)實(shí)現(xiàn)一體聯(lián)動。

3 信息系統(tǒng)安全測試人員能力認(rèn)證設(shè)計內(nèi)容

3.1 課程框架

通過信息系統(tǒng)安全測試人員能力認(rèn)證的持證人員主要從事信息系統(tǒng)安全測試相關(guān)工作，具有安全測試的基本知識和能力。因此，在整個信息系統(tǒng)安全測試人員能力認(rèn)證的課程體系結(jié)構(gòu)中，共包括安全測試基礎(chǔ)、安全測試技術(shù)、安全測試實(shí)踐這三個分類，詳見表1。

表1 信息系統(tǒng)安全測試人員能力認(rèn)證課程設(shè)置

數(shù)據(jù)庫安全介紹Mssql數(shù)據(jù)庫、Mysql數(shù)據(jù)庫、Oracle數(shù)據(jù)庫、Redis 數(shù)據(jù)庫相關(guān)技術(shù)知識和實(shí)踐鑒別與訪問控制介紹鑒別的類型、方法，訪問控制基本概念、訪問控制模型及訪問控制技術(shù)安全開發(fā)介紹安全開發(fā)背景、必要性、模型及研究；介紹安全開發(fā)需求和設(shè)計、SDL開發(fā)過程安全、安全編碼、安全測試應(yīng)急響應(yīng)與災(zāi)難恢復(fù)介紹信息安全事件分級、信息安全應(yīng)急響應(yīng)管理過程、信息系統(tǒng)災(zāi)難恢復(fù)管理過程、備份技術(shù)安全測試準(zhǔn)備介紹安全測試?yán)碚?、安全測試流程、安全測試標(biāo)準(zhǔn)、安全測試計劃、安全測試技術(shù)及工具庫安全測試實(shí)踐安全測試執(zhí)行介紹安全測試范圍/對象/項(xiàng)目、安全測試策略、安全測試方法、安全測試全過程的質(zhì)量控制安全測試綜合分析評估介紹安全測試記錄、安全測試結(jié)果分析及報告

3.2 評價方式

信息系統(tǒng)安全測試人員能力認(rèn)證考試題型為客觀題、實(shí)操題?？陀^題為單項(xiàng)選擇題，共30題，每題1分。實(shí)操題共70分?？偡止?00分，得到70分以上（含70分）為通過，詳見表2。

表2 信息系統(tǒng)安全測試人員能力認(rèn)證試題結(jié)構(gòu)

通過信息系統(tǒng)安全測試人員能力認(rèn)證考試后，可獲得《信息系統(tǒng)安全測試人員能力認(rèn)證培訓(xùn)結(jié)業(yè)證書》與《信息系統(tǒng)安全測試人員資質(zhì)證書》。

4 結(jié)束語

信息系統(tǒng)安全測試人員能力認(rèn)證是對我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的信息安全專業(yè)人員開展在職培訓(xùn)的重要形式之一，本文基于信息系統(tǒng)安全測試人員能力認(rèn)證設(shè)計出了科學(xué)合理的課程框架和評價方式，可為加快落實(shí)我國網(wǎng)絡(luò)安全和信息化發(fā)展相關(guān)政策，構(gòu)建網(wǎng)絡(luò)空間安全人才培養(yǎng)體系發(fā)揮巨大作用。