◆馬卓元 楊向東 閆育蕓 李 丹

（陜西省網絡與信息安全測評中心 陜西 710065）

網絡安全已成為事關經濟社會發(fā)展、國家長治久安和人民群眾福祉的重大戰(zhàn)略問題，建立一支規(guī)模宏大、結構優(yōu)化、素質優(yōu)良的網絡安全人才隊伍已成為維護國家網絡安全和建設網絡強國的核心需求[1]。目前，針對信息安全人員能力的認證培訓大多集中在CISA認證、CISM認證、CISP認證、CISD認證等方面，尚未在信息系統(tǒng)安全測試方面針對人員能力進行相關認證。因此，我們提出對信息系統(tǒng)安全測試人員進行能力認證。

1 信息系統(tǒng)安全測試人員能力認證概述

信息系統(tǒng)安全測試人員能力認證是面向在信息系統(tǒng)生命周期中，對信息系統(tǒng)的安全性開展全方位測試，以發(fā)現信息系統(tǒng)所有可能被攻擊者利用的安全隱患，并指導客戶進行信息系統(tǒng)修復的人員的技術能力的專業(yè)認證，是對信息系統(tǒng)安全測試知識和技能的綜合考察和認證。證書持有人員主要從事信息系統(tǒng)安全測試領域的工作，具有制定信息系統(tǒng)安全測試策略、組織信息系統(tǒng)安全測試實施、編制信息系統(tǒng)安全測試評估分析報告等能力。

2 信息系統(tǒng)安全測試人員能力認證設計基礎

2.1 設計目標

從社會信息化和建設國家信息安全保障體系對信息安全人才的需求出發(fā)，設計出一套信息系統(tǒng)安全測試人員能力認證體系，填補國內在信息系統(tǒng)安全測試人員能力認證方面的空白，為網絡安全人才培養(yǎng)和資質認證事業(yè)打下理論基礎，為我國網絡安全人才成體系化、規(guī)?；?、系統(tǒng)化培養(yǎng)提供有力保障。

2.2 設計原則

（1）導向性

以社會中具體的職業(yè)崗位需求為導向，按專業(yè)技術對知識資源進行收集歸納和清除，將重點放在提升學員的綜合能力上。

（2）實踐性

遵循“實踐為王”的原則， 加入實踐性較強的探究內容，以提升學員的實踐能力，為以后更好地適應崗位要求做準備。

（3）持續(xù)性

根據不同的發(fā)展戰(zhàn)略對知識體系進行持續(xù)性的改造和升級，逐步實現由淺到深、由片面到全面的發(fā)展。

（4）系統(tǒng)性

站在網絡安全人才戰(zhàn)略的高度，充分運用系統(tǒng)性的思維，涉及能力認證的多個方面時應實現一體聯動。

3 信息系統(tǒng)安全測試人員能力認證設計內容

3.1 課程框架

通過信息系統(tǒng)安全測試人員能力認證的持證人員主要從事信息系統(tǒng)安全測試相關工作，具有安全測試的基本知識和能力。因此，在整個信息系統(tǒng)安全測試人員能力認證的課程體系結構中，共包括安全測試基礎、安全測試技術、安全測試實踐這三個分類，詳見表1。

表1 信息系統(tǒng)安全測試人員能力認證課程設置

數據庫安全介紹Mssql數據庫、Mysql數據庫、Oracle數據庫、Redis 數據庫相關技術知識和實踐鑒別與訪問控制介紹鑒別的類型、方法，訪問控制基本概念、訪問控制模型及訪問控制技術安全開發(fā)介紹安全開發(fā)背景、必要性、模型及研究；介紹安全開發(fā)需求和設計、SDL開發(fā)過程安全、安全編碼、安全測試應急響應與災難恢復介紹信息安全事件分級、信息安全應急響應管理過程、信息系統(tǒng)災難恢復管理過程、備份技術安全測試準備介紹安全測試理論、安全測試流程、安全測試標準、安全測試計劃、安全測試技術及工具庫安全測試實踐安全測試執(zhí)行介紹安全測試范圍/對象/項目、安全測試策略、安全測試方法、安全測試全過程的質量控制安全測試綜合分析評估介紹安全測試記錄、安全測試結果分析及報告

3.2 評價方式

信息系統(tǒng)安全測試人員能力認證考試題型為客觀題、實操題。客觀題為單項選擇題，共30題，每題1分。實操題共70分?？偡止?00分，得到70分以上（含70分）為通過，詳見表2。

表2 信息系統(tǒng)安全測試人員能力認證試題結構

通過信息系統(tǒng)安全測試人員能力認證考試后，可獲得《信息系統(tǒng)安全測試人員能力認證培訓結業(yè)證書》與《信息系統(tǒng)安全測試人員資質證書》。

4 結束語

信息系統(tǒng)安全測試人員能力認證是對我國網絡基礎設施和重要信息系統(tǒng)的信息安全專業(yè)人員開展在職培訓的重要形式之一，本文基于信息系統(tǒng)安全測試人員能力認證設計出了科學合理的課程框架和評價方式，可為加快落實我國網絡安全和信息化發(fā)展相關政策，構建網絡空間安全人才培養(yǎng)體系發(fā)揮巨大作用。