文/陳婧

黑客投毒佛羅里達(dá)水廠未遂、巴西國(guó)庫(kù)遭勒索軟件攻擊、伊朗遭受網(wǎng)絡(luò)攻擊導(dǎo)致全國(guó)加油站大規(guī)模關(guān)閉……過(guò)去一年里發(fā)生的這些聽上去很“爆炸”的新聞，無(wú)一不與網(wǎng)絡(luò)安全息息相關(guān)。

網(wǎng)絡(luò)安全問(wèn)題日益突出，也讓“信息安全測(cè)試員”等新職業(yè)逐漸揭開神秘面紗，從“小眾”走向蓬勃發(fā)展。

什么是“信息安全測(cè)試員”？

在許多人還未曾聽說(shuō)“網(wǎng)絡(luò)安全測(cè)試員”這一職業(yè)的時(shí)候，《2021年北京市人力資源市場(chǎng)薪酬大數(shù)據(jù)報(bào)告》里，它以32.38萬(wàn)元高居年薪中位值排行榜第二。排名第一和第三的分別是：區(qū)塊鏈工程技術(shù)人員（48.71萬(wàn)元）、云計(jì)算工程技術(shù)人員（29.29萬(wàn)元），都與網(wǎng)絡(luò)信息、互聯(lián)網(wǎng)科技行業(yè)相關(guān)。

2020年，人社部發(fā)布新興職業(yè)，“信息安全測(cè)試員”位列其中。到底什么是“信息安全測(cè)試員”？

根據(jù)人社部給出的介紹，“信息安全測(cè)試員”就是通過(guò)對(duì)評(píng)測(cè)目標(biāo)的網(wǎng)絡(luò)和系統(tǒng)進(jìn)行滲透測(cè)試，發(fā)現(xiàn)安全問(wèn)題并提出改進(jìn)建議，使網(wǎng)絡(luò)和系統(tǒng)免受惡意攻擊的人員。

這里提到的“滲透測(cè)試”又是什么？

公安部第一、第三研究所原所長(zhǎng)、研究員，中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)榮譽(yù)主任嚴(yán)明對(duì)中新社國(guó)是直通車表示，網(wǎng)絡(luò)安全是一種在攻防對(duì)立博弈中的安全保障。在構(gòu)筑網(wǎng)絡(luò)安全體系時(shí)，需要驗(yàn)證其是否達(dá)到了安全目標(biāo)，因此要進(jìn)行一系列測(cè)試，這些測(cè)試大致分為兩類，一是合規(guī)性測(cè)試，二是實(shí)際的針對(duì)滲透性攻擊的防御能力驗(yàn)證，這種驗(yàn)證通常以攻防形式進(jìn)行，在技術(shù)上叫滲透性測(cè)試。

作為一名“滲透測(cè)試工程師”，奇安信集團(tuán)應(yīng)急響應(yīng)業(yè)務(wù)總監(jiān)張永印對(duì)中新社國(guó)是直通車表示，“信息安全測(cè)試員”和他所從事的滲透測(cè)試工作崗位性質(zhì)基本一致。

據(jù)張永印介紹，“滲透測(cè)試”是在客戶授權(quán)的情況下，對(duì)客戶指定的網(wǎng)站、應(yīng)用服務(wù)、APP等重要信息系統(tǒng)，在盡量不影響業(yè)務(wù)運(yùn)行的情況下，以模擬黑客攻擊方式對(duì)其進(jìn)行安全檢測(cè)，嘗試發(fā)現(xiàn)其安全漏洞或隱患，來(lái)評(píng)估其業(yè)務(wù)安全性并提供安全修復(fù)建議。

也有人這樣描述這個(gè)不斷在網(wǎng)上“找坑”的工作：如果說(shuō)，黑客是在網(wǎng)上挖坑，然后利用這個(gè)坑去攻擊網(wǎng)絡(luò)和系統(tǒng)的話，那么信息安全測(cè)試員就是先黑客一步，挖出“坑”來(lái)，然后分析它的特點(diǎn)，想辦法補(bǔ)“坑”，從而保證整個(gè)網(wǎng)絡(luò)及資產(chǎn)安全。

中國(guó)信息安全研究院副院長(zhǎng)左曉棟對(duì)中新社國(guó)是直通車表示，“信息安全測(cè)試員”這一職業(yè)就像現(xiàn)實(shí)中的“醫(yī)生”。“如果沒(méi)有醫(yī)生，那人類健康就會(huì)難以保障。沒(méi)有這一職業(yè)，我們就會(huì)提心吊膽，時(shí)時(shí)擔(dān)心使用的網(wǎng)絡(luò)或系統(tǒng)出現(xiàn)問(wèn)題，最終就是什么事也干不了?！弊髸詶澱f(shuō)。

日?！罢铱印薄把a(bǔ)坑”，待遇如何？

這些日?！罢铱印薄把a(bǔ)坑”的職業(yè)就業(yè)前景和待遇如何？

據(jù)了解，政府部門信息監(jiān)察、網(wǎng)站安全、病毒殺毒公司、銀行、金融、證券、通信領(lǐng)域等多個(gè)熱門行業(yè)對(duì)這個(gè)崗位的人才都有巨大的需求，就業(yè)前景廣闊。

“最近幾年滲透測(cè)試這一塊就業(yè)形勢(shì)非常好，供不應(yīng)求，金融、央企、互聯(lián)網(wǎng)以及信息化業(yè)務(wù)使用較多單位對(duì)這個(gè)崗位有明確需求?！睆堄烙≌f(shuō)。

據(jù)張永印了解，剛畢業(yè)就從事滲透測(cè)試相關(guān)工作，月薪大概在1萬(wàn)起較普遍，工作2-3年的成手人員月薪大概在2萬(wàn)左右，3年以上有攻擊隊(duì)能力的人員一般得3萬(wàn)左右或更高，依能力判斷。

目前，這一高薪的職業(yè)面臨較大人才缺口。2021年10月份，工信部聯(lián)合多個(gè)單位發(fā)布的《網(wǎng)絡(luò)安全人才發(fā)展報(bào)告》顯示，我國(guó)網(wǎng)絡(luò)安全人才市場(chǎng)每年平均需求與供給之比約為2：1，專業(yè)人才累計(jì)缺口在140萬(wàn)以上。高級(jí)戰(zhàn)略人才和專業(yè)技術(shù)人才尤其匱乏。

據(jù)張永印介紹，做滲透需要懂的技術(shù)點(diǎn)包括操作系統(tǒng)（windows/linux）、數(shù)據(jù)庫(kù)（mssql/mysql/oracle/redis）、開發(fā)語(yǔ)言（php/java/python）、滲透技術(shù)等?！皩?shí)際上，企業(yè)對(duì)初級(jí)人員招聘要求不是太高，信息安全相關(guān)專業(yè)的，培訓(xùn)班學(xué)2-3個(gè)月，學(xué)得好的就能找個(gè)工作。”

但是，張永印指出，從技術(shù)能力維度來(lái)看，目前滲透/攻防相關(guān)人員缺口很大，想招成手人員很難，這個(gè)崗位這幾年需求呈現(xiàn)大幅度增長(zhǎng)，企業(yè)在招聘時(shí)更多是需要中、高級(jí)能力人員。

“這主要因?yàn)椴皇菍W(xué)歷越高就代表技術(shù)能力越高，學(xué)滲透需要一些天賦成分，并非常規(guī)的技術(shù)點(diǎn)檢查，需要個(gè)人有較強(qiáng)的漏洞研究能力。同時(shí)需要有較強(qiáng)的興趣驅(qū)動(dòng)自己不斷學(xué)習(xí)新技術(shù)，因?yàn)槊刻於加锌赡艹鲂侣┒础！睆堄烙≌f(shuō)。

國(guó)家級(jí)標(biāo)準(zhǔn)頒發(fā)

基于這一特殊性，左曉棟表示，這一職業(yè)的設(shè)立以及相關(guān)標(biāo)準(zhǔn)的制定，對(duì)網(wǎng)絡(luò)安全行業(yè)發(fā)展而言意義重大，可以極大地推動(dòng)相關(guān)知識(shí)進(jìn)步，激勵(lì)更多人投入這一重要工作中來(lái)。

2021年11月25日，人力資源和社會(huì)保障部辦公廳、中央網(wǎng)信辦秘書局、工業(yè)和信息化部辦公廳、公安部辦公廳頒布《信息安全測(cè)試員國(guó)家職業(yè)技能標(biāo)準(zhǔn)》。

目前，“信息安全測(cè)試員”新職業(yè)培訓(xùn)教材大綱也已經(jīng)開始編寫。

作為“信息安全測(cè)試員”國(guó)家職業(yè)技能標(biāo)準(zhǔn)編寫組組長(zhǎng)，嚴(yán)明深知，具備滲透測(cè)試或壓力測(cè)試技能的人才，不是僅僅以學(xué)歷和學(xué)位能夠表征出來(lái)的，需要在掌握必需基本知識(shí)的情況下具有高度技巧和實(shí)操能力。

因此，他認(rèn)為，對(duì)于相關(guān)領(lǐng)域的技能隊(duì)伍的建設(shè)和管理至關(guān)重要。不僅如此，網(wǎng)絡(luò)安全行業(yè)的特殊性還決定了對(duì)于相關(guān)從業(yè)人員的職業(yè)道德、法律意識(shí)和政治素質(zhì)應(yīng)當(dāng)進(jìn)行嚴(yán)格考核和規(guī)范管理。這一職業(yè)標(biāo)準(zhǔn)的制定對(duì)于網(wǎng)絡(luò)空間安全和發(fā)展來(lái)說(shuō)十分重要。

嚴(yán)明強(qiáng)調(diào)，正是因?yàn)槿松绮筷P(guān)注到國(guó)家和行業(yè)對(duì)于網(wǎng)絡(luò)安全人才的迫切需求，“信息安全測(cè)試員”這一新職業(yè)才得以設(shè)立，這一國(guó)家職業(yè)技能標(biāo)準(zhǔn)才得以頒發(fā)。

“當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域面臨多重挑戰(zhàn)和壓力，在我國(guó)網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)過(guò)程中，如何從國(guó)家政策和方略上對(duì)掌握優(yōu)秀攻防技能的人才給予肯定和鼓勵(lì)非常重要?！眹?yán)明說(shuō)。

在嚴(yán)明看來(lái)，對(duì)滲透測(cè)試人才地位的認(rèn)可和加強(qiáng)，對(duì)于相關(guān)領(lǐng)域人才的管理、培訓(xùn)甚至保護(hù)而言尤為重要。他說(shuō)，“缺乏高水平的滲透性測(cè)試人才，在最終實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)上就‘缺了一條腿’，不能真正達(dá)到安全的目的?！?/p>

何時(shí)才能持證“上崗”？

但是，光一個(gè)標(biāo)準(zhǔn)還不行，讓相關(guān)人員持證“上崗”還有很多工作要做。嚴(yán)明指出，下一步要根據(jù)這一標(biāo)準(zhǔn)進(jìn)行培訓(xùn)教材的編寫、研究、評(píng)審、修改、報(bào)批、定稿等，之后人社部會(huì)組織有關(guān)部門根據(jù)標(biāo)準(zhǔn)和培訓(xùn)教材來(lái)組織培訓(xùn)和考核。

“一旦通過(guò)考核，將會(huì)獲得由人社部代表國(guó)家頒發(fā)的職業(yè)技能證書，那就是國(guó)家承認(rèn)的職業(yè)技能身份或者資格了，非常重要也非常有意義?！眹?yán)明預(yù)計(jì)，整個(gè)過(guò)程起碼還需要兩年時(shí)間。

一位網(wǎng)絡(luò)安全測(cè)試人員對(duì)中新社國(guó)是直通車表示，對(duì)于已經(jīng)踏上工作崗位的人來(lái)說(shuō)，這一新職業(yè)設(shè)立和標(biāo)準(zhǔn)的頒發(fā)最大影響在于可以考取國(guó)家級(jí)證書，而不僅僅是行業(yè)級(jí)證書，對(duì)其技能認(rèn)定以及就業(yè)選擇會(huì)有所幫助。

同時(shí)，在他看來(lái)，更為明顯的影響在于讓這份原本“神秘”的職業(yè)被更多人看見，為即將進(jìn)入行業(yè)的新人提供了職業(yè)的方向。

對(duì)于相關(guān)人員的管理和培訓(xùn)，左曉棟建議，一是嚴(yán)把質(zhì)量關(guān)，確保從業(yè)人員都具備較高水平；二是加強(qiáng)職業(yè)道德教育，因?yàn)檫@些工作涉及被保護(hù)對(duì)象的核心資產(chǎn)，而且測(cè)試結(jié)果往往具有背書意義或被有關(guān)方面采信，這就對(duì)從業(yè)人員提出了很高的遵紀(jì)守法和道德要求。

關(guān)鍵詞： 信息安全