文/陳婧

黑客投毒佛羅里達水廠未遂、巴西國庫遭勒索軟件攻擊、伊朗遭受網(wǎng)絡(luò)攻擊導致全國加油站大規(guī)模關(guān)閉……過去一年里發(fā)生的這些聽上去很“爆炸”的新聞，無一不與網(wǎng)絡(luò)安全息息相關(guān)。

網(wǎng)絡(luò)安全問題日益突出，也讓“信息安全測試員”等新職業(yè)逐漸揭開神秘面紗，從“小眾”走向蓬勃發(fā)展。

什么是“信息安全測試員”？

在許多人還未曾聽說“網(wǎng)絡(luò)安全測試員”這一職業(yè)的時候，《2021年北京市人力資源市場薪酬大數(shù)據(jù)報告》里，它以32.38萬元高居年薪中位值排行榜第二。排名第一和第三的分別是：區(qū)塊鏈工程技術(shù)人員（48.71萬元）、云計算工程技術(shù)人員（29.29萬元），都與網(wǎng)絡(luò)信息、互聯(lián)網(wǎng)科技行業(yè)相關(guān)。

2020年，人社部發(fā)布新興職業(yè)，“信息安全測試員”位列其中。到底什么是“信息安全測試員”？

根據(jù)人社部給出的介紹，“信息安全測試員”就是通過對評測目標的網(wǎng)絡(luò)和系統(tǒng)進行滲透測試，發(fā)現(xiàn)安全問題并提出改進建議，使網(wǎng)絡(luò)和系統(tǒng)免受惡意攻擊的人員。

這里提到的“滲透測試”又是什么？

公安部第一、第三研究所原所長、研究員，中國計算機學會計算機安全專業(yè)委員會榮譽主任嚴明對中新社國是直通車表示，網(wǎng)絡(luò)安全是一種在攻防對立博弈中的安全保障。在構(gòu)筑網(wǎng)絡(luò)安全體系時，需要驗證其是否達到了安全目標，因此要進行一系列測試，這些測試大致分為兩類，一是合規(guī)性測試，二是實際的針對滲透性攻擊的防御能力驗證，這種驗證通常以攻防形式進行，在技術(shù)上叫滲透性測試。

作為一名“滲透測試工程師”，奇安信集團應急響應業(yè)務總監(jiān)張永印對中新社國是直通車表示，“信息安全測試員”和他所從事的滲透測試工作崗位性質(zhì)基本一致。

據(jù)張永印介紹，“滲透測試”是在客戶授權(quán)的情況下，對客戶指定的網(wǎng)站、應用服務、APP等重要信息系統(tǒng)，在盡量不影響業(yè)務運行的情況下，以模擬黑客攻擊方式對其進行安全檢測，嘗試發(fā)現(xiàn)其安全漏洞或隱患，來評估其業(yè)務安全性并提供安全修復建議。

也有人這樣描述這個不斷在網(wǎng)上“找坑”的工作：如果說，黑客是在網(wǎng)上挖坑，然后利用這個坑去攻擊網(wǎng)絡(luò)和系統(tǒng)的話，那么信息安全測試員就是先黑客一步，挖出“坑”來，然后分析它的特點，想辦法補“坑”，從而保證整個網(wǎng)絡(luò)及資產(chǎn)安全。

中國信息安全研究院副院長左曉棟對中新社國是直通車表示，“信息安全測試員”這一職業(yè)就像現(xiàn)實中的“醫(yī)生”?！叭绻麤]有醫(yī)生，那人類健康就會難以保障。沒有這一職業(yè)，我們就會提心吊膽，時時擔心使用的網(wǎng)絡(luò)或系統(tǒng)出現(xiàn)問題，最終就是什么事也干不了?！弊髸詶澱f。

日?！罢铱印薄把a坑”，待遇如何？

這些日?！罢铱印薄把a坑”的職業(yè)就業(yè)前景和待遇如何？

據(jù)了解，政府部門信息監(jiān)察、網(wǎng)站安全、病毒殺毒公司、銀行、金融、證券、通信領(lǐng)域等多個熱門行業(yè)對這個崗位的人才都有巨大的需求，就業(yè)前景廣闊。

“最近幾年滲透測試這一塊就業(yè)形勢非常好，供不應求，金融、央企、互聯(lián)網(wǎng)以及信息化業(yè)務使用較多單位對這個崗位有明確需求。”張永印說。

據(jù)張永印了解，剛畢業(yè)就從事滲透測試相關(guān)工作，月薪大概在1萬起較普遍，工作2-3年的成手人員月薪大概在2萬左右，3年以上有攻擊隊能力的人員一般得3萬左右或更高，依能力判斷。

目前，這一高薪的職業(yè)面臨較大人才缺口。2021年10月份，工信部聯(lián)合多個單位發(fā)布的《網(wǎng)絡(luò)安全人才發(fā)展報告》顯示，我國網(wǎng)絡(luò)安全人才市場每年平均需求與供給之比約為2：1，專業(yè)人才累計缺口在140萬以上。高級戰(zhàn)略人才和專業(yè)技術(shù)人才尤其匱乏。

據(jù)張永印介紹，做滲透需要懂的技術(shù)點包括操作系統(tǒng)（windows/linux）、數(shù)據(jù)庫（mssql/mysql/oracle/redis）、開發(fā)語言（php/java/python）、滲透技術(shù)等?！皩嶋H上，企業(yè)對初級人員招聘要求不是太高，信息安全相關(guān)專業(yè)的，培訓班學2-3個月，學得好的就能找個工作?！?/p>

但是，張永印指出，從技術(shù)能力維度來看，目前滲透/攻防相關(guān)人員缺口很大，想招成手人員很難，這個崗位這幾年需求呈現(xiàn)大幅度增長，企業(yè)在招聘時更多是需要中、高級能力人員。

“這主要因為不是學歷越高就代表技術(shù)能力越高，學滲透需要一些天賦成分，并非常規(guī)的技術(shù)點檢查，需要個人有較強的漏洞研究能力。同時需要有較強的興趣驅(qū)動自己不斷學習新技術(shù)，因為每天都有可能出新漏洞?！睆堄烙≌f。

國家級標準頒發(fā)

基于這一特殊性，左曉棟表示，這一職業(yè)的設(shè)立以及相關(guān)標準的制定，對網(wǎng)絡(luò)安全行業(yè)發(fā)展而言意義重大，可以極大地推動相關(guān)知識進步，激勵更多人投入這一重要工作中來。

2021年11月25日，人力資源和社會保障部辦公廳、中央網(wǎng)信辦秘書局、工業(yè)和信息化部辦公廳、公安部辦公廳頒布《信息安全測試員國家職業(yè)技能標準》。

目前，“信息安全測試員”新職業(yè)培訓教材大綱也已經(jīng)開始編寫。

作為“信息安全測試員”國家職業(yè)技能標準編寫組組長，嚴明深知，具備滲透測試或壓力測試技能的人才，不是僅僅以學歷和學位能夠表征出來的，需要在掌握必需基本知識的情況下具有高度技巧和實操能力。

因此，他認為，對于相關(guān)領(lǐng)域的技能隊伍的建設(shè)和管理至關(guān)重要。不僅如此，網(wǎng)絡(luò)安全行業(yè)的特殊性還決定了對于相關(guān)從業(yè)人員的職業(yè)道德、法律意識和政治素質(zhì)應當進行嚴格考核和規(guī)范管理。這一職業(yè)標準的制定對于網(wǎng)絡(luò)空間安全和發(fā)展來說十分重要。

嚴明強調(diào)，正是因為人社部關(guān)注到國家和行業(yè)對于網(wǎng)絡(luò)安全人才的迫切需求，“信息安全測試員”這一新職業(yè)才得以設(shè)立，這一國家職業(yè)技能標準才得以頒發(fā)。

“當前網(wǎng)絡(luò)安全領(lǐng)域面臨多重挑戰(zhàn)和壓力，在我國網(wǎng)絡(luò)安全人才隊伍建設(shè)過程中，如何從國家政策和方略上對掌握優(yōu)秀攻防技能的人才給予肯定和鼓勵非常重要。”嚴明說。

在嚴明看來，對滲透測試人才地位的認可和加強，對于相關(guān)領(lǐng)域人才的管理、培訓甚至保護而言尤為重要。他說，“缺乏高水平的滲透性測試人才，在最終實現(xiàn)網(wǎng)絡(luò)安全保護上就‘缺了一條腿’，不能真正達到安全的目的。”

何時才能持證“上崗”？

但是，光一個標準還不行，讓相關(guān)人員持證“上崗”還有很多工作要做。嚴明指出，下一步要根據(jù)這一標準進行培訓教材的編寫、研究、評審、修改、報批、定稿等，之后人社部會組織有關(guān)部門根據(jù)標準和培訓教材來組織培訓和考核。

“一旦通過考核，將會獲得由人社部代表國家頒發(fā)的職業(yè)技能證書，那就是國家承認的職業(yè)技能身份或者資格了，非常重要也非常有意義。”嚴明預計，整個過程起碼還需要兩年時間。

一位網(wǎng)絡(luò)安全測試人員對中新社國是直通車表示，對于已經(jīng)踏上工作崗位的人來說，這一新職業(yè)設(shè)立和標準的頒發(fā)最大影響在于可以考取國家級證書，而不僅僅是行業(yè)級證書，對其技能認定以及就業(yè)選擇會有所幫助。

同時，在他看來，更為明顯的影響在于讓這份原本“神秘”的職業(yè)被更多人看見，為即將進入行業(yè)的新人提供了職業(yè)的方向。

對于相關(guān)人員的管理和培訓，左曉棟建議，一是嚴把質(zhì)量關(guān)，確保從業(yè)人員都具備較高水平；二是加強職業(yè)道德教育，因為這些工作涉及被保護對象的核心資產(chǎn)，而且測試結(jié)果往往具有背書意義或被有關(guān)方面采信，這就對從業(yè)人員提出了很高的遵紀守法和道德要求。

關(guān)鍵詞： 信息安全