◆马卓元 杨向东 闫育芸 李 丹

（陕西省网络与信息安全测评中心 陕西 710065）

网络安全已成为事关经济社会发展、国家长治久安和人民群众福祉的重大战略问题，建立一支规模宏大、结构优化、素质优良的网络安全人才队伍已成为维护国家网络安全和建设网络强国的核心需求[1]。目前，针对信息安全人员能力的认证培训大多集中在CISA认证、CISM认证、CISP认证、CISD认证等方面，尚未在信息系统安全测试方面针对人员能力进行相关认证。因此，我们提出对信息系统安全测试人员进行能力认证。

1 信息系统安全测试人员能力认证概述

信息系统安全测试人员能力认证是面向在信息系统生命周期中，对信息系统的安全性开展全方位测试，以发现信息系统所有可能被攻击者利用的安全隐患，并指导客户进行信息系统修复的人员的技术能力的专业认证，是对信息系统安全测试知识和技能的综合考察和认证。证书持有人员主要从事信息系统安全测试领域的工作，具有制定信息系统安全测试策略、组织信息系统安全测试实施、编制信息系统安全测试评估分析报告等能力。

2 信息系统安全测试人员能力认证设计基础

2.1 设计目标

从社会信息化和建设国家信息安全保障体系对信息安全人才的需求出发，设计出一套信息系统安全测试人员能力认证体系，填补国内在信息系统安全测试人员能力认证方面的空白，为网络安全人才培养和资质认证事业打下理论基础，为我国网络安全人才成体系化、规模化、系统化培养提供有力保障。

2.2 设计原则

（1）导向性

以社会中具体的职业岗位需求为导向，按专业技术对知识资源进行收集归纳和清除，将重点放在提升学员的综合能力上。

（2）实践性

遵循“实践为王”的原则， 加入实践性较强的探究内容，以提升学员的实践能力，为以后更好地适应岗位要求做准备。

（3）持续性

根据不同的发展战略对知识体系进行持续性的改造和升级，逐步实现由浅到深、由片面到全面的发展。

（4）系统性

站在网络安全人才战略的高度，充分运用系统性的思维，涉及能力认证的多个方面时应实现一体联动。

3 信息系统安全测试人员能力认证设计内容

3.1 课程框架

通过信息系统安全测试人员能力认证的持证人员主要从事信息系统安全测试相关工作，具有安全测试的基本知识和能力。因此，在整个信息系统安全测试人员能力认证的课程体系结构中，共包括安全测试基础、安全测试技术、安全测试实践这三个分类，详见表1。

表1 信息系统安全测试人员能力认证课程设置

数据库安全介绍Mssql数据库、Mysql数据库、Oracle数据库、Redis 数据库相关技术知识和实践鉴别与访问控制介绍鉴别的类型、方法，访问控制基本概念、访问控制模型及访问控制技术安全开发介绍安全开发背景、必要性、模型及研究；介绍安全开发需求和设计、SDL开发过程安全、安全编码、安全测试应急响应与灾难恢复介绍信息安全事件分级、信息安全应急响应管理过程、信息系统灾难恢复管理过程、备份技术安全测试准备介绍安全测试理论、安全测试流程、安全测试标准、安全测试计划、安全测试技术及工具库安全测试实践安全测试执行介绍安全测试范围/对象/项目、安全测试策略、安全测试方法、安全测试全过程的质量控制安全测试综合分析评估介绍安全测试记录、安全测试结果分析及报告

3.2 评价方式

信息系统安全测试人员能力认证考试题型为客观题、实操题。客观题为单项选择题，共30题，每题1分。实操题共70分。总分共100分，得到70分以上（含70分）为通过，详见表2。

表2 信息系统安全测试人员能力认证试题结构

通过信息系统安全测试人员能力认证考试后，可获得《信息系统安全测试人员能力认证培训结业证书》与《信息系统安全测试人员资质证书》。

4 结束语

信息系统安全测试人员能力认证是对我国网络基础设施和重要信息系统的信息安全专业人员开展在职培训的重要形式之一，本文基于信息系统安全测试人员能力认证设计出了科学合理的课程框架和评价方式，可为加快落实我国网络安全和信息化发展相关政策，构建网络空间安全人才培养体系发挥巨大作用。