网络安全技术技能人才职业能力图谱介绍

网络安全技术技能人才职业能力图谱主要包括安全运营、网络攻防、安全管理、开发与测试、 安全分析等 5 个通用安全技术方向，以及电子数据取证、工控安 全、内容安全等 3 个专向安全技术方向，共 8 大方向。

1.方向一： 安全运营

安全云运营能力，是指政企单位在日常生产经营活动中，对 信息化系统进行持续的安全建设和安全运营过程中，或者是在网 络安全实战攻防演习过程中，需要用到的网络安全技术与实战能 力。主要包括：检查与整改、监测与分析、响应与处置、溯源与 反制等实战化运营能力，以及软件/设备的安装与调试、云安全 运营、终端安全运营和其他特定的安全运营能力。

一、软件、设备的安装与调试 软件/设备的安装与调试能力，主要是指能够在政企单位的 机房中或信息化系统中、安装部署和调试常见网络安全产品（包 括软件和硬件）的技术能力。常见的网络安全产品主要又可分为 包括终端安全管控、云安全管控、防火墙、入侵检测等防护类产 5 品，以及 EDR、NDR、SOC/态势感知、流量威胁检测、日志审计、 上网行为管理等监测类产品。

二、检查与整改 检查与整改，主要是指在网络安全运营过程中，或在网络安 全实战攻防演习之前，对机构网络安全建设与运营的摸底排查和 整改加固工作，目的是通过事前有针对性的自查工作，提前发现 问题、提前消除隐患。其中包括：安全检查、整改加固与规则优 化这 3 个小类，11 项具体能力。

三、监测与分析 监测与分析，是指通过各类网络安全设备或系统，对机构内 部网络中发生的各类网络安全威胁事件进行实时监测和分析研 判的安全工作。监测与分析，不仅是日常网络安全运营过程中最 主要的工作，也是网络安全实战攻防演习过程中最为主要的基础 性工作。监测与分析工作，具体来说又可以分为告警监测与事件 分析两个小类和 9 项具体能力。

2.方向二： 网络攻防

网络攻击能力，是指能够通过技术、社工等手段，对政企单 位的网络信息系统，进行入侵、渗透，进而实现夺取系统权限、 获取系统数据、破坏系统运行等目的的一类特殊的安全能力的总 和。掌握网络攻击能力的目的。是帮助政企单位从攻击者视角出 发，在真实的攻击活动之前，及时发现系统漏洞及各类安全隐患。

一、 Web 漏洞利用与挖掘 Web 漏洞利用与挖掘是指针对 Web 系统或应用中存在的安全 漏洞进利用和挖掘的攻击手段。具体又包括 Web 漏洞利用和 Web 漏洞挖掘两个方面。前者是指利用已知的各类 Web 漏洞进行攻击 的技术能力，后者是指发现系统中存在的新的 Web 漏洞的能力。 从技术原理来看，Web 漏洞主要包括以下 12 种类型：命令执 44 行、SQL 注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、XSS、 配置错误、弱口令、反序列化、文件上传、权限绕过。针对这 12 种不同技术原理的漏洞进行利用和挖掘，就分别对应了 Web 漏洞 利用与挖掘各自包含的 12 项不同能力。

二、 系统层漏洞利用与挖掘 为应对各种各样的网络攻击，操作系统内部有很多底层的安 全机制。系统层漏洞利用与挖掘指针对操作系统、服务器或网络 设备等系统层面的安全漏洞进行攻防利用与漏洞挖掘的能力。其 中，系统层漏洞挖掘，要求具备能够深入分析系统架构、配置及 源代码，发现系统层面的潜在安全漏洞，为增强系统防御提供关 键信息和修复建议的能力。 系统层漏洞利用与防护能力，主要包括 7 种最为常用的、典 型的系统层安全机制，即 SafeSEH、DEP、PIE、NX、ASLR、SEHOP、 GS。 而最常用的系统层漏洞挖掘能力（方法）主要包括 6 种，即 50 代码跟踪、动态调试、Fuzzing 技术、补丁对比、软件逆向静态 分析、系统安全机制分析。

三、 安全工具使用 在攻击侧，安全工具的使用是指在安全分析或攻防实战过程 中，通过使用一系列成熟的、专用的安全工具，对网络系统进行 监测、分析，乃至实现特定的攻击活动的攻击方法。 其中比较常见的基础安全工具包括：Burp Suite、Sqlmap、 Nmap、Wireshark、AppScan、AWVS、MSF、Cobalt Strike 等。 经常被用到的高级工具包括：IDA、Ghidra、Binwalk、OllyDbg、 Peach fuzzer 等。

3.方向三 ：安全管理

安全管理，是指通过技术和管理手段的综合运用，提升政企 机构内部网络安全运营的整体水平、提升网络安全事件的响应能 力、提升数据和信息系统安全性和可靠性的各类管理措施的总和。 主要包括安全意识管理、安全组织建设、安全规划设计、风险评 估管理、数据安全管理等 5 大类 15 小类 69 项具体能力。

一、安全意识管理 安全意识管理，是指针对单位内部领导干部、信息化工作人 员、以及全体员工的网络安全意识水平的持续提升与管理。其中 主要包括政策法规的学习和安全意识教育两个方面，包含 12 项 具体能力。安全意识是政企机构网络安全的重要防线。在某些情 况下，安全意识甚至比技术方法更重要。

二、安全组织建设 安全组织建设，是指在政企机构内部，对网络安全管理团队 和网络安全管理流程/制度进行的系统性建设。具体又可分为组 织建设和制度建设。前者包括管理组织建设、技术组织建设、业 务协作组织建设等；后者则包括安全规章制度建设、事件响应流 程建设等方面。此类能力共包括 2 小类 5 项具体能力。

三、安全规划设计 安全规划设计，是指结合业务需求、IT 架构与未来的信息化 发展需要，对企业的网络安全管理、网络安全建设、网络安全运 营等方面工作进行统一、全方位的规划与设计。其具体技能要求 主要包括 IT 技术、网络安全技术、网络安全架构设计、网络安 全治理和管理、安全咨询等 5 个小类，31 项技能。

4.方向四 ：开发与测试

开发与测试能力，是指在网络安全工作中需要使用的编程开 发与应用测试的基本能力，除了使用各种主流开发语言的通用开 发能力，还包括安全开发能力、安全测试能力、安全产品设计能 力、系统安全能力、以及 AI 辅助开发与测试能力等 6 大 14 小类 56 项具体能力。

一、通用开发能力 通用开发能力，主要是指在网络安全工作中最为常用、一般 性的、通用的程序编写与应用开发能力，主要包括 Java、PHP、 Python、C/C++、Golang 等 5 种常用的编程语言，以及主流开发 框架、算法设计、协议解析、数据接口、数据库等 5 种常用的软 件开发基础能力。

二、安全开发 安全开发，是指在软件开发过程中考虑和实施一系列安全措 施的一种方法，旨在减少软件中潜在的漏洞和风险，确保所开发 的软件系统具有高度的安全性，能够有效地防御各种类型的网络 攻击，并保护用户数据和系统资源不受损害。安全开发能力主要 包括软件的安全设计、代码安全、运行安全（开发阶段就需要考 虑运行安全问题）等 3 个小类 6 项具体能力。

三、安全测试 安全测试，是指在 IT 软件产品的生命周期中，特别是在产 品开发基本完成到发布阶段，对产品进行检验以验证产品符合安 全需求定义和产品质量标准的过程。其目的是确保软件在面对各 种安全威胁时能够保持稳定运行，保护用户数据和系统安全。安 全测试能力主要包括基础安全测试方法、代码安全分析技术、常 见代码缺陷场景验证等三小类 13 项具体能力。

5.方向五 ：安全分析

安全分析，在这里是指针对各类网络安全事件、网络威胁告 警、恶意程序样本、网络攻击组织与活动等，进行关联分析并得 出研判结论的过程。从安全分析人员的能力需要来看，主要包括 溯源分析、可视化分析、恶意样本分析、威胁情报技术和安全分 析报告撰写等 5 大类、18 小类、73 项具体能力。

一、溯源分析 溯源分析，是指通过收集、分析和解释攻击者的行为痕迹， 来追踪攻击者或还原网络攻击活动的分析过程。其主要目标是确 定攻击者的手法、身份、行为和意图，以便采取适当的防范对策， 并为法律机构提供必要的证据。溯源分析工程师需要掌握的能力 主要包括内网溯源、全网溯源和日志分析工具使用等 3 小类 10 142 项具体能力。

二、可视化分析 可视化分析，在这里是指结合现代可视化技术对网络安全事 件进行深度分析与大数据关联分析的一种安全分析方法。可视化 分析可以大幅提升安全分析的效率和直观性，是现代网络安全分 析、网络安全管理的重要技术方法。可视化分析能力主要包括可 视化方法、可视化工具和可视化系统开发等 3 小类 18 项具体能 力。

三、恶意样本分析 恶意样本分析，是指对于捕获的恶意程序样本的代码特征、 行为特征、技术方法、攻击目的等特征进行分析，进而实现样本 检测、样本防范、追踪溯源等目的的安全分析方法。。恶意样本 分析师一般需要具备恶意样本识别、源代码分析、样本行为分析、 逆向分析工具使用、安全沙箱/虚拟机使用等 5 个小类 13 项具体 154 能力。