文/陳婧
黑客投毒佛羅里達水廠未遂、巴西國庫遭勒索軟件攻擊、伊朗遭受網絡攻擊導致全國加油站大規模關閉……過去一年里發生的這些聽上去很“爆炸”的新聞,無一不與網絡安全息息相關。
網絡安全問題日益突出,也讓“信息安全測試員”等新職業逐漸揭開神秘面紗,從“小眾”走向蓬勃發展。
什么是“信息安全測試員”?
在許多人還未曾聽說“網絡安全測試員”這一職業的時候,《2021年北京市人力資源市場薪酬大數據報告》里,它以32.38萬元高居年薪中位值排行榜第二。排名第一和第三的分別是:區塊鏈工程技術人員(48.71萬元)、云計算工程技術人員(29.29萬元),都與網絡信息、互聯網科技行業相關。
2020年,人社部發布新興職業,“信息安全測試員”位列其中。到底什么是“信息安全測試員”?
根據人社部給出的介紹,“信息安全測試員”就是通過對評測目標的網絡和系統進行滲透測試,發現安全問題并提出改進建議,使網絡和系統免受惡意攻擊的人員。
這里提到的“滲透測試”又是什么?
公安部第一、第三研究所原所長、研究員,中國計算機學會計算機安全專業委員會榮譽主任嚴明對中新社國是直通車表示,網絡安全是一種在攻防對立博弈中的安全保障。在構筑網絡安全體系時,需要驗證其是否達到了安全目標,因此要進行一系列測試,這些測試大致分為兩類,一是合規性測試,二是實際的針對滲透性攻擊的防御能力驗證,這種驗證通常以攻防形式進行,在技術上叫滲透性測試。
作為一名“滲透測試工程師”,奇安信集團應急響應業務總監張永印對中新社國是直通車表示,“信息安全測試員”和他所從事的滲透測試工作崗位性質基本一致。
據張永印介紹,“滲透測試”是在客戶授權的情況下,對客戶指定的網站、應用服務、App等重要信息系統,在盡量不影響業務運行的情況下,以模擬黑客攻擊方式對其進行安全檢測,嘗試發現其安全漏洞或隱患,來評估其業務安全性并提供安全修復建議。
也有人這樣描述這個不斷在網上“找坑”的工作:如果說,黑客是在網上挖坑,然后利用這個坑去攻擊網絡和系統的話,那么信息安全測試員就是先黑客一步,挖出“坑”來,然后分析它的特點,想辦法補“坑”,從而保證整個網絡及資產安全。
中國信息安全研究院副院長左曉棟對中新社國是直通車表示,“信息安全測試員”這一職業就像現實中的“醫生”。“如果沒有醫生,那人類健康就會難以保障。沒有這一職業,我們就會提心吊膽,時時擔心使用的網絡或系統出現問題,最終就是什么事也干不了。”左曉棟說。
日常“找坑”“補坑”,待遇如何?
這些日常“找坑”“補坑”的職業就業前景和待遇如何?
據了解,政府部門信息監察、網站安全、病毒殺毒公司、銀行、金融、證券、通信領域等多個熱門行業對這個崗位的人才都有巨大的需求,就業前景廣闊。
“最近幾年滲透測試這一塊就業形勢非常好,供不應求,金融、央企、互聯網以及信息化業務使用較多單位對這個崗位有明確需求。”張永印說。
據張永印了解,剛畢業就從事滲透測試相關工作,月薪大概在1萬起較普遍,工作2-3年的成手人員月薪大概在2萬左右,3年以上有攻擊隊能力的人員一般得3萬左右或更高,依能力判斷。
目前,這一高薪的職業面臨較大人才缺口。2021年10月份,工信部聯合多個單位發布的《網絡安全人才發展報告》顯示,我國網絡安全人才市場每年平均需求與供給之比約為2:1,專業人才累計缺口在140萬以上。高級戰略人才和專業技術人才尤其匱乏。
據張永印介紹,做滲透需要懂的技術點包括操作系統(windows/linux)、數據庫(mssql/MySQL/oracle/redis)、開發語言(php/JAVA/Python)、滲透技術等。“實際上,企業對初級人員招聘要求不是太高,信息安全相關專業的,培訓班學2-3個月,學得好的就能找個工作。”
但是,張永印指出,從技術能力維度來看,目前滲透/攻防相關人員缺口很大,想招成手人員很難,這個崗位這幾年需求呈現大幅度增長,企業在招聘時更多是需要中、高級能力人員。
“這主要因為不是學歷越高就代表技術能力越高,學滲透需要一些天賦成分,并非常規的技術點檢查,需要個人有較強的漏洞研究能力。同時需要有較強的興趣驅動自己不斷學習新技術,因為每天都有可能出新漏洞。”張永印說。
國家級標準頒發
基于這一特殊性,左曉棟表示,這一職業的設立以及相關標準的制定,對網絡安全行業發展而言意義重大,可以極大地推動相關知識進步,激勵更多人投入這一重要工作中來。
2021年11月25日,人力資源和社會保障部辦公廳、中央網信辦秘書局、工業和信息化部辦公廳、公安部辦公廳頒布《信息安全測試員國家職業技能標準》。
目前,“信息安全測試員”新職業培訓教材大綱也已經開始編寫。
作為“信息安全測試員”國家職業技能標準編寫組組長,嚴明深知,具備滲透測試或壓力測試技能的人才,不是僅僅以學歷和學位能夠表征出來的,需要在掌握必需基本知識的情況下具有高度技巧和實操能力。
因此,他認為,對于相關領域的技能隊伍的建設和管理至關重要。不僅如此,網絡安全行業的特殊性還決定了對于相關從業人員的職業道德、法律意識和政治素質應當進行嚴格考核和規范管理。這一職業標準的制定對于網絡空間安全和發展來說十分重要。
嚴明強調,正是因為人社部關注到國家和行業對于網絡安全人才的迫切需求,“信息安全測試員”這一新職業才得以設立,這一國家職業技能標準才得以頒發。
“當前網絡安全領域面臨多重挑戰和壓力,在我國網絡安全人才隊伍建設過程中,如何從國家政策和方略上對掌握優秀攻防技能的人才給予肯定和鼓勵非常重要。”嚴明說。
在嚴明看來,對滲透測試人才地位的認可和加強,對于相關領域人才的管理、培訓甚至保護而言尤為重要。他說,“缺乏高水平的滲透性測試人才,在最終實現網絡安全保護上就‘缺了一條腿’,不能真正達到安全的目的。”
何時才能持證“上崗”?
但是,光一個標準還不行,讓相關人員持證“上崗”還有很多工作要做。嚴明指出,下一步要根據這一標準進行培訓教材的編寫、研究、評審、修改、報批、定稿等,之后人社部會組織有關部門根據標準和培訓教材來組織培訓和考核。
“一旦通過考核,將會獲得由人社部代表國家頒發的職業技能證書,那就是國家承認的職業技能身份或者資格了,非常重要也非常有意義。”嚴明預計,整個過程起碼還需要兩年時間。
一位網絡安全測試人員對中新社國是直通車表示,對于已經踏上工作崗位的人來說,這一新職業設立和標準的頒發最大影響在于可以考取國家級證書,而不僅僅是行業級證書,對其技能認定以及就業選擇會有所幫助。
同時,在他看來,更為明顯的影響在于讓這份原本“神秘”的職業被更多人看見,為即將進入行業的新人提供了職業的方向。
對于相關人員的管理和培訓,左曉棟建議,一是嚴把質量關,確保從業人員都具備較高水平;二是加強職業道德教育,因為這些工作涉及被保護對象的核心資產,而且測試結果往往具有背書意義或被有關方面采信,這就對從業人員提出了很高的遵紀守法和道德要求。
