网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

黑客投毒佛罗里达水厂未遂、巴西国库遭勒索软件攻击、伊朗遭受网络攻击导致全国加油站大规模关闭……过去一年里发生的这些听上去很“爆炸”的新闻，无一不与网络安全息息相关。

网络安全问题日益突出，也让“信息安全测试员”等新职业逐渐揭开神秘面纱，从“小众”走向蓬勃发展。

什么是“信息安全测试员”？

在许多人还未曾听说“网络安全测试员”这一职业的时候，《2021年北京市人力资源市场薪酬大数据报告》里，它以32.38万元高居年薪中位值排行榜第二。排名第一和第三的分别是：区块链工程技术人员（48.71万元）、云计算工程技术人员（29.29万元），都与网络信息、互联网科技行业相关。

2020年，人社部发布新兴职业，“信息安全测试员”位列其中。到底什么是“信息安全测试员”？

根据人社部给出的介绍，“信息安全测试员”就是通过对评测目标的网络和系统进行渗透测试，发现安全问题并提出改进建议，使网络和系统免受恶意攻击的人员。

这里提到的“渗透测试”又是什么？

公安部第一、第三研究所原所长、研究员，中国计算机学会计算机安全专业委员会荣誉主任严明表示，网络安全是一种在攻防对立博弈中的安全保障。在构筑网络安全体系时，需要验证其是否达到了安全目标，因此要进行一系列测试，这些测试大致分为两类，一是合规性测试，二是实际的针对渗透性攻击的防御能力验证，这种验证通常以攻防形式进行，在技术上叫渗透性测试。

作为一名“渗透测试工程师”，奇安信集团应急响应业务总监张永印表示，“信息安全测试员”和他所从事的渗透测试工作岗位性质基本一致。

据张永印介绍，“渗透测试”是在客户授权的情况下，对客户指定的网站、应用服务、APP等重要信息系统，在尽量不影响业务运行的情况下，以模拟黑客攻击方式对其进行安全检测，尝试发现其安全漏洞或隐患，来评估其业务安全性并提供安全修复建议。

也有人这样描述这个不断在网上“找坑”的工作：如果说，黑客是在网上挖坑，然后利用这个坑去攻击网络和系统的话，那么信息安全测试员就是先黑客一步，挖出“坑”来，然后分析它的特点，想办法补“坑”，从而保证整个网络及资产安全。

中国信息安全研究院副院长左晓栋表示，“信息安全测试员”这一职业就像现实中的“医生”。“如果没有医生，那人类健康就会难以保障。没有这一职业，我们就会提心吊胆，时时担心使用的网络或系统出现问题，最终就是什么事也干不了。”左晓栋说。

日常“找坑”“补坑”，待遇如何？

据了解，政府部门信息监察、网站安全、病毒杀毒公司、银行、金融、证券、通信领域等多个热门行业对这个岗位的人才都有巨大的需求，就业前景广阔。

国家级标准颁发

基于这一特殊性，信息安全测试员这一职业的设立以及相关标准的制定，对网络安全行业发展而言意义重大，可以极大地推动相关知识进步，激励更多人投入这一重要工作中来。

2021年11月25日，人力资源和社会保障部办公厅、中央网信办秘书局、工业和信息化部办公厅、公安部办公厅颁布《信息安全测试员国家职业技能标准》。

信息安全测试员的日常工作

信息安全测试员的工作主要有两方面：一是“查缺补漏”，即在获得授权的情况下，模拟黑客视角对目标网络和业务系统进行攻击，找出目标存在的漏洞，并提出改进建议，保证网络及资产安全；二是“亡羊补牢”，即在系统被攻陷后，在被攻击网络和业务系统中查找攻击者留下的蛛丝马迹，提出修复建议，避免下次攻击者从同一途径入侵。信息安全测试员以攻击者思维，模拟黑客，对企业的在线平台进行全方位渗透入侵安全测试，帮助客户挖掘信息系统存在的安全缺陷和漏洞，提高客户信息系统安全防范能力，防范于未然。