2024网络安全人才实战能力白皮书安全测试评估篇

9月10日，国内首个聚焦“安全测试评估”的白皮书——《网络安全人才实战能力白皮书-安全测试评估篇》（以下简称“白皮书”）在国家网络安全宣传周正式发布。

作为《网络安全人才实战能力白皮书》的第三篇章，本次白皮书聚焦“安全测试评估”主题，由国务院学位委员会学科评议组（网络空间安全组）、教育部高等学校网络空间安全专业教学指导委员会指导，北京航空航天大学、中国科学技术大学、永信至诚科技集团股份有限公司担任主编单位。

据了解，白皮书通过大量一线网络安全从业人员、网络安全相关专业在校学生问卷调研数据及网络安全人才测评演练数据分析，呈现供给侧、需求侧安全测试评估人才的基本情况、培养情况和岗位实践，并以理论与实践相结合的方式创新提出了一套立体化综合评价安全测评人才能力的——GPE方法，为数字中国建设中的安全测试评估人才培养和评价提供可行方案。

随着人工智能、5G、物联网、区块链等技术的发展和进步，数字化设备数量及数据量急剧增加，数据安全威胁持续放大，已成为事关国家安全与经济社会发展的重大问题。在此背景下，培养和发现具备风险发现、风险验证能力的人才，对于保障国家安全、促进经济发展、维护社会稳定具有深远的意义。

根据白皮书调研数据，当前我国网络安全测评人才整体呈短缺的态势，从业人员规模总量不足，大量工作以“非专职”的方式完成，各类安全工作角色存在供需不平衡的现象。由于高水平、充分理解业务场景的安全测试评估人员不足，测试评估工作形式化问题逐渐显现，测试评估结果的有效性也难以得到保障。

调研显示，在需求侧，从用人单位安全测评人才所在地域来看，北京、广东、上海排名前三，分别占 13.0%、12.3%、9.0%。北京作为大型政企单位、网络安全企业总部的聚集地，人才占比较高；其次是广东，作为数字经济发展大省，也吸引了大量安全测评人才；排在第三位的是上海，数据表明，北上广表现出了人才集聚优势；其他省市安全测评人才分布则相对平衡，产业规模和人才需求在全国分布趋于均匀。

作为常态化安全检查、发现漏洞和隐患、有效预防和避免网络安全事件的主力军，安全测评人员在数字化建设中的关键作用日益凸显。白皮书指出，从用人单位安全测评人员队伍建设情况来看，61%的用人单位安全测评人员不足10人，9%的用人单位没有安全测评人员，开展安全测评工作主要依赖于外部第三方安全服务。

在供给侧方面，白皮书调研结果显示，我国院校中，有意向从业安全测评工作的在读学生，就读专业占比最高的是信息安全和网络空间安全，分别为26%、25%；其次是计算机科学与技术专业、网络工程专业和软件工程专业。对于在校学生安全测试评估能力，数据统计显示，41%的院校，具备安全测试评估能力的网络安全实战人才占比不足10%。

当前，在政治、经济、文化和社会安全等多个领域相互交织影响的背景下，网络安全测评是政府保障国家安全和社会稳定的重要手段之一，社会急需网络安全测评人才，防范化解风险提供安全保障。

据悉，结合调研成果，白皮书创新提出了一套立体化综合评价安全测评人才能力的GPE方法。围绕通用能力（GeneralAbility）、专业能力（Professional Ability）和评价等级（Evaluation Level）三个方面，形成了一种综合性框架，为安全测评人才的培养和选拔提供系统化的指导。同时，白皮书还围绕安全测评人员培养与评价提出了诸多可行建议。