网络安全问题日益突出，也让“信息安全测试员”等新职业逐渐揭开神秘面纱，从“小众”走向蓬勃发展。

什么是“信息安全测试员”？

在许多人还未曾听说“网络安全测试员”这一职业的时候，《2021年北京市人力资源市场薪酬大数据报告》里，它以32.38万元高居年薪中位值排行榜第二。排名第一和第三的分别是：区块链工程技术人员（48.71万元）、云计算工程技术人员（29.29万元），都与网络信息、互联网科技行业相关。

2020年，人社部发布新兴职业，“信息安全测试员”位列其中。到底什么是“信息安全测试员”？

根据人社部给出的介绍，“信息安全测试员”就是通过对评测目标的网络和系统进行渗透测试，发现安全问题并提出改进建议，使网络和系统免受恶意攻击的人员。

这里提到的“渗透测试”又是什么？

公安部第一、第三研究所原所长、研究员，中国计算机学会计算机安全专业委员会荣誉主任严明表示，网络安全是一种在攻防对立博弈中的安全保障。在构筑网络安全体系时，需要验证其是否达到了安全目标，因此要进行一系列测试，这些测试大致分为两类，一是合规性测试，二是实际的针对渗透性攻击的防御能力验证，这种验证通常以攻防形式进行，在技术上叫渗透性测试。

作为一名“渗透测试工程师”，奇安信集团应急响应业务总监张永印表示，“信息安全测试员”和他所从事的渗透测试工作岗位性质基本一致。

据张永印介绍，“渗透测试”是在客户授权的情况下，对客户指定的网站、应用服务、APP等重要信息系统，在尽量不影响业务运行的情况下，以模拟黑客攻击方式对其进行安全检测，尝试发现其安全漏洞或隐患，来评估其业务安全性并提供安全修复建议。

也有人这样描述这个不断在网上“找坑”的工作：如果说，黑客是在网上挖坑，然后利用这个坑去攻击网络和系统的话，那么信息安全测试员就是先黑客一步，挖出“坑”来，然后分析它的特点，想办法补“坑”，从而保证整个网络及资产安全。

中国信息安全研究院副院长左晓栋表示，“信息安全测试员”这一职业就像现实中的“医生”。“如果没有医生，那人类健康就会难以保障。没有这一职业，我们就会提心吊胆，时时担心使用的网络或系统出现问题，最终就是什么事也干不了。”左晓栋说。

日常“找坑”“补坑”，待遇如何？

据了解，政府部门信息监察、网站安全、病毒杀毒公司、银行、金融、证券、通信领域等多个热门行业对这个岗位的人才都有巨大的需求，就业前景广阔。

国家级标准颁发

基于这一特殊性，信息安全测试员这一职业的设立以及相关标准的制定，对网络安全行业发展而言意义重大，可以极大地推动相关知识进步，激励更多人投入这一重要工作中来。

2021年11月25日，人力资源和社会保障部办公厅、中央网信办秘书局、工业和信息化部办公厅、公安部办公厅颁布《信息安全测试员国家职业技能标准》。

信息安全测试员的日常工作

信息安全测试员的工作主要有两方面：一是“查缺补漏”，即在获得授权的情况下，模拟黑客视角对目标网络和业务系统进行攻击，找出目标存在的漏洞，并提出改进建议，保证网络及资产安全；二是“亡羊补牢”，即在系统被攻陷后，在被攻击网络和业务系统中查找攻击者留下的蛛丝马迹，提出修复建议，避免下次攻击者从同一途径入侵。信息安全测试员以攻击者思维，模拟黑客，对企业的在线平台进行全方位渗透入侵安全测试，帮助客户挖掘信息系统存在的安全缺陷和漏洞，提高客户信息系统安全防范能力，防范于未然。

在大众眼中，“黑客”一词常常与“病毒”“破坏”等划等号，传统概念中的“黑客”会攻击存在漏洞的系统，但“信息安全测试员”则是致力于发现系统漏洞的从业者，他们使网络系统、软件系统更趋完善，减少网络攻击可能带来的损失。

具体日常工作表现为：

分析研究网络与信息系统安全攻防技术，并跟踪其发展变化；

利用信息收集工具及技术手段，采集并分析评测目标的相关信息；

制定评测目标的安全测试方案及实施计划；

利用漏洞检测工具定位、识别评测目标存在的安全漏洞，并进行技术核查与评估；

利用渗透工具对评测目标进行深度测试，验证安全漏洞引发的网络与系统安全隐患；

编制安全评测报告，协助专业人员对评测目标进行安全恢复及技术改进。

如何才能持证“上岗”？

2022年4月，北京市人力资源和社会保障局印发《关于开展新职业技能等级认定工作的通知》。2022年11月18日，根据《关于同意中教畅享(北京)科技有限公司开展职业技能等级认定工作的函》，中教畅享（北京）科技有限公司获得人社备案，可以开展包含信息安全测试员在内的新职业的职业技能等级认定工作。

信息安全测试员是人社部备案的职业技能等级证书，可在技能人才评价证书全国联网查询系统（http://jndj.osta.org.cn）查询，全国通用，持证者可以享受技能人才在“双师型”教师认定、职称评定、技能提升补贴申领、积分落户等相关待遇。（技能补贴、积分落户政策具体以当地政策为准）。