信息安全测试员国家——职业技能标准(2021年版)(word精排版)

国家职业技能标准

职业编码：4-04-04-04

信息安全测试员

（2021年版）

说明

为规范从业者的从业行为，引导职业教育培训的方向，为职业技能鉴定提供依据，依据《中华人民共和国劳动法》，适应经济社会发展和科技进步的客观需要，人力资源社会保障部会同组织有关专家，开发制定了《信息安全测试员国家职业技能标准（2021年版）》（以下简称《标准》）。

一、本《标准》以《中华人民共和国职业分类大典（2015年版）》（以下简称《大典》）为依据，严格按照《国家职业技能标准编制技术规程（2018年版）》有关要求，以“职业活动为导向、职业技能为核心”为指导思想，对信息安全从业人员的职业活动内容进行规范细致描述，对各等级从业者的技能水平和理论知识水平进行了明确规定。

二、本《标准》依据有关规定将本职业分为四级/中级工、三级/高级工、二级/技师、一级/高级技师四个等级，包括职业概况、基本要求、工作要求和权重表四个方面的内容。

三、本《标准》起草单位有：第三研究所、中关村信息安全评测联盟、赛迪研究院、中国电子商会、华北电力大学、北京知道创宇信息技术股份有限公司、数字联通科技有限公司、北京永信至诚科技股份有限公司、北京远禾科技有限公司、北京国信行知信息技术有限责任公司、山东旗舰信息有限公司。

四、本《标准》审定单位有：网络安全和信息化委员会办公室秘书局、国家互联网应急中心、网络安全保卫局、第一研究所测评中心、信息安全测评中心、工业和信息化部网络安全产业发展中心、中国信息通信研究院、国家信息技术安全研究中心、国家网络与信息系统安全产品质量监督检验中心、南开大学网络空间安全学院、中国信息安全测评中心、大数据安全协同技术国家工程实验室、中国电信通信集团公司、中国联合网络通信集团有限公司、腾讯科技（深圳）有限公司、山石网科通信技术股份有限公司、杭州安恒信息技术股份有限公司。

五、本《标准》在制定过程中，得到关键信息保护中心、国家计算机病毒应急处理中心、中国电子标准化研究院、中国网络空间安全协会、中国网络安全审查技术与认证中心、中国质量认证中心、中国科学院信息工程研究

所、北京电子科技学院、清华大学、北京邮电大学、北京航空航天大学、武汉大学、国防科技大学、西安交通大学、上海交通大学、山东大学、大学、国家能源局信息中心、中国证券监督管理委员会、交通部交通运输信息安全中心、中国移动通信集团公司、中国电子科技网络信息安全有限公司、中国融通集团公司、华为技术有限公司、阿里巴巴（中国）有限公司、北京奇虎科技有限公司、奇安信科技集团股份有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、北京天融信科技有限公司、绿盟科技集团股份有限公司、厦门市美亚柏科信息股份有限公司、亚信安全科技有限公司、任子行网络技术股份有限公司、安天科技集团股份有限公司、恒安嘉新（北京）科技股份公司、西安四叶草信息技术有限公司、南京赛宁信息技术有限公司、北京易霖博信息技术有限公司、北京未来安全信息技术有限公司、远江盛邦(北京)网络安全科技股份有限公司、上海斗象信息科技有限公司、全知科技(杭州)有限责任公司、北京数字观星科技有限公司、杭州虎符网络有限公司、国研智库有限公司的指导和支持，在此表示感谢。

六、本《标准》业经人力资源社会保障部、网络安全和信息化委员会办公室、工业和信息化部、批准，自公布之日①起施行。

①

2021年10月19日，本《标准》以《人力资源社会保障部 秘书局 工业和信息化部

关于颁布 信息安全测试员国家职业技能标准的通知》（人社厅发〔2021〕80号）公布。

信息安全测试员 国家职业技能标准 （2021年版）

1.职业概况

1.1职业名称

①

信息安全测试员

1.2职业编码

4-04-04-04

1.3职业定义

通过对评测目标的网络和系统进行渗透测试，发现安全问题并提出改进建议，使网络和系统免受恶意攻击的人员。

1.4职业技能等级

本职业渗透测试员工种共设四个等级，分别为：四级/中级工、三级/高级工、二级/技师、一级/高级技师。

1.5职业环境条件

室内，常温。

1.6职业能力特征

具有一定的学习、观察、推理、判断、表达、计算能力，具有分析问题、工作、沟通交往、协调合作能力，心理健康。

1.7普通受教育程度

高中毕业（或同等学力）。

1.8培训参考学时

四级/中级工、三级/高级工不少于160标准学时；二级/技师不少于120标准学时；一级/高级技师不少于80标准学时。

①

本标准仅针对渗透测试员工种。

1.9职业技能鉴定要求 1.9.1申报条件

——具备以下条件之一者，可申报四级/中级工：

（1）取得相关职业五级/初级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作3年（含）以上。

（2）累计从事本职业或相关职业工作5年（含）以上。 （3）取得技工学校本专业或相关专业毕业证书（含尚未取得毕业证书的在校应届毕业生）；或取得经评估论证、以中级技能为培养目标的中等及以上职业学校本专业或相关专业毕业证书（含尚未取得毕业证书的在校应届毕业生）；

——具备以下条件之一者，可申报三级/高级工：

（1）取得本职业或相关职业四级/中级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作5年（含）以上。

（2）取得本职业或相关职业四级/中级工职业资格证书（技能等级证书），并具有高级技工学校、技师学院毕业证书（含尚未取得毕业证书的在校应届毕业生）；或取得本职业或相关职业四级/中级工职业资格证书（技能等级证书），并具有经评估论证、以高级技能为培养目标的高等职业学校本专业或相关专业毕业证书（含尚未取得毕

①

①

②

③

④

相关职业：网络与信息安全管理员、信息安全工程技术人员、通信工程技术人员、计算机硬件工程技术人员、计算机

软件工程技术人员、计算机网络工程技术人员、信息系统分析工程技术人员、信息通信网络运行管理员、信息通信信息化系统管理员、计算机程序设计员、计算机软件测试员等。

②

相关专业（技工学校）：计算机网络应用、计算机程序设计、计算机应用与维修、计算机信息管理、通信网络应用、

通信运营服务、网络安防系统安装与维护、物联网应用技术、网络与信息安全、云计算技术应用、工业互联网技术应用、人工智能技术应用、数字媒体技术应用等信息类专业。

③

相关专业（中等职业学校）：电子信息技术、物联网技术应用、电子技术应用、电子材料与元器件制造、电子电器应

用与维修、服务机器人装配与维护、计算机应用、计算机网络技术、软件与信息服务、数字媒体技术应用、大数据技术应用、移动应用技术与服务、网络信息安全、网络安防系统安装与维护、网站建设与管理、计算机平面设计、计算机与数码维修、现代通信技术应用、通信系统工程安装与维护、通信运营服务等电子与信息类专业。

④

相关专业（高等职业学校）：电子信息工程技术、物联网应用技术、应用电子技术、电子产品制造技术、电子产品检

测技术、移动互联应用就是、汽车智能技术、智能产品开发与应用、智能光电技术应用、光电显示技术、计算机应用技术、

业证书的在校应届毕业生）。

（3）具有大专及以上本专业或相关专业毕业证书，并取得本职业或相关职业四级/中级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作2年（含）以上。

——具备以下条件之一者，可申报二级/技师：

（1）取得本职业或相关职业三级/高级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作4年（含）以上。

（2）取得本职业或相关职业三级/高级工职业资格证书（技能等级证书）的高级技工学校、技师学院毕业生，累计从事本职业或相关职业工作3年（含）以上；或取得本职业或相关职业预备技师证书的技师学院毕业生，累计从事本职业或相关职业工作2年（含）以上。

——具备以下条件者，可申报一级/高级技师：

取得本职业或相关职业二级/技师职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作4年（含）以上。

1.9.2鉴定方式

①

鉴定方式分为理论知识考试、技能考核以及综合评审。理论知识考试笔试、机考等方式为主，主要考核从业人员从事本职业应掌握的基本要求和相关知识要求；技能考核主要采用现场操作、模拟操作等方式进行，主要考核从业人员从事本职业应具备的技能水平；综合评审主要针对技师和高级技师，通常采取审阅申报材料、答辩等方式进行全面评议和审查。

计算机网络技术、软件技术、数字媒体技术、大数据技术、云计算技术应用、信息安全技术应用、虚拟现实技术应用、人工智能技术应用、嵌入式技术应用、工业互联网技术、区块链技术应用、移动应用开发、工业软件开发技术、动漫制作技术、密码技术应用、现代通信技术、现代移动通信技术、通信软件技术、卫星通信与导航技术、通信工程设计与监理、通信系统运行原理、智能互联网络技术、网络规划与优化技术、电信服务与管理等电子与信息类专业。

①

相关专业（普通高等学校本科）：信息安全、计算机科学与技术、软件工程、网络工程、物联网工程、数字媒体技

术、智能科学与技术、空间信息与数字技术、电子与计算机工程、数据科学与大数据技术、网络空间安全、新媒体技术、保密技术、服务科学与工程、虚拟现实技术、区块链工程、网络安全与执法等计算机类、电子信息类专业。

理论知识考试、技能考核和综合审定均实行百分制，成绩皆达60分（含）以上者为合格。

1.9.3监考人员、考评人员与考生配比

理论知识考试中的监考人员与考生配比为1︰15，且每个考场不少于2名监考人员；技能考核中的考评人员与考生配比不低于1︰5，且考评人员为3名（含）以上单数；综合评审委员为3人（含）以上单数。

1.9.4鉴定时间

理论知识考试时间不少于90min，技能操作考核时间不少于120min，综合评审时间不少于20min。

1.9.5鉴定场所设备

理论知识考试在标准教室进行；技能操作考核在具有必备的网络环境、软硬件资源，安全设施完善的场所进行。

2.基本要求

2.1职业道德

2.1.1职业道德基本知识 2.1.2职业守则

（1）遵纪守法，保密合规。 （2）廉洁自律，不谋私利。 （3）牢记职责，爱岗敬业。 （4）客观严谨，公平公正。 （5）流程规范，操作安全。 （6）认真负责，团结协作。 （7）挑战自我，勇于创新。

2.2基础知识

2.2.1计算机基础知识

（1）操作系统知识。 （2）硬件使用基本知识 （3）常用软件知识。 （4）数据库知识。 （5）计算机网络知识。

2.2.2网络安全知识

（1）网络安全基本概念。 （2）网络攻防基础知识。 （3）密码学基础知识。

（4）互联网网站应用安全知识。 （5）网络协议安全知识。 （6）中间件安全知识。 （7）社会工程学知识。 （8）安全审计技术知识。

（9）反恶意软件与入侵检测技术知识。 （10）备份与恢复技术知识。 （11）云计算基础知识

2.2.3工作常用知识

（1）应用文写作的一般要求。 （2）网络安全专业英语基本词汇。 （3）数据统计分析基本方法。

2.2.4相关法律、法规及标准知识

（1）《中华人民共和国刑法》相关知识。

（2）《中华人民共和国治安管理处罚法》相关知识。

（3）《中华人民共和国民法典》相关知识。 （4）《中华人民共和国劳动法》相关知识。 （5）《中华人民共和国劳动合同法》相关知识。 （6）《中华人民共和国网络安全法》相关知识。 （7）《中华人民共和国密码法》相关知识。 （8）《中华人民共和国数据安全法》相关知识。 （9）《中华人民共和国个人信息保》相关知识。 （10）《网络安全审查办法》相关知识。 （11）《网络安全漏洞管理规定》相关知识。 （12）《网络产品安全漏洞管理规定》相关知识。 （13）《关键信息基础设施安全保护条例》相关知识 （14）网络安全技术标准的相关知识。

（15）其他网络安全相关法律法规、、管理规定相关知识。 3.工作要求

本标准对四级/中级工、三级/高级工、二级/技师、一级/高级技师的技能要求和相关知识要求依次递进，高级别涵盖低级别的要求。

3.1四级/中级工

职业功能 工作内容 技能要求 相关知识要求 1.1.1主流漏洞信息共享平台或漏洞库的使用方法 1.1.1能查阅公开的安全漏洞（以下1.1.2漏洞报告梳理方法 1.1.3主流漏洞信息共享平台或漏1.安1.1漏洞信息简称漏洞）报告，梳理漏洞分析报告 全研研究 究 1.1.2能检索已公开的漏洞验证程序 洞库的漏洞原理 1.1.3能标记测试结果漏洞等级 1.1.4已公开漏洞验证程序检索方法 1.1.5漏洞等级定义方法 1.2漏洞工具1.2.1能检索已披露的漏洞测试方1.2.1漏洞测试环境搭建方法

研究 法、工具 1.2.2能搭建漏洞测试与测试工具所需的运行环境 2.1.1.能根据测试对象类型确定测试2.1.1域名的基本概念 2.1.2能根据授权文件确定测试对象2.1测试准备 2.1.2信息收集方法 边界 2.1.3信息收集工具使用方法 2.1.3能使用信息收集工具完成信息收集工作 2.2.1能配置、使用渗透测试工具完成测试 2.2.1渗透测试工具配置方法 2.2.2渗透测试工具使用方法 工具 1.2.2漏洞触发原理 2.脆弱性测试 2.2.2能确认扫描工作执行的工作状2.2测试实施 2.2.3扫描状态确认方法 态 2.2.4安全压力测试工具配置方法 2.2.3能配置、使用安全压力测试工2.2.5安全压力测试工具使用方法 具完成测试 3.1.1能区分测试过程中所产生的数3.1.1系统、应用日志等常见数据3.1测试数据据类型 3.渗透测试 评估 系统的影响 3.2.1能根据测试工作流程确定使用测试工具的类型 3.2.1渗透测试工具确认方法 3.2测试管理 3.2.2能根据标准测试项选择测试方3.2.2测试方案选择方法 案 4.1.1.能根据模板整理测试获得的数4.1测试数据据 4.修复防护 整理 的测试记录 4.2.1能根据测试工具输出的测试结4.2漏洞修复果验证漏洞 测试 4.2.2能借助漏洞测试工具验证漏洞修复效果 4.2.1漏洞测试工具使用方法 4.2.2漏洞验证方法 4.2.3漏洞修复验证方法 4.1.1测试数据归档方法 4.1.2能根据测试报告模板整理相关4.1.2测试记录整理方法 类型和区分方法 3.1.3渗透测试操作影响评估方法 3.1.2能评估测试所产生数据对信息3.1.2应用系统功能、业务流程 3.2三级/高级工 职业功能

工作内容 技能要求 相关知识要求

1.1.1能收集已公开高危漏洞信息进1.1漏洞信息行漏洞分析，编写漏洞复现报告 1.安全研究 研究 研究 1.1.2能评估已公开漏洞的危害、影响范围，提交漏洞评估报告 1.2.1能验证已披露漏洞测试工具的1.2漏洞工具有效性 1.2.2能根据已有的漏洞代码片段编写漏洞触发代码 2.1.1能使用信息收集工具结合人工2.1信息收集 完成信息收集工作 2.1.2能梳理、分析信息收集结果 2.脆弱性2.2.1能通过资产风险寻找测试突破口 2.2.1渗透测试实施流程 1.1.1主流漏洞信息共享平台或漏洞库的体系 1.1.2漏洞复现报告编写方法 1.1.3公开漏洞危害评估方法 1.1.4漏洞评估报告编写方法 1.2.1已披露漏洞的测试工具使用方法 1.2.2漏洞触发代码编写方法 2.1.1度数据关联梳理方法 2.1.2度数据关联分析方法 测试 2.2.2能根据给定测试项人工实施漏2.2测试实施 2.2.2人工渗透方法 洞测试工作 2.2.3安全压力测试实施方法 2.2.3能根据目标系统实际情况制定安全压力测试策略，确定测试指标 3.1.1能错峰进行渗透测试 3.1测试准备 3.1.2能评估所使用测试手段对系统的业务影响 3.1.1系统业务负载判断方法 3.1.2漏洞测试对系统运行的影响 3.2.1能确定环境恢复的内容 3.2.1数据文件查找方法 3.渗3.2环境恢复 3.2.2能提出对环境恢复建议 3.2.2日志文件分析方法 透测3.3.1能根据测试对象确定测试流程 试 3.3.2能根据日志文件判断对应的行3.3.1渗透测试实施方法 3.3测试管理 为 3.3.2测试异常情况判断方法 3.3.3能根据测试工作实施过程中的3.3.3测试异常应急处置方法 异常情况，发现不规范的操作或失误 4.1测试报告4.1.1能梳理测试过程中获取的数据 4.1.1测试数据处理方法 4.修复防护 编制 4.1.2能根据测试结果编写测试报告 4.1.2测试报告编制方法 4.2.1能根据测试项及测试结果给出4.2漏洞修复修复建议 测试 4.2.2能根据测试报告验证漏洞修复效果 4.2.1漏洞的分析方法 4.2.2漏洞验证工具使用方法 4.2.3漏洞修复方法

3.3二级/技师

职业功能 工作内容 技能要求 1.1.1能根据已公开的高危漏洞信息编1.1漏洞信息写漏洞利用流程报告 研究 1.安全研究 1.1.2能根据官方发布的漏洞信息提出解决方法 1.2漏洞工具研究 1.2.1能优化已公开漏洞测试工具 1.2.2能集成开发漏洞验证程序用于测试工作 1.3.1能在有目标系统源码的基础上进行漏洞挖掘 1.3.1常见应用漏洞挖掘方法 1.3漏洞发现 1.3.2能使用代码审计的方式测试目标1.3.2代码审计方法 漏洞 法 测试目标信息 2.1信息收集 2.1.2社会工程学概念及实施方法 2.1.2能根据测试对象的业务逻辑绘制2.1.3业务逻辑流程、业务数据流业务数据流向图 图绘制方法 2.漏洞测试 2.2.1能根据误报信息优化测试工具的2.2.1测试工具使用策略优化方法 使用策略 2.2.2系统调用逻辑、业务逻辑交2.2.2能根据业务逻辑测试业务逻辑漏互方式 洞 2.2.3业务逻辑漏洞测试思路 2.2测试实施 2.2.3能编写安全压力测试实施方案，2.2.4安全压力测试实施方案编写并对目标进行安全压力测试 析，编写安全压力测试报告 方法 2.2.6安全压力测试报告编写方法 2.2.4能对安全压力测试数据进行分2.2.5安全压力测试数据分析方法 3.1.1漏洞关联分析方法 3.1.1能利用多漏洞联合方式进行测试 3.1.2漏洞利用过程记录方法 3.1.2能完整记录漏洞利用过程 3.1.3安全设备检测机制原理 3.渗3.1漏洞利用 3.1.3能测试安全防御机制 3.1.4安全防御机制测试方法 透测3.1.4能制定测试路径 3.1.5测试路径分析方法 试 3.2.1能确认测试对象相关的数据及资3.2.1测试数据确认要求 3.2环境恢复 料恢复方法 3.2.2环境恢复要求

相关知识要求 1.1.1漏洞利用流程报告编写方法 1.1.2漏洞攻击原理，漏洞防护、绕过原理 1.2.1漏洞测试工具原理 1.2.2漏洞验证程序集成开发方法 2.1.1能使用人工方式及技术手段获取2.1.1社交工具、搜索引擎使用方

3.2.2能进行环境恢复 3.2.3能确认环境恢复结果 3.3.1能实施测试工作中的风险规避措3.3.1测试操作异常识别方法 施及应急预案 3.3.3能编写安全测试计划 3.3.4能编写安全测试技术指南 4.1测试报告4.修编制 复防建议确认 4.1.1能讲解测试过程 4.1.2能编写测试报告模板 4.1.3能审定测试报告 3.3.2测试异常情况处理方法 3.3.4测试实施计划编写要求 3.3.5测试技术指南编写要求 4.1.1测试过程要点 4.1.2测试报告模板编写方法 4.2.1通用型漏洞修复原理 4.2.2业务逻辑漏洞原理、修复方法 5.1.1本职业技能与理论基础知识 5.1.1能制订培训工作计划 5.1.2能编制和实施培训方案 5.1.2培训工作计划的制订要求和方法 3.3测试管理 3.3.2能在实施过程中进行风险管控 3.3.3信息系统风险管控要求 3.2.2环境恢复结果确认方法 护 4.2漏洞修复4.2.1能确认修复建议的可行性 4.2.2能确认漏洞修复效果验证结论 5.1.3能编写本职业培训教材、讲义、5.1.3培训方案编制和实施的要求5.1技术培训 课件 和方法 5.培训指导 5.2.1能对本职业三级/高级工及以下5.1.4能对本职业三级/高级工及以下5.1.4培训教材、讲义、课件的编级别人员进行技术培训 写要求 5.1.5教学教法知识 5.2.1技术指导的要求和方法 5.2.2技能和理论基础知识水平考级别人员进行技术指导 5.2技术指导 核的要求和方法 5.2.2能对本职业三级/高级工及以下5.2.3技能和理论基础知识水平考级别人员的技能水平进行考核 核的内容 3.4一级/高级技师 职业功能 1.安全研究 工作内容 技能要求 1.1.1能研究漏洞影响范围，编写漏1.1漏洞信息洞预警报告 研究 1.1.2能判断漏洞的补丁或临时解决方案对漏洞防范的有效性 相关知识要求 1.1.1漏洞预警发布要求 1.1.2漏洞防护方法 1.1.3漏洞预警报告编写方法

1.2.1能分析漏洞信息并编写漏洞触1.2漏洞工具发代码 研究 测试工具 1.3.1能发现未知漏洞 1.3漏洞发现 1.3.2能对发现的未知漏洞进行评估，编写漏洞说明材料 2.1.1能编写信息收集工具 2.1信息收集 2.1.2能更新迭代信息收集工具 2.漏洞测2.2.1能结合测试场景制定测试工具的使用策略 2.2.1代码审计原理 2.2.2测试工具编写方法 1.3.1未知漏洞发现与分析方法 1.3.2漏洞说明文件编写方法 2.1.1信息收集工具编写方法 2.1.2信息收集工具迭代方法 1.2.1漏洞信息分析方法 1.2.2能根据漏洞触发代码编写漏洞1.2.2漏洞检测工具编写方法 试 2.2测试实施 2.2.2能编写测试工具 针对性的系统优化方案 2.2.3能根据安全压力测试结果给出2.2.3系统性能优化方法 3.1.1能发现系统内隐藏的恶意软件 3.1.1恶意软件发现方法 3.1隐患处置 3.1.2能对系统内隐藏的恶意软件进3.1.2恶意软件分析处置方法 行分析、处置或溯源 3.渗透测试 3.2.1能评估信息系统异常情况类型和影响等指标 3.2.2能制定测试工作应急预案，解3.2测试管理 决异常问题 3.2.3能审定、优化安全测试技术指南 3.2.4能审定、优化实施计划 4.1测试报告4.1.1能优化测试报告 4.修编制 复防护 4.1.2能审定、优化测试报告模板 4.2.1能提出被测系统的安全评价 议 5.培导 5.1.1能对培训需求进行分析 训指5.1技术培训 5.1.2能编制培训规划 3.1.2恶意软件溯源方法 3.2.1测试异常情况区分方法 3.2.2测试突发情况处理方法 3.2.3安全事件影响等级的评估方法 3.2.4应急预案编制方法 3.2.5安全测试方法、原理 3.2.6技术指南、实施计划审定方法 4.1.1测试报告优化方法 4.1.2测试报告模板审定、优化方法 4.2.1安全防护、安全检测标准 4.2.3系统安全优化方法 5.1.1培训需求分析的要求和方法 5.1.2培训规划编制的要求 4.2系统修复 4.2.2能对被测系统给出安全优化建4.2.2系统整体架构 5.1.3能组织编写本职业培训教材、5.1.3培训预算与决算的审核方法

讲义、教案 5.2.1能对本职业二级/技师及以下级别人员进行技术指导 5.2技术指导 5.2.2能对本职业二级/技师及以下级别人员的技能水平进行考核 5.2.3能组织开展技术革新活动 5.2.1操作经验和技能总结方法 5.2.2技术革新的方法 4.权重表 4.1理论知识权重表

技能等级 四级/中级工 三级/高级工 项目 基本职业道德 要求 基础知识 安全研究 相关脆弱性测试 知识渗透测试 要求 修复防护 培训指导 合计 （%） 5 20 25 25 20 5 — 100 （%） 5 10 20 30 30 5 — 100 二级/技师 一级/高级技师 （%） 5 5 20 25 25 10 10 100 （%） 5 5 25 25 20 10 10 100 4.2技能要求权重表 技能等级 四级/中级工 三级/高级工 项目 安全研究 技能脆弱性测试 渗透测试 要求 修复防护 培训指导 合计 （%） 30 30 20 20 — 100 （%） 30 30 30 10 — 100 二级/技师 一级/高级技师 （%） 25 25 25 10 15 100 （%） 30 25 20 10 15 100