評級原則

我們制定評級體系的原則有如下幾條：

1.透明原則

這是整個技術評級體系的設計核心。作爲一個小型初創滲透測試團隊（十來個人規模，而且水平都是比較水的那種，因此這一機制可能不適用於較大規模的團隊或實驗室），我們需要一個透明、自動化的機制來保證在技術評級這一敏感問題（直接掛鉤薪資）上儘可能的公平。

2.引導技術爲王的風氣

畢竟還是初創團隊，大家也都是在初級成長階段，所以一個好的技術氛圍也能引導大家能研究的更深能走的更遠，儘量避免有些人在工作若干年後安於做項目，技術較爲一般且成長較慢，但調薪時又會以資歷老壓住一些有能力的新人。而一個好的定級評定標準能較好的引導大家走向更高的技術水平。

3.儘量保證所有項都能被量化

我們在設計每條考覈指標的時候都討論過該條款能否被量化，保證該內容不是非常模糊或者寬泛的內容，儘量能讓大家在申請該級別的時候能根據自己的工作去匹配該考覈項。

4.多套考覈相結合

我們不僅只有這套技術評級來最終給團隊成員定級，我們還會結合個人的績效考覈（主要涉及項目量、項目質量、報告質量、工作飽滿度、工作積極性等）全年成績，來確定該成員能否晉級。績效考覈是每月績效工資的考覈內容，也會對成員的每月收入有一定影響，不過不是我們今天討論的重點。

適用範圍 1.小型初創團隊

團隊處在快速成長期，成員能力和水平變動比較大，新員工趕超老員工的情況也比較常見，這時候就需要有一套比較好的技術評級標準來衡量考覈相應技術提升。

2.上下均能認同該評級體系

每個級別都有不同的10個評定細則，這10個細則來衡量一個人的整體水平肯定比較片面，所以我們儘量挑選了一些比較有代表性、通用性的技術點，不管是領導還是員工也都認可：只要個人能力能達到該水平就代表能進行相應評級。

3.可以用來招聘

對每個級別的10條要求都是經過了認真賽選的，大家也算都能認可的，所以這些信息也可以用來設計招聘信息或者用來對不同技術層面的面試者進行面試。

評級方法

我們目前是要求成員在申請相應技術級的時候，每個級別下的10個評定細則中需要能滿足7個及以上。

另外，也允許約級適用條款，比如某成員在T2準備申請T3級時，可能有些T3的要求項不具備，但他具備T4的一些要求項，那麼他也可以用T4的某一個或多個要求項來彌補T3申請時的不足。

評級細則

我們將滲透測試技術能力區分了7個級別，因爲我們團隊名是Tide，所以就用T來進行標識各級別了。另外，我們的“能力描述”有些是借鑑了阿里P級的級別描述~~

再次聲明，因爲我們屬於初創團隊，所以這種級別評定的水平和層次都比較低，大家覺得用得上的可以看看，薪資是我隨手編的，路過的大佬就當看個笑話就行了~~(>_<)~~

T1（助理工程師）

級別設計初衷：應屆實習生、web安全初學者

年限要求：0-1年

薪資水平：6k-8k

能力描述：

1）有相關專業教育背景或從業經驗；

2）對公司職位的標準要求、政策、流程等從業所必需瞭解的知識處於學習成長階段；

3）能協助完成滲透測試項目。

能力要求：

1.熟悉Web安全、移動端安全等網絡安全相關知識，瞭解網絡安全法律法規與行業標準；

2.熟悉國內外主流安全產品和工具，如：Nessus、Nmap、AWVS、Burp、Appscan等；

3.能較好的完成滲透測試方案制定、文檔編寫等；

4.能根據測試用例進行逐項測試；

5.有較強的學習能力和鑽研精神；

6.熟悉各類操作系統及數據庫常見的安全漏洞和隱患，熟悉owasp top10；

7.熟悉各類網絡安全設備、系統，如防火牆、VPN、IPS、WAF、防火牆、網頁防篡改系統等；

8.具備一定編程基礎，瞭解或熟悉C/C++/Perl/Python/PHP/Go/Java等開發語言；

9.具備良好溝通能力和語言表達能力；

10.擁有自己的博客、Github、安全圈等；

T2（初級工程師）

級別設計初衷：能獨立完成項目，具有一定漏洞挖掘能力、應急響應能力

年限要求：0-1年

薪資水平：8k-10k

能力描述：

1）有相關專業教育背景或從業經驗；

2）在專業領域中，對於本崗位的任務和產出很瞭解，能獨立完成常規滲透測試項目，能配合完成複雜任務；

3）具有一定漏洞挖掘能力、應急響應能力。

能力要求：

1.熟悉主流的Web安全技術，掌握Web安全常規漏洞原理及防範措施，包括SQL注入、XSS、XXE、RCE等安全風險；

2.能對測試用例進行逐項深入測試，對測試備忘錄中的所有漏洞都瞭解並能進行測試；

3.至少熟悉一門編程語言C/C++/Perl/Python/PHP/Go/Java等，能夠進行腳本、漏洞驗證的poc編寫或改寫；

4.熟悉Linux和UNIX主流操作系統和主流數據庫（SQL、MySql、ORACLE等）並具備滲透測試能力；

5.能熟練搭建靶機並進行漏洞復現，並有文章總結輸出3篇以上；

6.在各大安全漏洞平臺、企業SRC平臺提交漏洞；

7.處理過木馬、病毒、入侵、網絡攻擊等突發安全事件經驗；

8.分析高危漏洞原理和利用技巧，撰寫相關技術總結文檔；

9.具備WEB/APP（Android）滲透測試、數據隱私檢測、安全評估、安全加固、應急響應、安全護航等實施和交付能力；

10.對CTF比賽中的web題目有一定的研究經驗，瞭解加解密優先。

T3（中級工程師）

級別設計初衷：有擅長的安全領域

年限要求：1年及以上

薪資水平：10k-14k

能力描述：

1）在專業領域中，對公司職位的標準要求、政策、流程等從業所必需瞭解的知識基本瞭解，對於本崗位的任務和產出很瞭解，能獨立完成複雜任務，能夠發現並解決問題;

2）在中小型項目當中可以擔任項目經理職責；

3）對逆向有一定了解，有自己擅長的安全領域。

能力要求：

1.熟練使用Perl/Python/PHP/Go/Java中的一種，能快速獨立完成poc開發，如爬蟲、破解類腳本；

2.對waf等各種防護措施的繞過有一定了解；

3.在知名安全媒體上發表5篇以上較受關注的文章；

4.具有一定的源碼審計（php/asp/jsp/python）能力，發現過通用漏洞或發表過文章；

5.熟悉彙編、smali代碼，具有一定逆向能力，能對病毒、木馬、APP等進行分析；

6.具備一定內網滲透、域滲透能力，有成功案例；

7.熟悉windows、linux平臺滲透測試、後門分析、加固；熟悉各類攻擊技術，能針對各種攻擊類型進行入侵分析和取證；

8.具有CTF比賽經驗、網絡攻防競賽經驗，熟悉CTF技巧並能拿到一定分值；

9.獨立挖掘過通用漏洞，具有CNVD原創證書或cve證書；

10.在工控、物聯網、雲安全、人工智能、大數據安全等領域有一定研究並有成果。

T4（高級工程師）

級別設計初衷：側重於逆向技術，引導內外部貢獻

年限要求：2年及以上

薪資水平：14k-20k

能力描述：

1）在專業領域，具備一定的前瞻性的瞭解，對公司關於此方面的技術或管理產生影響；

2）對於複雜問題的解決有自己的見解，對於問題的識別、優先級分配見解尤其有影響力，善於尋求資源解決問題；

3）在內網滲透、安全開發、逆向分析等方面有所研究

能力要求：

1.精通一種以上腳本語言，能獨立完成中小型安全平臺的開發或對接業務安全需求進行定製化開發；

2.對waf繞過等有較深入的研究，能自己編寫waf規則，能繞過多種防護設備；

3.擁有NSATP、CCNP、RHCE、CISSP、CISA等證書之一；

4.具備較強內網滲透、域滲透能力，具有3個以上中型內網成功案例；

5.熟悉J2EE或php開發架構，熟悉主流web框架；具有JAVA/php開發經驗或代碼安全審計能力（白盒測試）並有成果輸出；

6.每年在專欄或公衆號發表文章5篇以上，論文/期刊1篇；

7.熟悉x86/x64系列彙編語言、c/c++語言，熟練使用IDA、Windbg、Ollydbg、Immunity Debugger等分析工具，熟悉靜態分析、動態調試、代碼跟蹤方法，具備較強的逆向分析能力；

8.參加國內較高水平CTF比賽，取的較多分值協助團隊取得較好名次，熟悉通用加密算法、逆向或pwn優先；

9.有獨立提交3個以上高風險漏洞，如補天或SRC等，SRC累積賞金一萬以上；

10.具有cnvd原創證書或cve證書3個以上。

T5（安全研究員）

級別設計初衷：專精某一領域，研究較爲深入

年限要求：3年及以上

薪資水平：20k-35k

能力描述：

1）在某一專業領域中，對於公司及業界的相關資源及水平比較瞭解；

2）開始參與部門相關策略的制定；對部門管理層的在某個領域的判斷力產生影響；

3）是專業領域的知名人士。

能力要求：

1.熟悉逆向知識，具備多平臺逆向經驗(iOS/Android/Windows)，模擬器檢測對抗研究等，能對病毒、木馬進行深入分析；

2.熟悉瀏覽器、office、adobe以及flash等軟件內部工作原理以及相應軟件漏洞分析與利用技術；

3.對CTF比賽中的pwn、reverse題目有較深的研究經驗；熟悉對稱及非對稱密碼體系常見加解密算法；熟悉流量分析、數據隱寫、取證等技術；

4.在阿里、螞蟻金服、騰訊、360、百度等知名SRC排名前三；

5.每年在專欄或公衆號發表文章10篇以上，論文/期刊累計3篇及以上；

6.能掌握一門或幾門以下技術：PHP/Python/Shell/Java/Ajax進行系統開發，至少精通一種數據庫應用，如mysql、redis、mongodb等；

7.對業界前沿攻擊和防禦手法進行研究跟蹤，能單獨處置常見信息安全事件及熱點事件跟蹤，針對最新的安全漏洞及安全事件進行響應處理；

8.對內網滲透、APT攻防、黑灰產分析等有較深入研究並有成果輸出，擁有反欺詐／反爬蟲／業務風控／威脅情報分析能力；

9.對操作系統（win/mac/win）、移動端、工控、物聯網等方面之一的安全技術有較爲深入的研究並有成果輸出；

10.能精通一門語言的主流框架，如php的tp5、yii或python的flask、django，掌握框架的安全漏洞及利用。

T6（安全專家）

級別設計初衷：技術專家，引導團隊內技術走向

年限要求：5年及以上

薪資水平：35k-60k

能力描述：

1）是公司某一領域中的資深專家；

2）對公司某一專業方向的規劃和未來走向產生影響；

3）對業務決策產生影響；

4）使命感驅動。

能力要求：

1.挖掘瀏覽器、Office、Adobe Reader、flash等客戶端軟件以及網絡協議常見漏洞；熟悉操作系統的相關安全機制，掌握繞過漏洞緩解措施的基本方法；

2.在某領域出版過電子書籍或實體書，具有一定影響力；

3.熟悉常用算法和數據結構，精通C/C++/Java/Go/Python/Shell/Perl語言中的一種或多種，能夠進行漏洞掃描器、網絡爬蟲架構設計與產品開發；能獨立完成自動化安全掃描或者防禦框架；

4.發表過有深度的技術Paper或獨立挖掘過知名開源應用/大型廠商高危漏洞經歷；

5.熟悉病毒木馬，內核Rootkit的原理和行爲，並對其做深入技術分析和逆向；

6.參加過geekpwn、xcon等大型安全會議的演講；

7.精通防火牆、入侵防禦、病毒防護、漏洞掃描、審計系統、身份認證等信息安全產品基礎原理、安全部署，根據客戶需求提供解決方案；

8.進行事件調查/追溯攻擊者經歷，IoC大規模處理經驗，具備APT攻擊和防禦能力；具備從流量、日誌、事件等數據中發現威脅的能力和威脅情報分析能力；

9.精通各類常見漏洞的原理、測試方法以及解決措施，具有分析研究安全漏洞的能力；且有豐富的攻擊滲透實戰經驗、Fuzzing測試能力；

10.有大型CTF比賽(DEFCON、XCTF等)或國內頂級賽事獲獎經歷。

T7（首席安全官）

級別設計初衷：業內知名專家，基本無所不能

年限要求：8年及以上

薪資水平：60k-1000000k

能力描述：

1）業內知名，對國內/國際相關領域都較爲了解；

2）對公司的發展做出重要貢獻或業內有相當的成功記錄；

3）所進行的研究或工作對公司有相當程度的影響；

4）使命感驅動；堅守信念；對組織和事業的忠誠。

能力要求：

1.參與國家地方或行業相關部門的信息安全標準制定；

2.主導過大中型網絡、互聯網應用等安全建設；

3.前沿安全攻防技術研究與利用，熟悉業界安全攻防動態，掌握國內外最新安全攻防技術；

4.對大數據、人工智能、物聯網、工控安全、區塊鏈等新興技術具有較深研究，能夠熟悉該行業最新攻擊方法、滲透技術以及防禦技術；

5.具備極爲豐富的應急響應，事件調查經驗，能利用技術進行事件調查/追溯攻擊；

6.對安全體系的構建，安全架構的規劃與設計、以及開發生命週期安全規範的落地具有豐富經驗；

7.熟悉通用信息安全風險管理流程與框架，對國際國內信息安全標準如ISO27001，等級保護標準等有着較爲深入的理解，並具有豐富的標準融合、體系落地及推廣經驗；

8.對代碼虛擬化、反調試、反Hook等具備一定造詣，具備較強的逆向分析、攻防對抗、脫殼、反混淆相關能力；

9.對各類操作系統、應用系統的漏洞有較深理解，具有安全加固、滲透測試、應急響應等安全服務的實施經驗；

10.擁有自己的研發專利、知識產權；出版過相關領域評價度較高的書籍。

兩個問題 Q1：公開薪酬標準不怕其他公司來挖人嗎

說到底對於大部分初創團隊來說，市場上更有錢、更土豪的公司都大有人在。對於大部分小公司來說沒有辦法光靠錢引進人才。所以我們認爲通過好的團隊氛圍、工作環境，搭配合適的、有競爭力的薪酬水平，是比較好的爭取人才的方式。再說了我也沒公開薪酬，上面薪資純粹靠編。。。

Q2：靠10個要求項來判定一個人是否不合適

肯定不合適的。前面也說了，這10條只是一個水平標準線，是一個引導性的方向，是代表能達到相應技術水平層次的能力，包括而不限於這些項，我們也相應當你達到相應水平的時候也絕不會只會這幾條。另外我們還有績效考覈，會對技術之外的更多維度進行評定。

電子版下載

Tide安全團隊技術評級電子版：鏈接：https://pan.baidu.com/s/1pCCvtewKJGDElZaSO5fxTQ 提取碼：eo4g

*本文作者：Tide重劍無鋒，轉載請註明來自FreeBuf.COM

聲明：該文觀點僅代表作者本人，搜狐號系信息發佈平臺，搜狐僅提供信息存儲空間服務。