如何评估一个***团队的技术能力

如何评估一个***团队的技术能力 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Jack zhai

 

正确评估***服务团队的能力，是选择***服务团队合作的基础，是获取***服务效果的最佳保障。有两种方法是常用的：

1、选择案例多的：做过的肯定有经验，人们也习惯于用事实说话，何况作为案例的都是结果都不错的。当然，这种“马太效应”并非总有效。因为业务繁重而疏于管理，服务质量就会下降；因为项目众多，无暇在技术上进一步研究，逐渐落后于后起之秀；更重要的是：***是逆向思维的漏洞***技术，突破传统的思维框架，才更有价值，所以，没有经验的新人，并非不能创造新的***奇迹。

2、考而优择仕：“是骡子是马拉出来溜溜”，人们还是喜欢相信亲眼见到的。通过实验环境的***模拟比赛，谁赢了就选谁。这样做需要用户投入大量的精力，要有时间组织，要考题出得适度。考题容易了，结果无差异；考题难了，没有及格的；都无法判断谁的能力强，考题要出得很符合用户的实际需求，就不是很容易了。更为重要的是，很多用户根本不清楚如何组织这种***模拟。

有一个问题值得关注：选择适合自己安全需求的***团队很重要。不同用户的信息安全建设程度是不同的，若用户本身的安全防御体系很完善，选择的***团队很初级，基本上就是隔靴搔痒；若安全管理松懈，找来非常专业的***团队，那好比大炮打蚊子。

随着用户信息安全保障体系的不断完善，选择团队的***能力也应该逐渐增强，能力对等，才能有效发现自己的弱点，“大刀对坦克”式地表演，是在耽误双方的时间。

 

如何综合评价一个***服务团队的技术能力呢？我们借助能力成熟度模型（Capability Maturity Model：CMM）的思路，将***服务分为两个维度，一个维度是***服务的过程，是***各个环节的分解；另一个维度是组织保证能力，由管理和制度组成，通过项目管理与文档检验。

简单地说：就是划分出***服务过程中所需要的各种方面的技术领域，并区分出每个领域保证最终***效果所应具备的管理与技术能力。

 

 

***服务能力成熟度：

衡量一个团队的***服务能力，涉及多个方面，我们从团队规模、组织能力、技术保证能力、******能力、漏洞挖掘能力几个方面进行综合衡量，把团队***服务能力成熟度分为五个级别：

第一级：个人级。一般是指单个人的***，完全依赖***者的个人技术与经验，***的结果不确定性很强。由于没有组织，目标不明确，所以常常被防护者所轻视。

第二级：小组级。通常是临时组合在一起的小团队，共享相互的资源。个人单兵的***能力都很强，但缺乏相互之间的协调。制定相对明确的***计划，可以模拟小型有组织团体的***。

第三级：团队级。专业的***团队，分工明确，手法专业，配合默契。***时具有周密的计划与紧急应对策略，可以模拟专业组织的******，可以模拟有针对性的APT***。

第四级：组织级。不仅有职业的***团队，而且为了***还建立了相应配套的各种组织部门，拥有自己的专业漏洞研究机构，掌握“0Day”与相应的利用工具。可以模拟大规模专业组织的******。

第五级：集团级。掌握丰富的资源，具有足够的***人才，掌握最新的***技术与工具。

 

说明：

Ø  技术保证能力是指***团队的技术组织管理能力，参考安全工程能力成熟度的五级定义，***能力成熟度的五级分别对应为非正式使用级、计划与跟踪级、充分定义级、量化控制级、连续改进级。详细每个级别保证能力的要求可以参考《系统安全工程能力成熟度模型SSE-CMM》。

Ø  ******能力是指可以对抗的被***目标的自我防御能力，参考国家等级保护对应信息系统的安全等级，******能力对应为该等级防御能力所应该防御的***能力。具体每个等级的具体要求与描述可以参考国家有关信息系统等级保护的有关标准。

 

表：团队***能力成熟度级别定义：

	1 级 ( 个人 )	2 级 ( 小组 )	3 级 ( 团队 )	4 级 ( 组织 )	5 级 ( 集团 )
团队规模	单兵作战	小组协作	专业团队，***人员梯队培养、队员组合协作***	具有专业后台支撑团队，分工细化，具有长远团队规划	大型专业团队
组织能力	无组织	松散合作，自由分工	职业团队，责任明确	企业级，专门人员组织管理	大型集团，后备人才基地
技术保证能力	非正式使用，无正式文档管理	计划与跟踪，过程化、文档化管理	充分定义，过程标准化定义	量化控制，建立可测量的质量目标	连续改进，改进组织能力与过程标准化
******能力	抵御资源较少的单个***者的***	抵御拥有一定资源的小型团队有计划的***	抵御拥有丰富资源、有组织的、有针对性的*** ( 如 APT)	抵御大型***组织的组合式***	无限制
漏洞挖掘能力	收集最新漏洞信息，收集漏洞利用工具	具有一定漏洞挖掘能力，掌握最新漏洞利用工具，工作中可集成、组合***工具	可独立研究挖掘系统漏洞的能力，具有开发利用工具的能力	具有独立的漏洞研究团队，掌握“ 0DAY ”漏洞及其利用工具	无限制

 

 

评估***服务团队的能力：

    用户在选择***服务团队时，除了案例与考试外，可以根据团队***服务能力成熟度定义的五个方面，对团队的服务能力进行评估，或者请第三方的专业机构进行评估，选择适合自己安全实际需求的团队。