網絡安全等級保護測評師—— 做網絡空間安全的「體檢醫生」(新職·新知㉕)
劉洋在介紹網絡安全等級保護流程。受訪者供圖網絡安全等級保護測評師(以下簡稱「等保測評師」),是使用相關技術、方法和工具,依據國家網絡安全等級保護相關法律法規和技術標準,對網絡系統和數據開展安全技術和安全管理測評的人員。2024年7月,人社部向社會發佈19個新職業,等保測評師位列其中。
等保測評師,聽起來離普通人的生活有些遠。但事實上,大到國家關鍵信息基礎設施,小到個人社交媒體、外賣軟件、社保賬戶,都離不開他們的守護。
等保測評守護網絡安全
等保測評師到底是做什麼的?面對記者的提問,北京賽爾彙力安全科技有限公司技術負責人、高級測評師劉洋將自己形容為網絡空間安全的「體檢醫生」。
「我們的工作就像是給保護對象做全面體檢,要對保護對象的安全技術和安全管理體系等進行細緻檢測與評估。例如機房的物理安全、網絡架構的安全性、數據的保密情況,都在我們的檢測範圍內。」他形象地比喻,「這就好比醫生給患者做全身檢查,我們要找出網絡系統中潛在的‘病症’。」
網絡系統的「病症」有哪些?防護措施是否有效?被侵害的安全風險多高?等保測評師經過專業評估會給出答案。
等級保護流程包括系統定級、備案、建設整改、測評和監督檢查幾個階段,目的是實現「分等級保護」「分等級監管」。
目前,我國網絡安全等級保護分為5個級別,級別高低取決於信息系統被侵害後,對國家安全、社會秩序和公民利益會造成多大危害。危害越大,級別就越高。像個人社交帳號、小型企業的辦公系統一般定為一級,滿足基本的安全要求即可;我們生活中常常使用的打車軟件、電商網站一般為二級;而涉及國家機密或極端重要的信息系統則為五級,須採用先進技術和嚴格措施確保系統絕對安全。
依照《信息安全技術 網絡安全等級保護測評要求》,除一級系統外,其他等級的信息系統均需定期開展等保測評。「不同級別對應的檢查標準也不一樣。測評二級系統,我們會設置100多項檢查項目;而對於三級甚至更高的四級系統,我們的檢查項目會有二三百條。」劉洋表示。
編製好測評方案後,劉洋團隊來到被測單位機房進行現場測評。測評包含技術測評和管理測評兩部分,他們不僅要對設備所在物理環境、通信傳輸、數據備份恢復等項目進行檢查,還會與管理人員訪談,檢查被測單位的相關制度、記錄文檔。現場測評結束後,系統建設方會根據測評結果進行整改,構建符合等級要求的安全技術和管理體系;測評團隊隨後進行複測,出具測評報告並進行判定。
那麼,系統通過等保測評,就可以「高枕無憂」了嗎?
一般來說,通過測評的網絡系統就像穿上了一件「防彈衣」,可將非法入侵、信息泄露、中毒等安全風險控制在合規範圍內,不法分子攻擊該系統的成本會提高。然而,再堅固的城牆,也需要動態防禦體系的支撐。「隨著攻擊手法的升級,有些新的漏洞會暴露出來,因此國家規定不同級別的系統要定期複查。」劉洋說。
網絡攻防成就能工巧匠
面對提問,劉洋輕車熟路地向記者介紹等保測評的細節。而這背後,是他在網絡安全行業耕耘十餘年積累的豐富經驗和對網絡攻防的獨特理解。
劉洋畢業於清華大學計算機系,對網絡攻防的濃厚興趣促使他投身網絡安全行業。「計算機的操作系統,像Windows或者macOS系統都會有安全邊界設置,我就在想,能不能繞開它進行一些不受限制的操作,挑戰自己的能力。」他說,網絡安全方面的工作具有挑戰性,能讓自己產生成就感。
等級保護,本質上就是一種主動防禦手段。等保測評師一方面需要關注被測系統中存在的疏漏,一方面也要摸清「敵方」的各類攻擊手段,做到防患未然。
2017年5月,「WannaCry」勒索病毒在全球快速傳播、大範圍感染,許多用戶電腦被加密鎖定,被迫向不法分子繳納「贖金」。據國家互聯網應急中心數據,截至2019年4月9日,我國境內疑似感染該勒索病毒的計算機數量超過30萬台。為防止網絡病毒進一步擴散,劉洋團隊要求所有送測服務器和個人電腦必須定期更新90天內的安全補丁,否則該測評指標為不合格。然而,在2023年掃瞄一家單位的內網時,團隊成員發現仍有部分電腦未安裝防範勒索病毒的安全補丁,「這個問題說明有些人的安全意識還是相對薄弱,保障系統安全,最重要的就是要有安全意識」。
從業十餘年,劉洋走上了從初級、中級最終成為高級測評師的「升級之路」。他帶領團隊完成多個國家部委、高等院校、金融機構的網絡安全測評項目。現在,他每年要審核上百份測評報告。而在具體工作中,不同級別的等保測評師從事工作也有不同。他說:「初級測評師一般去一線進行測評;中級測評師相當於項目經理,負責出具測評方案並監督測評員操作;高級測評師負責對操作流程和評估結果進行把關審核。」
談到「升級」的經驗,劉洋建議從業者廣泛涉獵網絡安全知識,在數據庫、安全防護技術、雲計算、大模型、區塊鏈等方面加強學習;還可以考取相關證書,不斷提升個人能力。
需求旺盛職業前景可期
近期,中國人工智能公司深度求索(DeepSeek)線上服務遭大規模惡意攻擊;某程序員非法盜取四川省70多萬條學生信息販賣給教培機構,涉案金額400萬元……持續上演的網絡攻防大戰凸顯出網絡安全人才的重要性。
網絡安全無小事,出了問題就是大事。劉洋認為,等保測評工作在平時並不起眼,但一旦疏忽就可能造成重大損失,「現在一些個人信息泄露事件都是千萬級甚至上億級別的,我們等保測評師的目標就是預防這類事件發生,減少網絡系統被攻擊的概率。」
隨著數字化進程加速,等級保護工作在國家層面獲得了前所未有的重視,已成為國家網絡安全體系的核心制度之一。2019年5月,「等保2.0」發佈,覆蓋雲計算、物聯網等新興技術場景;2021年7月,《關鍵信息基礎設施安全保護條例》明確提出,運營者需「在網絡安全等級保護的基礎上,採取技術保護措施和其他必要措施,應對網絡安全事件」;2024年11月,公安部第三研究所(認證中心)發佈網絡安全等級保護測評機構服務認證獲證機構名錄,242家機構上榜;2025年3月,國家網絡安全等級保護工作協調小組宣佈啟用《網絡安全等級測評報告模版(2025版)》,進一步細化測評要求、優化測評體系。
提到這一職業的前景,劉洋充滿信心:「隨著數字化轉型的深入和人工智能應用在各個領域普及,網絡安全和數據安全的重要性不言而喻。等保測評師將在保障國家關鍵信息基礎設施安全、護航數字經濟發展等方面發揮更大作用。」
這一點也得到了相關學者的肯定,「網絡安全是一項基礎性的保障工作,相關需求非常旺盛。此外,等保測評師的職業路徑比較清晰,職稱體系和職業評價體系相對完善。」中國傳媒大學計算機與網絡空間安全學院副教授黃瑋認為,從行業發展和個人發展的角度看,等保測評師的職業前景較為積極。
黃瑋補充說,等保測評師職業的健康發展還存在一些現實問題。例如,部分企業迫於經濟壓力壓縮在網絡安全方面的投入,市場規模有限,一定程度上限制了職業發展;對於等保領域的基礎技術崗位,由於技能門檻相對較低,人員流動性相對較高,求職應聘的競爭也更為激烈。
「網絡安全的核心是持續對抗。對於等保測評師或是其他從業者來說,只考一個證書是遠遠不夠的,要堅持學習、善於學習,不斷健全網絡攻擊和防禦的知識體系,才能在工作中體現更大的價值。」他說。(本報記者 呂九海)
《人民日報海外版》(2025年04月14日 第 10 版)
