刘洋在介绍网络安全等级保护流程。受访者供图
网络安全等级保护测评师(以下简称“等保测评师”),是使用相关技术、方法和工具,依据国家网络安全等级保护相关法律法规和技术标准,对网络系统和数据开展安全技术和安全管理测评的人员。2024年7月,人社部向社会发布19个新职业,等保测评师位列其中。
等保测评师,听起来离普通人的生活有些远。但事实上,大到国家关键信息基础设施,小到个人社交媒体、外卖软件、社保账户,都离不开他们的守护。
等保测评守护网络安全
等保测评师到底是做什么的?面对记者的提问,北京赛尔汇力安全科技有限公司技术负责人、高级测评师刘洋将自己形容为网络空间安全的“体检医生”。
“我们的工作就像是给保护对象做全面体检,要对保护对象的安全技术和安全管理体系等进行细致检测与评估。例如机房的物理安全、网络架构的安全性、数据的保密情况,都在我们的检测范围内。”他形象地比喻,“这就好比医生给患者做全身检查,我们要找出网络系统中潜在的‘病症’。”
网络系统的“病症”有哪些?防护措施是否有效?被侵害的安全风险多高?等保测评师经过专业评估会给出答案。
等级保护流程包括系统定级、备案、建设整改、测评和监督检查几个阶段,目的是实现“分等级保护”“分等级监管”。
目前,我国网络安全等级保护分为5个级别,级别高低取决于信息系统被侵害后,对国家安全、社会秩序和公民利益会造成多大危害。危害越大,级别就越高。像个人社交账号、小型企业的办公系统一般定为一级,满足基本的安全要求即可;我们生活中常常使用的打车软件、电商网站一般为二级;而涉及国家机密或极端重要的信息系统则为五级,须采用先进技术和严格措施确保系统绝对安全。
依照《信息安全技术 网络安全等级保护测评要求》,除一级系统外,其他等级的信息系统均需定期开展等保测评。“不同级别对应的检查标准也不一样。测评二级系统,我们会设置100多项检查项目;而对于三级甚至更高的四级系统,我们的检查项目会有二三百条。”刘洋表示。
编制好测评方案后,刘洋团队来到被测单位机房进行现场测评。测评包含技术测评和管理测评两部分,他们不仅要对设备所在物理环境、通信传输、数据备份恢复等项目进行检查,还会与管理人员访谈,检查被测单位的相关制度、记录文档。现场测评结束后,系统建设方会根据测评结果进行整改,构建符合等级要求的安全技术和管理体系;测评团队随后进行复测,出具测评报告并进行判定。
那么,系统通过等保测评,就可以“高枕无忧”了吗?
一般来说,通过测评的网络系统就像穿上了一件“防弹衣”,可将非法入侵、信息泄露、中毒等安全风险控制在合规范围内,不法分子攻击该系统的成本会提高。然而,再坚固的城墙,也需要动态防御体系的支撑。“随着攻击手法的升级,有些新的漏洞会暴露出来,因此国家规定不同级别的系统要定期复查。”刘洋说。
网络攻防成就能工巧匠
面对提问,刘洋轻车熟路地向记者介绍等保测评的细节。而这背后,是他在网络安全行业耕耘十余年积累的丰富经验和对网络攻防的独特理解。
刘洋毕业于清华大学计算机系,对网络攻防的浓厚兴趣促使他投身网络安全行业。“计算机的操作系统,像Windows或者macOS系统都会有安全边界设置,我就在想,能不能绕开它进行一些不受限制的操作,挑战自己的能力。”他说,网络安全方面的工作具有挑战性,能让自己产生成就感。
等级保护,本质上就是一种主动防御手段。等保测评师一方面需要关注被测系统中存在的疏漏,一方面也要摸清“敌方”的各类攻击手段,做到防患未然。
2017年5月,“WannaCry”勒索病毒在全球快速传播、大范围感染,许多用户电脑被加密锁定,被迫向不法分子缴纳“赎金”。据国家互联网应急中心数据,截至2019年4月9日,我国境内疑似感染该勒索病毒的计算机数量超过30万台。为防止网络病毒进一步扩散,刘洋团队要求所有送测服务器和个人电脑必须定期更新90天内的安全补丁,否则该测评指标为不合格。然而,在2023年扫描一家单位的内网时,团队成员发现仍有部分电脑未安装防范勒索病毒的安全补丁,“这个问题说明有些人的安全意识还是相对薄弱,保障系统安全,最重要的就是要有安全意识”。
从业十余年,刘洋走上了从初级、中级最终成为高级测评师的“升级之路”。他带领团队完成多个国家部委、高等院校、金融机构的网络安全测评项目。现在,他每年要审核上百份测评报告。而在具体工作中,不同级别的等保测评师从事工作也有不同。他说:“初级测评师一般去一线进行测评;中级测评师相当于项目经理,负责出具测评方案并监督测评员操作;高级测评师负责对操作流程和评估结果进行把关审核。”
谈到“升级”的经验,刘洋建议从业者广泛涉猎网络安全知识,在数据库、安全防护技术、云计算、大模型、区块链等方面加强学习;还可以考取相关证书,不断提升个人能力。
需求旺盛职业前景可期
近期,中国人工智能公司深度求索(DeepSeek)线上服务遭大规模恶意攻击;某程序员非法盗取四川省70多万条学生信息贩卖给教培机构,涉案金额400万元……持续上演的网络攻防大战凸显出网络安全人才的重要性。
网络安全无小事,出了问题就是大事。刘洋认为,等保测评工作在平时并不起眼,但一旦疏忽就可能造成重大损失,“现在一些个人信息泄露事件都是千万级甚至上亿级别的,我们等保测评师的目标就是预防这类事件发生,减少网络系统被攻击的概率。”
随着数字化进程加速,等级保护工作在国家层面获得了前所未有的重视,已成为国家网络安全体系的核心制度之一。2019年5月,“等保2.0”发布,覆盖云计算、物联网等新兴技术场景;2021年7月,《关键信息基础设施安全保护条例》明确提出,运营者需“在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件”;2024年11月,公安部第三研究所(认证中心)发布网络安全等级保护测评机构服务认证获证机构名录,242家机构上榜;2025年3月,国家网络安全等级保护工作协调小组宣布启用《网络安全等级测评报告模版(2025版)》,进一步细化测评要求、优化测评体系。
提到这一职业的前景,刘洋充满信心:“随着数字化转型的深入和人工智能应用在各个领域普及,网络安全和数据安全的重要性不言而喻。等保测评师将在保障国家关键信息基础设施安全、护航数字经济发展等方面发挥更大作用。”
这一点也得到了相关学者的肯定,“网络安全是一项基础性的保障工作,相关需求非常旺盛。此外,等保测评师的职业路径比较清晰,职称体系和职业评价体系相对完善。”中国传媒大学计算机与网络空间安全学院副教授黄玮认为,从行业发展和个人发展的角度看,等保测评师的职业前景较为积极。
黄玮补充说,等保测评师职业的健康发展还存在一些现实问题。例如,部分企业迫于经济压力压缩在网络安全方面的投入,市场规模有限,一定程度上限制了职业发展;对于等保领域的基础技术岗位,由于技能门槛相对较低,人员流动性相对较高,求职应聘的竞争也更为激烈。
“网络安全的核心是持续对抗。对于等保测评师或是其他从业者来说,只考一个证书是远远不够的,要坚持学习、善于学习,不断健全网络攻击和防御的知识体系,才能在工作中体现更大的价值。”他说。(本报记者 吕九海)
《人民日报海外版》(2025年04月14日 第 10 版)
