劉洋在介紹網(wǎng)絡(luò)安全等級(jí)保護(hù)流程。 　　受訪者供圖

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)師（以下簡稱“等保測評(píng)師”），是使用相關(guān)技術(shù)、方法和工具，依據(jù)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，對(duì)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)開展安全技術(shù)和安全管理測評(píng)的人員。2024年7月，人社部向社會(huì)發(fā)布19個(gè)新職業(yè)，等保測評(píng)師位列其中。

　　等保測評(píng)師，聽起來離普通人的生活有些遠(yuǎn)。但事實(shí)上，大到國家關(guān)鍵信息基礎(chǔ)設(shè)施，小到個(gè)人社交媒體、外賣軟件、社保賬戶，都離不開他們的守護(hù)。

　　

　　等保測評(píng)守護(hù)網(wǎng)絡(luò)安全

　　等保測評(píng)師到底是做什么的？面對(duì)記者的提問，北京賽爾匯力安全科技有限公司技術(shù)負(fù)責(zé)人、高級(jí)測評(píng)師劉洋將自己形容為網(wǎng)絡(luò)空間安全的“體檢醫(yī)生”。

　　“我們的工作就像是給保護(hù)對(duì)象做全面體檢，要對(duì)保護(hù)對(duì)象的安全技術(shù)和安全管理體系等進(jìn)行細(xì)致檢測與評(píng)估。例如機(jī)房的物理安全、網(wǎng)絡(luò)架構(gòu)的安全性、數(shù)據(jù)的保密情況，都在我們的檢測范圍內(nèi)。”他形象地比喻，“這就好比醫(yī)生給患者做全身檢查，我們要找出網(wǎng)絡(luò)系統(tǒng)中潛在的‘病癥’。”

　　網(wǎng)絡(luò)系統(tǒng)的“病癥”有哪些？防護(hù)措施是否有效？被侵害的安全風(fēng)險(xiǎn)多高？等保測評(píng)師經(jīng)過專業(yè)評(píng)估會(huì)給出答案。

　　等級(jí)保護(hù)流程包括系統(tǒng)定級(jí)、備案、建設(shè)整改、測評(píng)和監(jiān)督檢查幾個(gè)階段，目的是實(shí)現(xiàn)“分等級(jí)保護(hù)”“分等級(jí)監(jiān)管”。

　　目前，我國網(wǎng)絡(luò)安全等級(jí)保護(hù)分為5個(gè)級(jí)別，級(jí)別高低取決于信息系統(tǒng)被侵害后，對(duì)國家安全、社會(huì)秩序和公民利益會(huì)造成多大危害。危害越大，級(jí)別就越高。像個(gè)人社交賬號(hào)、小型企業(yè)的辦公系統(tǒng)一般定為一級(jí)，滿足基本的安全要求即可；我們生活中常常使用的打車軟件、電商網(wǎng)站一般為二級(jí)；而涉及國家機(jī)密或極端重要的信息系統(tǒng)則為五級(jí)，須采用先進(jìn)技術(shù)和嚴(yán)格措施確保系統(tǒng)絕對(duì)安全。

　　依照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》，除一級(jí)系統(tǒng)外，其他等級(jí)的信息系統(tǒng)均需定期開展等保測評(píng)。“不同級(jí)別對(duì)應(yīng)的檢查標(biāo)準(zhǔn)也不一樣。測評(píng)二級(jí)系統(tǒng)，我們會(huì)設(shè)置100多項(xiàng)檢查項(xiàng)目；而對(duì)于三級(jí)甚至更高的四級(jí)系統(tǒng)，我們的檢查項(xiàng)目會(huì)有二三百條。”劉洋表示。

　　編制好測評(píng)方案后，劉洋團(tuán)隊(duì)來到被測單位機(jī)房進(jìn)行現(xiàn)場測評(píng)。測評(píng)包含技術(shù)測評(píng)和管理測評(píng)兩部分，他們不僅要對(duì)設(shè)備所在物理環(huán)境、通信傳輸、數(shù)據(jù)備份恢復(fù)等項(xiàng)目進(jìn)行檢查，還會(huì)與管理人員訪談，檢查被測單位的相關(guān)制度、記錄文檔。現(xiàn)場測評(píng)結(jié)束后，系統(tǒng)建設(shè)方會(huì)根據(jù)測評(píng)結(jié)果進(jìn)行整改，構(gòu)建符合等級(jí)要求的安全技術(shù)和管理體系；測評(píng)團(tuán)隊(duì)隨后進(jìn)行復(fù)測，出具測評(píng)報(bào)告并進(jìn)行判定。

　　那么，系統(tǒng)通過等保測評(píng)，就可以“高枕無憂”了嗎？

　　一般來說，通過測評(píng)的網(wǎng)絡(luò)系統(tǒng)就像穿上了一件“防彈衣”，可將非法入侵、信息泄露、中毒等安全風(fēng)險(xiǎn)控制在合規(guī)范圍內(nèi)，不法分子攻擊該系統(tǒng)的成本會(huì)提高。然而，再堅(jiān)固的城墻，也需要?jiǎng)討B(tài)防御體系的支撐。“隨著攻擊手法的升級(jí)，有些新的漏洞會(huì)暴露出來，因此國家規(guī)定不同級(jí)別的系統(tǒng)要定期復(fù)查。”劉洋說。

　　網(wǎng)絡(luò)攻防成就能工巧匠

　　面對(duì)提問，劉洋輕車熟路地向記者介紹等保測評(píng)的細(xì)節(jié)。而這背后，是他在網(wǎng)絡(luò)安全行業(yè)耕耘十余年積累的豐富經(jīng)驗(yàn)和對(duì)網(wǎng)絡(luò)攻防的獨(dú)特理解。

　　劉洋畢業(yè)于清華大學(xué)計(jì)算機(jī)系，對(duì)網(wǎng)絡(luò)攻防的濃厚興趣促使他投身網(wǎng)絡(luò)安全行業(yè)。“計(jì)算機(jī)的操作系統(tǒng)，像Windows或者macOS系統(tǒng)都會(huì)有安全邊界設(shè)置，我就在想，能不能繞開它進(jìn)行一些不受限制的操作，挑戰(zhàn)自己的能力。”他說，網(wǎng)絡(luò)安全方面的工作具有挑戰(zhàn)性，能讓自己產(chǎn)生成就感。

　　等級(jí)保護(hù)，本質(zhì)上就是一種主動(dòng)防御手段。等保測評(píng)師一方面需要關(guān)注被測系統(tǒng)中存在的疏漏，一方面也要摸清“敵方”的各類攻擊手段，做到防患未然。

　　2017年5月，“WannaCry”勒索病毒在全球快速傳播、大范圍感染，許多用戶電腦被加密鎖定，被迫向不法分子繳納“贖金”。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)，截至2019年4月9日，我國境內(nèi)疑似感染該勒索病毒的計(jì)算機(jī)數(shù)量超過30萬臺(tái)。為防止網(wǎng)絡(luò)病毒進(jìn)一步擴(kuò)散，劉洋團(tuán)隊(duì)要求所有送測服務(wù)器和個(gè)人電腦必須定期更新90天內(nèi)的安全補(bǔ)丁，否則該測評(píng)指標(biāo)為不合格。然而，在2023年掃描一家單位的內(nèi)網(wǎng)時(shí)，團(tuán)隊(duì)成員發(fā)現(xiàn)仍有部分電腦未安裝防范勒索病毒的安全補(bǔ)丁，“這個(gè)問題說明有些人的安全意識(shí)還是相對(duì)薄弱，保障系統(tǒng)安全，最重要的就是要有安全意識(shí)”。

　　從業(yè)十余年，劉洋走上了從初級(jí)、中級(jí)最終成為高級(jí)測評(píng)師的“升級(jí)之路”。他帶領(lǐng)團(tuán)隊(duì)完成多個(gè)國家部委、高等院校、金融機(jī)構(gòu)的網(wǎng)絡(luò)安全測評(píng)項(xiàng)目。現(xiàn)在，他每年要審核上百份測評(píng)報(bào)告。而在具體工作中，不同級(jí)別的等保測評(píng)師從事工作也有不同。他說：“初級(jí)測評(píng)師一般去一線進(jìn)行測評(píng)；中級(jí)測評(píng)師相當(dāng)于項(xiàng)目經(jīng)理，負(fù)責(zé)出具測評(píng)方案并監(jiān)督測評(píng)員操作；高級(jí)測評(píng)師負(fù)責(zé)對(duì)操作流程和評(píng)估結(jié)果進(jìn)行把關(guān)審核。”

　　談到“升級(jí)”的經(jīng)驗(yàn)，劉洋建議從業(yè)者廣泛涉獵網(wǎng)絡(luò)安全知識(shí)，在數(shù)據(jù)庫、安全防護(hù)技術(shù)、云計(jì)算、大模型、區(qū)塊鏈等方面加強(qiáng)學(xué)習(xí)；還可以考取相關(guān)證書，不斷提升個(gè)人能力。

　　需求旺盛職業(yè)前景可期

　　近期，中國人工智能公司深度求索（DeepSeek）線上服務(wù)遭大規(guī)模惡意攻擊；某程序員非法盜取四川省70多萬條學(xué)生信息販賣給教培機(jī)構(gòu)，涉案金額400萬元……持續(xù)上演的網(wǎng)絡(luò)攻防大戰(zhàn)凸顯出網(wǎng)絡(luò)安全人才的重要性。

　　網(wǎng)絡(luò)安全無小事，出了問題就是大事。劉洋認(rèn)為，等保測評(píng)工作在平時(shí)并不起眼，但一旦疏忽就可能造成重大損失，“現(xiàn)在一些個(gè)人信息泄露事件都是千萬級(jí)甚至上億級(jí)別的，我們等保測評(píng)師的目標(biāo)就是預(yù)防這類事件發(fā)生，減少網(wǎng)絡(luò)系統(tǒng)被攻擊的概率。”

　　隨著數(shù)字化進(jìn)程加速，等級(jí)保護(hù)工作在國家層面獲得了前所未有的重視，已成為國家網(wǎng)絡(luò)安全體系的核心制度之一。2019年5月，“等保2.0”發(fā)布，覆蓋云計(jì)算、物聯(lián)網(wǎng)等新興技術(shù)場景；2021年7月，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》明確提出，運(yùn)營者需“在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上，采取技術(shù)保護(hù)措施和其他必要措施，應(yīng)對(duì)網(wǎng)絡(luò)安全事件”；2024年11月，公安部第三研究所（認(rèn)證中心）發(fā)布網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)機(jī)構(gòu)服務(wù)認(rèn)證獲證機(jī)構(gòu)名錄，242家機(jī)構(gòu)上榜；2025年3月，國家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作協(xié)調(diào)小組宣布啟用《網(wǎng)絡(luò)安全等級(jí)測評(píng)報(bào)告模版（2025版）》，進(jìn)一步細(xì)化測評(píng)要求、優(yōu)化測評(píng)體系。

　　提到這一職業(yè)的前景，劉洋充滿信心：“隨著數(shù)字化轉(zhuǎn)型的深入和人工智能應(yīng)用在各個(gè)領(lǐng)域普及，網(wǎng)絡(luò)安全和數(shù)據(jù)安全的重要性不言而喻。等保測評(píng)師將在保障國家關(guān)鍵信息基礎(chǔ)設(shè)施安全、護(hù)航數(shù)字經(jīng)濟(jì)發(fā)展等方面發(fā)揮更大作用。”

　　這一點(diǎn)也得到了相關(guān)學(xué)者的肯定，“網(wǎng)絡(luò)安全是一項(xiàng)基礎(chǔ)性的保障工作，相關(guān)需求非常旺盛。此外，等保測評(píng)師的職業(yè)路徑比較清晰，職稱體系和職業(yè)評(píng)價(jià)體系相對(duì)完善。”中國傳媒大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)空間安全學(xué)院副教授黃瑋認(rèn)為，從行業(yè)發(fā)展和個(gè)人發(fā)展的角度看，等保測評(píng)師的職業(yè)前景較為積極。

　　黃瑋補(bǔ)充說，等保測評(píng)師職業(yè)的健康發(fā)展還存在一些現(xiàn)實(shí)問題。例如，部分企業(yè)迫于經(jīng)濟(jì)壓力壓縮在網(wǎng)絡(luò)安全方面的投入，市場規(guī)模有限，一定程度上限制了職業(yè)發(fā)展；對(duì)于等保領(lǐng)域的基礎(chǔ)技術(shù)崗位，由于技能門檻相對(duì)較低，人員流動(dòng)性相對(duì)較高，求職應(yīng)聘的競爭也更為激烈。

　　“網(wǎng)絡(luò)安全的核心是持續(xù)對(duì)抗。對(duì)于等保測評(píng)師或是其他從業(yè)者來說，只考一個(gè)證書是遠(yuǎn)遠(yuǎn)不夠的，要堅(jiān)持學(xué)習(xí)、善于學(xué)習(xí)，不斷健全網(wǎng)絡(luò)攻擊和防御的知識(shí)體系，才能在工作中體現(xiàn)更大的價(jià)值。”他說。

分享讓更多人看到