網(wǎng)絡安全等級保護測評師——

做網(wǎng)絡空間安全的“體檢醫(yī)生”(新職·新知㉕)

網(wǎng)絡安全等級保護測評師(以下簡稱“等保測評師”)，是使用相關技術、方法和工具，依據(jù)國家網(wǎng)絡安全等級保護相關法律法規(guī)和技術標準，對網(wǎng)絡系統(tǒng)和數(shù)據(jù)開展安全技術和安全管理測評的人員。2024年7月，人社部向社會發(fā)布19個新職業(yè)，等保測評師位列其中。

等保測評師，聽起來離普通人的生活有些遠。但事實上，大到國家關鍵信息基礎設施，小到個人社交媒體、外賣軟件、社保賬戶，都離不開他們的守護。

等保測評守護網(wǎng)絡安全

等保測評師到底是做什么的？面對記者的提問，北京賽爾匯力安全科技有限公司技術負責人、高級測評師劉洋將自己形容為網(wǎng)絡空間安全的“體檢醫(yī)生”。

“我們的工作就像是給保護對象做全面體檢，要對保護對象的安全技術和安全管理體系等進行細致檢測與評估。例如機房的物理安全、網(wǎng)絡架構的安全性、數(shù)據(jù)的保密情況，都在我們的檢測范圍內?！彼蜗蟮乇扔鳎斑@就好比醫(yī)生給患者做全身檢查，我們要找出網(wǎng)絡系統(tǒng)中潛在的‘病癥’?！?/p>

網(wǎng)絡系統(tǒng)的“病癥”有哪些？防護措施是否有效？被侵害的安全風險多高？等保測評師經過專業(yè)評估會給出答案。

等級保護流程包括系統(tǒng)定級、備案、建設整改、測評和監(jiān)督檢查幾個階段，目的是實現(xiàn)“分等級保護”“分等級監(jiān)管”。

目前，我國網(wǎng)絡安全等級保護分為5個級別，級別高低取決于信息系統(tǒng)被侵害后，對國家安全、社會秩序和公民利益會造成多大危害。危害越大，級別就越高。像個人社交賬號、小型企業(yè)的辦公系統(tǒng)一般定為一級，滿足基本的安全要求即可；我們生活中常常使用的打車軟件、電商網(wǎng)站一般為二級；而涉及國家機密或極端重要的信息系統(tǒng)則為五級，須采用先進技術和嚴格措施確保系統(tǒng)絕對安全。

依照《信息安全技術 網(wǎng)絡安全等級保護測評要求》，除一級系統(tǒng)外，其他等級的信息系統(tǒng)均需定期開展等保測評?！安煌墑e對應的檢查標準也不一樣。測評二級系統(tǒng)，我們會設置100多項檢查項目；而對于三級甚至更高的四級系統(tǒng)，我們的檢查項目會有二三百條?！眲⒀蟊硎?。

編制好測評方案后，劉洋團隊來到被測單位機房進行現(xiàn)場測評。測評包含技術測評和管理測評兩部分，他們不僅要對設備所在物理環(huán)境、通信傳輸、數(shù)據(jù)備份恢復等項目進行檢查，還會與管理人員訪談，檢查被測單位的相關制度、記錄文檔?，F(xiàn)場測評結束后，系統(tǒng)建設方會根據(jù)測評結果進行整改，構建符合等級要求的安全技術和管理體系；測評團隊隨后進行復測，出具測評報告并進行判定。

那么，系統(tǒng)通過等保測評，就可以“高枕無憂”了嗎？

一般來說，通過測評的網(wǎng)絡系統(tǒng)就像穿上了一件“防彈衣”，可將非法入侵、信息泄露、中毒等安全風險控制在合規(guī)范圍內，不法分子攻擊該系統(tǒng)的成本會提高。然而，再堅固的城墻，也需要動態(tài)防御體系的支撐?！半S著攻擊手法的升級，有些新的漏洞會暴露出來，因此國家規(guī)定不同級別的系統(tǒng)要定期復查?！眲⒀笳f。

網(wǎng)絡攻防成就能工巧匠

面對提問，劉洋輕車熟路地向記者介紹等保測評的細節(jié)。而這背后，是他在網(wǎng)絡安全行業(yè)耕耘十余年積累的豐富經驗和對網(wǎng)絡攻防的獨特理解。

劉洋畢業(yè)于清華大學計算機系，對網(wǎng)絡攻防的濃厚興趣促使他投身網(wǎng)絡安全行業(yè)?！坝嬎銠C的操作系統(tǒng)，像Windows或者macOS系統(tǒng)都會有安全邊界設置，我就在想，能不能繞開它進行一些不受限制的操作，挑戰(zhàn)自己的能力?！彼f，網(wǎng)絡安全方面的工作具有挑戰(zhàn)性，能讓自己產生成就感。

等級保護，本質上就是一種主動防御手段。等保測評師一方面需要關注被測系統(tǒng)中存在的疏漏，一方面也要摸清“敵方”的各類攻擊手段，做到防患未然。

2017年5月，“WannaCry”勒索病毒在全球快速傳播、大范圍感染，許多用戶電腦被加密鎖定，被迫向不法分子繳納“贖金”。據(jù)國家互聯(lián)網(wǎng)應急中心數(shù)據(jù)，截至2019年4月9日，我國境內疑似感染該勒索病毒的計算機數(shù)量超過30萬臺。為防止網(wǎng)絡病毒進一步擴散，劉洋團隊要求所有送測服務器和個人電腦必須定期更新90天內的安全補丁，否則該測評指標為不合格。然而，在2023年掃描一家單位的內網(wǎng)時，團隊成員發(fā)現(xiàn)仍有部分電腦未安裝防范勒索病毒的安全補丁，“這個問題說明有些人的安全意識還是相對薄弱，保障系統(tǒng)安全，最重要的就是要有安全意識”。

從業(yè)十余年，劉洋走上了從初級、中級最終成為高級測評師的“升級之路”。他帶領團隊完成多個國家部委、高等院校、金融機構的網(wǎng)絡安全測評項目?，F(xiàn)在，他每年要審核上百份測評報告。而在具體工作中，不同級別的等保測評師從事工作也有不同。他說：“初級測評師一般去一線進行測評；中級測評師相當于項目經理，負責出具測評方案并監(jiān)督測評員操作；高級測評師負責對操作流程和評估結果進行把關審核?！?/p>

談到“升級”的經驗，劉洋建議從業(yè)者廣泛涉獵網(wǎng)絡安全知識，在數(shù)據(jù)庫、安全防護技術、云計算、大模型、區(qū)塊鏈等方面加強學習；還可以考取相關證書，不斷提升個人能力。

需求旺盛職業(yè)前景可期

近期，中國人工智能公司深度求索(DeepSeek)線上服務遭大規(guī)模惡意攻擊；某程序員非法盜取四川省70多萬條學生信息販賣給教培機構，涉案金額400萬元……持續(xù)上演的網(wǎng)絡攻防大戰(zhàn)凸顯出網(wǎng)絡安全人才的重要性。

網(wǎng)絡安全無小事，出了問題就是大事。劉洋認為，等保測評工作在平時并不起眼，但一旦疏忽就可能造成重大損失，“現(xiàn)在一些個人信息泄露事件都是千萬級甚至上億級別的，我們等保測評師的目標就是預防這類事件發(fā)生，減少網(wǎng)絡系統(tǒng)被攻擊的概率?！?/p>

隨著數(shù)字化進程加速，等級保護工作在國家層面獲得了前所未有的重視，已成為國家網(wǎng)絡安全體系的核心制度之一。2019年5月，“等保2.0”發(fā)布，覆蓋云計算、物聯(lián)網(wǎng)等新興技術場景；2021年7月，《關鍵信息基礎設施安全保護條例》明確提出，運營者需“在網(wǎng)絡安全等級保護的基礎上，采取技術保護措施和其他必要措施，應對網(wǎng)絡安全事件”；2024年11月，公安部第三研究所(認證中心)發(fā)布網(wǎng)絡安全等級保護測評機構服務認證獲證機構名錄，242家機構上榜；2025年3月，國家網(wǎng)絡安全等級保護工作協(xié)調小組宣布啟用《網(wǎng)絡安全等級測評報告模版(2025版)》，進一步細化測評要求、優(yōu)化測評體系。

提到這一職業(yè)的前景，劉洋充滿信心：“隨著數(shù)字化轉型的深入和人工智能應用在各個領域普及，網(wǎng)絡安全和數(shù)據(jù)安全的重要性不言而喻。等保測評師將在保障國家關鍵信息基礎設施安全、護航數(shù)字經濟發(fā)展等方面發(fā)揮更大作用?！?/p>

這一點也得到了相關學者的肯定，“網(wǎng)絡安全是一項基礎性的保障工作，相關需求非常旺盛。此外，等保測評師的職業(yè)路徑比較清晰，職稱體系和職業(yè)評價體系相對完善。”中國傳媒大學計算機與網(wǎng)絡空間安全學院副教授黃瑋認為，從行業(yè)發(fā)展和個人發(fā)展的角度看，等保測評師的職業(yè)前景較為積極。

黃瑋補充說，等保測評師職業(yè)的健康發(fā)展還存在一些現(xiàn)實問題。例如，部分企業(yè)迫于經濟壓力壓縮在網(wǎng)絡安全方面的投入，市場規(guī)模有限，一定程度上限制了職業(yè)發(fā)展；對于等保領域的基礎技術崗位，由于技能門檻相對較低，人員流動性相對較高，求職應聘的競爭也更為激烈。

“網(wǎng)絡安全的核心是持續(xù)對抗。對于等保測評師或是其他從業(yè)者來說，只考一個證書是遠遠不夠的，要堅持學習、善于學習，不斷健全網(wǎng)絡攻擊和防御的知識體系，才能在工作中體現(xiàn)更大的價值?！彼f。

本報記者 呂九海

《人民日報海外版》(2025年04月14日 第 10 版)