#每日三件事,第1204天#
大约是从2007年开始,网络安全等级保护测评开始了试点工作。到2011年,公安部正式组织第一批测评机构考核。到现在为止(截止2022年5月27日),测评机构在全国有200家。高级测评师572人,中级2780人,初级3856人,共计7208人。
行业大神集中在公安部几个研究所的测评中心以及其他的一些测评机构,他们在试点期间就参与了大量的测评项目,还参与了等级保护标准的编写工作。真正的大神就那些熟悉标准,而且有实践经验的测评师。
等级保护大事记
2008年,《信息安全技术 信息系统安全等级保护基本要求》GB/T22239-2008发布,正式拉开等级保护工作的大幕。
2011年,公安部组织第一批面向社会的测评机构考核和审批工作。第一批申请到等级保护测评资质的机构应该不足100家。
2017年,《中华人民共和国网络安全法》施行,其中第二十一条规定:国家实行网络安全等级保护制度。网络安全等级保护工作有法可依。
2019年,《网络安全等级保护基本要求》GB/T22239-2019正式实施,网络安全等级保护进入2.0时代。测评内容分为通用要求和扩展要求,包含了云计算、物联网、工业控制系统、移动互联网、大数据这类新兴技术。
网络安全测评师的事
持证上岗是第一位的,也是必须的,只有取得等保护测评师资格的人员才可以开展测评工作。
测评师分为高级、中级和初级三类。
对于测评师来讲,不仅要有测评师证,还需要熟悉操作系统、数据库、网络设备、安全设备、中间件等的操作和安全策略的配置。测评师可以采用访谈、核查和测试的方法对网络信统开展测评工作。
怎么做好访谈工作,保证测评结果的公正、科学、合理和完善,首要的是测评师具有良好的沟通能力。
访谈工作不能保障获取证据的可靠性,因此还需要通过配置核查和测试,对访谈结果进一步验证。熟悉各种操作系统、数据库、网络安全设备、中间件的操作无疑会帮助测评师顺利开展测评工作。相关认证系统的学习就必不可少,像linux认证(RHCE)、数据库认证(DBA),网络认证(HCIP),以及项目管理的认证,都有助于测评师开展工作。
测试这种方法是最可靠的,因此测评师还需要掌握各种测试工具和手段。漏洞扫描工具、流量分析工具、渗透测试工具的使用,都可以获得更直接的测评证据。
测评,就是通过各种方法和手段获取系统的安全防护能力的最真实状态。
对法律和标准的掌握,是测评师的基本功。《网络安全法》、《密码法》、《个人信息保护法》、《数据安全法》、《关键信息基础设施安全保护条例》、
《网络安全等级保护基本要求》(GB/T22239-2019)、《网络安全等级保护定级指南》(GB/T22240-2020)、《网络安全等级保护测评过程指南》(GB/T28449-2018)、《网络安全等级保护实施指南》(GB/T25058-2019)、《网络安全等级保护测评要求》(GB/T28448-2019),这些都需要熟悉。另外对于新技术也需要有一颗保持好奇的心,云计算、物联网、工业控制系统、区块链、人工智能、机器学习、元宇宙、量子密码等等,也需要认真学习。
等级保护工作流程
网络安全等级保护工作有5个环节:第一是定级,填写《定级报告》和《备案表》,邀请专家对定级结果进行评审并出具专家评审意见。如果有上级主管部门的话,还需要得到上级主管部门的审核批准;第二是备案,将《定级报告》、《备案表》、专家意见以及上级部门审核意见表提交到所在地的地市级以上公安机关备案,并发放《信息系统安全等级保护备案证明》。第三是测评,邀请具有资质的机构开展测评工作。以前的资质叫《信息系统安全等级保护测评推荐证书》,2021年11月19日以后,这个资质是《网络安全等级保护测评与检测评估机构服务证书》,由公安部三所核发。测评结果分为优良中差四种,其中90分以上为优,80分以上为良,70分以上为中,70分以下为差。系统中如果出现高风险项的话,一票否决,不管得分多少,测评结果都为“差”。第四是整改,网络运营者根据测评报告中提出的问题,针对性的进行整改,尤其是高风险和中风险项,是整改工作的重点。第五是监督检查,公安机关和上级主管部门每年会定期对网络系统的安全状况、等级测评情况进行现场监督检查。对于防护能力较差的系统,公安机关会出具整改通知书或者处罚通知书。
等级测评的工作流程在《网络安全等级保护测评过程指南》予以了明确,分为四个阶段:第一是测评准备活动,主要是收集网络系统的信息;第二是方案编制活动,主要根据第一阶段收集到的信息编制测评方案;第三是现场测评活动,主要根据测评方案开展现场测评;第四是报告编制活动,主要根据现场测评的结果分析和编制测评报告。
等级测评工作的最终交付物就是《网络安全等级测评报告》,报告的分发范围有测评结构、公安机关和网络运营者。网络运营者拿到测评报告后,需要第一时间提交到公安机关备案。
你可能会问,这个行业有前景吗?就网络安全这个行业来看,前景是非常好的。各种法律法规和标准不断出台,从中央到地方都非常重视。但就等级测评来说,全国有200家,说多不多说少不少。每个省都会有10多20家,包括本地的和外地的机构,竞争不可避免,低价竞争更是在所难免。测评师的待遇大概在3k-30k左右的样子,不同的地区、不同级别的测评师差异较大。从事专业渗透测试的工程师,待遇普遍较高。
有一定的测评经验之后再转岗去做网络安全的其他工作,会更有优势。
如果你想上一列高速行驶的火车,就不要去管座位在哪里,上去之后再说。只要努力,总能找到一个好座位。
网友评论