标记网络安全漏洞的裁判员

本报记者 刘泓雨

网页篡改、计算机病毒、系统非法入侵、数据泄密……这些常常在电影中出现的情节其实离我们并不遥远。小到登录口令失窃，大到软件编写Bug、系统配置不当，复杂的计算机网络中，入侵者只要找到其中的一个漏洞，就能轻而易举地闯入系统。

您的网络系统安全吗？安全等级系数如何？有没有漏洞？哪里有漏洞？网络安全等级保护测评师能给您答案。

网络安全要守法 专业人士来评定

一块“黑盒子”连接起电脑，在电脑屏幕上的对话框中输入地址，屏幕上便显示出正在工作中的进度条……这便是网络安全等级保护测评中的现场测评情景，这块“黑盒子”学名叫做“漏洞扫描器”。操作的执行人赵楚，便是一位网络安全等级保护测评师，在业内通常简称为“等保测评师”。

今年7月，人力资源社会保障部发布公示，公告了19个“新职业”，等保测评师赫然在列。这个曾经被视为“小众”“冷门”的工种由此走进大众视野。

而今年也是赵楚成为“等保测评师”的第八个年头。赵楚在大学时学的计算机专业网络安全方向，2017年本科毕业，顺利入职了一家等保测评服务机构，成为了一名等保测评师。2019年，她通过社招来到徐州的江苏讯安信息安全技术有限公司（以下简称：讯安）。

“确切来说，‘等保测评师’是新公布的职业，而不是新出现的职业。实际上，随着《中华人民共和国网络安全法》的逐渐完善，这一职业也越来越与我们的生活息息相关。”赵楚告诉记者，“很多时候，不是因为入侵者有多么高明，只是因为没有做好网络安全的防护工作，不仅威胁到个人隐私和公共利益，更甚者对国家安全构成了严峻挑战。”

《中华人民共和国网络安全法》第二十一条规定，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

网络主体单位有保障网络安全的义务，那么相应的，一系列监管机制和措施也随之应运而生。而网络安全等级保护测评师便是提供客观评价的裁判员。

评判严格有标准 计划周详步骤细

目的是要提供客观的评价，因此“等保测评”工作有一套严格的流程与评判标准。接到任务后，一个3至4人的测评小组便出动了。赵楚是项目的总指挥，负责对项目进行统筹，以及与客户沟通交流。

赵楚告诉记者：“网络安全等级保护有一系列国家标准，定级有‘定级指南’，各个不同安全层级有相应的‘测评要求’，测评过程要参照‘测评指南’。”

“测评指南”全称是《信息安全技术网络安全等级保护测评过程指南》，对等级测评工作的各项任务、流程、风险等进行了概述。指南中规定，测评过程要经历4个环节，即前期调研、方案制定、现场测评和报告编制，每个环节都有标准。

项目启动后的第一步是对客户资产进行调研，这是测评工作的基础。测评小组派出一名测评师对客户的系统进行调研，小组长再根据调研结果确定需要实际评估的设备，并与客户沟通。在充分了解的基础上才能进行测评方案制定。

“调研需要测评师到现场实地探访，也要向客户问询，比如网络结构是什么样、网络安全措施有哪些、有哪些资产等。看起来是简单的工作，其实需要非常专业的知识技能。”赵楚说，“因测评过程中不可避免地会接触到客户机密，甚至影响运行，所以必须计划周详，逐步实施。”

制定好测评方案后，测评小组要根据方案进行现场测试。测评师们要登录到服务器、安全设备等软硬件进行现场核查，甚至还包括物理环境设施配置是否符合要求。

“测评组要完成安全通信网络、安全计算环境、安全管理制度等10个方面的测评任务，对于资产较多的客户，我们可能需要对上百个资产进行评估核查。”

用“漏洞扫描器”扫描漏洞只是检测的方式之一。有的项目还会包含“渗透性测试”，这是为了发现被测网络的缺陷，测试人员化身为黑客主动发动攻击。而这便是赵楚擅长的强项，之前她正是以渗透人员的身份转为等保测评师。

赵楚告诉记者：“渗透人员可能不是等保测评师，但等保测评师也需要有渗透的能力，此外还需要具备学习的能力、沟通的能力，同时处理多项任务的能力。”

由于项目工程量大，每个环节耗时3到5天不等，每个项目的测评周期需要耗时一到两个月，测评团队的工作往往以多条线交叉的形式进行。

专业技术门槛高 经验厚植竞争力

由于专业技术要求高，等保测评师上岗的前提条件是通过《国家网络安全等级保护测评师》专业资格考试。报考资格并不对社会开放，只有通过等保测评机构推荐的人员，才有机会参加。

先从业，再获得资质，这让机构承担了更多的用人培育成本。作为徐州地区唯一一家取得等级保护测评资质的公司，讯安总经理张陆陆告诉记者：“我们倾向于招聘计算机专业人才，专业不相关的学起来比较吃力。即便有一定专业基础，也要入职半年左右才能去参加资质考试。”

这对等保测评机构的人才培养机制提出了较高的要求。“招聘来的人才，入职以后跟着测评组实习，我们的测评小组是中级、初级测评师搭配的组合，外加带一两个实习人员。需要边工作边学习，考过初级只代表有了最基本的从业资格。”张陆陆说。

赵楚是通过一个类似等保测评机构俱乐部的网站来到讯安的，全国一共有200多家等保测评机构，信息全在这个网站上。作为团队中少有的女性测评师，当时她已经取得了等保测评师的中级职称。

“其实女性在这一行并不缺少竞争力，因为不像运维需要搬器械，需要体力。”赵楚说，“虽然从业者以年轻人居多，但是年长的等保测评师更擅长与客户沟通，这对于完成业务是非常有利的条件。”据了解，目前高级等保测评师徐州仅有两位。赵楚正在为之努力。