等保测评FAQ

之前写过一篇关于等保测评的相关介绍《一起聊聊等保测评》，发现大家对于等保测评这个还是很关注的，有些人问等保测评这份工工作的，也有些人问关于等保测评一些指导意见的，这篇文章我想把大家的问题来总结一下，让大家对等保测评有一个更深入的认识。
1.首先我想先来说说等保测评师这个职位，这个职位的未来发展方向又是怎样的呢？
在说这个职位之前呀我们先来看看这个职位的工作职责是什么？下面我找了几个知名等保测评机构的招聘信息。



这类的招聘信息还是有很多的，我这里就不一个一个列举出来了，那我们先从薪资来说一说这份工作吧。
北京、上海、广州：平均在10-15K左右
河北、成都、西安：平均在8-13K左右
由以上可以看出薪资方面还是比较不错的，当然这个薪资的高低跟区域划分、个人能力等多方面因素有关，刚入门的小伙伴如果在二线或三线城市的话可能入门薪资也就在3-8K之间，更多的是5K左右，相对于二线三线城市薪资应该算是比较合适的了，像北上广深这种一线城市可能刚毕业入门的话薪资在7-10K之间，当然这只是我招聘信息结合二三线城市的情况去推断出来的，具体的薪资情况要看企业和面试情况去定的。

说完薪资我们再来看看等保测评师的工作职责是什么？下面我总结了下招聘信息中所提到的一些关键性的工作职责。

1. 等保测评的项目实施及管理，包括等保测评的物理安全测评、主机安全测评、数据安全测评、应用安全测评、风险评估、差距分析等并编制相关报告。
2. 完成信息安全等级保护测评、信息安全咨询、信息安全风险评估等项目的技术支持工作，能够为客户提供信息安全等级保护、信息安全风险评估以及其他信息安全知识的培训；
3. 负责等级保护测评项目、信息安全风险评估项目以及其他信息安全项目的投标应答、讲解与答疑；

看到上面的工作内容基本上已经涵盖了等保测评师的所有工作内容了，但是招聘信息一般写的都比较文字化不够直白，当然做过类似工作的肯定一看就知道是怎么回事，没有做过的看到上面内容一般就会认为这个工作不就是个文职类工作嘛，平时也就写写报告，写写投标文件啥的嘛，其实并不是这样的等保测评涵盖的工作有很多，不但你要有写作能力还要有技术能力才行的。下面我来说一说这个工作的具体工作内容

1. 事前
   • 项目方案：当销售挖掘到客户需求之后，就需要等保测评师来针对客户的具体需求来出具测评项目整体方案
   • 答疑解惑：上面有了项目方案就需要给客户讲解整个项目的方案和解答客户所提出的问题。比如：方案优势、测评流程、职责划分等等一系列问题
   • 招投标：配合客户测制作招标文件，投标中技术参数、偏离表等等，当然这个会有项目经理带着一起做，有些公司没有项目经理就需要自行解决啦，还有很重要的一个环节就是招投标答疑，这个是很重要的招投标的关键点，但不是所有项目都需要答疑的
2. 事中
   • 项目启动会：这个项目启动会一般是在客户测进行召开的，由等保测评公司发起客户测人员参与的这样一个会议，在这个项目启动会中要将项目进行立项，明确工作内容、划分工作职责、确定工作流程、确认工作时间点、收集信息等等
   • 定级、备案：这里是要协助配合客户来完成的，按照正常流程是由客户测来完成，考虑到客户测对流程不了解，所以由测评师来协助完成，在这里要明确客户测系统测评等级、需要测评的系统等等，需要编写备案表、备案报告和一些纸质的相关资料。
   • 专家评审：这个专家评审是由测评公司向公安部申请，由国家专家库中派遣或抽取相应的三个专家，专家去客户测现场了解情况，了解后在相关文件中进行签字，签字完成后会由客户测拿着定级报告等材料去公安部进行备案，备案完成后会发放电子版测评证书。
   • 系统测评：前面的工作都是准备工作，系统测评才是最重要的一部分，在这个模块中等保测评师需要对客户测系统进行现场测评，测评前打印测评表，按照测评表中测评项对客户的业务系统进行一条一条的查看检查，检查大项包括：物理环境、主机环境、数据库环境、应用环境、安全边界环境等等，这里是最重要的也是需要技术的，因为你需要一项一项的去的按照规则去查看他有没有配置相应的策略等等，在此你还需要对系统进行漏洞扫描、渗透测试等等一些工作。
   • 整改报告：在上一步对系统测评做完测评后会先编辑制作一份整改报告，整改报告内容包含不满足的测评项以及整改建议，当然这个期间也会对客户的系统出一个大概的分数，不满足就需要客户整改后再进行一次测评，如果满足的话就直接往下进行并且告知客户测哪些项不满足。
   • 测评报告：这个就是测评工作的最后一个内容了，也是需要花费大量时间去完成的一个工作了，在此你可能会有很多时间是在加班做的，因为在此期间也会其他项目去做的，这里会把所有的测评结果列出来，完成之后会交由公安部进行审核没问题最后会给到客户一份。
3. 事后
   大家是不是以为测评都完成了就没有后续了吧，往往不是这样的看过我写的上一篇关于等保测评的同学大家都知道测评完成了之后还有一项就是公安部会不定期不定时的会抽取行业内的一些系统进行检查的，如果被抽到的了那恭喜了，你们就需要提前联系客户去再进行一次现场测评，这一次不需要出具任何纸质资料，但是测评结果要和你提交的测评报告一致，不然公安部查出后客户测以及测评机构也会受到一些处罚的。

以上就是测评工作的基本所有内容了，所以说这份工作并不是一份纯文职的一份工作，更多的还是需要有一些技术功底的。因为很多工作都是在客户现场做的，所以会涉及到频繁的出差的。

说了职责那再来说说这个职位要有哪些能力才能从容的面对这份工作？下面是我在招聘信息中整理出来的一些要求：

1. .熟悉计算机系统和网络设备的操作,至少精通一种操作系统的安全机制和配置（Windows，Linux，Unix）；熟悉数据库系统的安全机制和配置；熟悉安全协议、网络安全体系架构、安全技术和应用，熟练配置管理主流信息安全产品；
2. 对系统安全、网络安全以有深入理解,熟悉网络安全相关标准，如风险评估规范，等级保护，ISO27001等；
3. 持有网络安全等级测评证书（初级、中级、高级）和具有网络安全等级测评工作经验者或安全服务工作经验者优先；

大致基本上就是上面的这些要求，每个公司之间的要求基本上都大差不差的，下面我来总结下具体需要哪些能力：

1. 首先就是你必须要有一定的网络知识的基础，比如：路由器、交换机、防火墙等设备的配置和工作原理。
2. 熟悉服务器版本的操作系统，比如：Centos、Ubuntu等liunx操作系统，windows server 2012 R2、windows sevrer 2016等windows操作系统，甚至你还要熟悉AIX系统和unix操作系统，以及国产操作系统如麒麟、UOS等等。
3. 要熟悉数据库系统，如MySql、SQL server、DB2、Oracle等数据库安全配置以及使用。
4. 对各类攻击性行为的工作原理以及防护防护方法方式有一定的理解和熟知，比如：SQL注入、木马、勒索病毒等等
5. 要对国家网络安全的相关标准有一定的了解或熟悉，比如ISO27001、网络安全等级保护基本要求等等，都要有一定的熟悉。
6. 写文件比较多当然要有一定的写作功底。

以上就是我总结的一些基础，除了以上的能力之外可能还需要很多其他的能力，所需能力基本上就这些，大家有需要补充的可以告诉我我来补充。

总结一下吧，这份工作呢整体来说还是很不错的，也有较大的成长空间，涉及的面相对来说也比较广，各方面都可以涉及的到，对于应届生刚步入社会不知往哪个方向发展，可以考虑先来做等保测评师通过这份工作来积累经验和了解各个方向的利弊，选择后续自己发展的一个重点，当然后续继续在这方面发展也是完全不错的，这份工作和其他IT行业的工作类似都是需要有证书和能力来提升自己的薪资，从事这个工作的建议大家都去考测评师证书，很多企业入门都是要求有这个证书的。

2.企业业务系统部署在公有云了或者托管到了运营商的IDC机房是不是就不需要做等保了？
首先来说下哈不管是你托管到别人的机房还是把业务系统部署到了公有云都是需要做等保测评的，根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，该系统责任主体还是属于网络运营者自己，所以还是得承担相应的网络安全责任，该进行系统定级的还是得定级，该做等保的还是得做等保。
系统上云或托管后，并不是安全责任主体转移，只是系统所在机房地址的变更，当然在公有云模式下，Iaas、Paas、Saas不同模式相应的安全责任会有些区别，但是并不是没有责任。部署到公有云或者IDC机房当中只不过是底层资源是已经过了等保测评的，但整体的应用你还是没有过等保测评，所以还是要做的，流程还是哪些流程，不过就是有一部分不需要由自己来负责了，只需要把自己负责的一部分做好防护就可以了。
3.系统定级是不是越低越好，定的低了所需的安全就少一些，这样就会减少很多资金投入了？
这肯定是不对的，最终定级是根据受侵害的客体以及对客体侵害的程度来确定的，以事实为根据，而不是主观随意定级。定级低了，表面上要求更容易满足，但相应的防护措施也相对不足，万一你的系统不小心被攻击破坏造成一定不良影响，在主管部门进行责任认定追查时，很有可能就会因为系统定级不合理，安全责任没有履行到位而被处罚。
4.只要保证不出事，是不是不做等保测评也可以？
只要是需要做的就不能不做，《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（五）法律、行政法规规定的其他义务。不做等保就属于第五个行为，国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做，不要等。
5.系统在内网，数据不出公司是不是就可以不用做等保测评了？
这个肯定是不对的，首先所有非涉密系统都属于等级保护范畴，和系统在外网还是内网没有关系。其次在内网的系统往往其网络安全技术措施做的并不好，甚至不少系统已经发生了安全事件。所以不论系统在内网还是外网都得及时开展等保工作。
6.做等保测评就意味着一定要去整改吗？会不会花费很多资金来做整改？
这个不一定，整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值，如果信息系统在建设阶段，采取了完备的安全技术手段，整改工作不一定要花很多钱甚至不花钱。
7.信息系统上云就安全了？
很多单位认为网站和信息系统上云后就安全了，等保不用做了。这样是不对的，信息系统是否上云，安全责任主体都不会变。各类云平台只提供平台和简单的安全措施，安全责任主体单位还是要按等保要求落实相应的安全工作，只是物理和环境安全等部分安全工作由云平台承担。