做信息安全等级保护和测评的职业前景怎么样？

01-16

本人本科学通信，今年毕业，之前去面试了一家在杭州做信息安全等级保护和测评的，公司不大，有没有能解答下这个行业职业前景好吗？对于个人未来发展好吗？这个行业大公司和小公司区别大吗？

技术含量不大，关键是短短几个月要对全国所有系统做等保，难免有过场之处，对企业的价值比内控低，但是这件事应该反过来想，能做SOX的也不是小公司了，所以等保聊胜于无，对于没有构建信息安全的企业来说还是能挖掘出价值的，只要别把等保=安全就行了

行业前景很好，收钱收得简直是坑爹，旺季做等保，淡季做做渗透

不想做？你看携程又给国家送案例了

等保。。。技术性要求不是很高。等保的技术主要看五大方面。物理，主机，网络，数据，应用。等保还有管理一方面，制度。物理安全，我举个例子，机房防风防雨防火防盗防破坏。当然在等保上叫法更专业。。从这一点看，物理上没多大技术含量，就是实地检查，或者访谈。主机安全。身份认证，恶意代码，审计。。这些主要是看主机系统的配置。技术含量也有限。网络安也是，通过几条命令，看看里面有没有配置符合。做等保公司。都小，要说上千人上万人。不可能，为什么？因为利润低，加上也没那么多资源。。一般做等保都坐二级要不就是三级，一级没人做，四级更很少，五级我是没见过。反正国家有五级系统。在安全这个行业，等保的价值差不多都是透明的，一个二级四万，一个三级八万。。公司除了交税，加上人工成本（30人日），还有商务留一万或者八千的。一个三级也没几万能剩下。可能有的公司不用这么多人。用几个人日就完事了。那是不付责，纯走形式，让我的话，现场都不用去。一天就写完等保保告。当然前提是已定级备案的情况下。。有的人问了。。做一个三级能剩下几万。那多做几个就是了。员工多点，公司利润不就上来了吗？少年，我只能说，你too Yang too simple。每个省，有资质做等保的平均六到七家。西藏，新彊少。以山东省为例。山东有七家来分山东整个市场的。山东是十七地市。算下来。。也没多少东西啊。。根据我了解的公安那边的情况。公安统计的的全省有八百个三级系统，但只有二百是到公安备案的。七家分这二百个三级？一家三十个。。连二百万的利润都不到。加上二级系统，也就二百万。。所以。纯干等保，公司不会太大。好多公司，等保只是一个业务部门。

—————————————————————————————————————————————————————————有个问我，为什么不发掘那六百个新客户。我来说一下原因。发掘是发掘，但发掘出来的很少。客户一旦定级备案了三级，每年必须要拿这八万来做。不做的话网警就要请领导喝茶谈谈了。二级没这要求。所以定级的时候。领导很慎重，一年八万。其实也不多。但好多单位对这一块的投入很少。可能就是零——————————————————————————————————————说的前景，干了几年你也会干够了。想跳槽，去安全公司吧，你会发现，你的技术很有限，渗透会吗？不会，代码审计会吗？也不会。说的自私一点，跟老板谈薪资的时候也没底气。一般这个行业，工资没有太高的。平均三四千。时间久了五千六千不少了。但想拿一万，少年，梦境有点美好。但做一会就行了，明天还要上班呢。

难怪都说服务商的人员流动特别大。

关注这个问题有一段时间了，几个关于这个问题的答案负能量都颇重，也可能是发家前辈们都很忙，很低调；

今年刚考到初级测评师证书，从业刚满一年；

针对楼主的几个问题回答

一、职业前景好吗？

答:不好

二、对于个人未来发展好吗？

答:好

三、这个行业大公司和小公司区别大吗？

答：大

不知道题主为何想进信息安全行业，高薪？因为人才缺口，发展形势一片大好？从职业规划上来讲，我们需要切实的分析自身才能悟出答案；

0x00 为什么找这行的工作？

如果将信息安全行业细分，通信行业本身可从事的行业选择很多；

抛开甲方安全部门不论，只针对乙方安全而言，主要为三类公司；

1）安全设备公司（绿盟科技，启明星辰、网御星云等....）

2）服务型公司（集成商、等级保护、安全运维等....）

3）技术产品公司（终端安全、数据加密与审计等.....）

0x01 入职这家公司的原因？

本身信息安全行业市场人才缺失，有一番志向却还是选择了留在二线城市里摸爬滚打的人，有两种：

1、能力不足以进大公司；

2、资金不足以云游四海；

0x02 等级保护面临的挑战

1、信息安全业务推动困境。

1）面临新一轮的安全服务公司成立，安全厂家品牌之下的安全服务推进较猛，且已开始低价开始扩展安全业务，并且具备一定的优势。

2）客户应付合规，工作形式化。我们并不能很好地解决这个问题，导致价值未能体现。

3）过度依赖于人力，且测评师水平参次不齐，横向表现是对信息安全体系的理解全局观不强，纵向表现是对信息安全纵深防护掌握不透。

4）测评项目机械化，且工作效率极低，测评结果未体现成效与价值，客户体验差。

0x03 通过工作可以学到什么？

1、以上种种的困境，我学会的知识；

1）硬技能

安全风险管理 ：行业内的人总是在说：“3分技术7分管理”；而等保基本要求主要由技术层面与管理层面组成；技术层面由【物理，主机，网络，数据，应用】5个层面组成，管理层面由【安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理】5个层面组成；

2）软技能

与客户交往经验：从事等保后，你会发现很多时候并不是光是会做技术就可以混的风生水起。如果客户不配合，工作将停滞。客户关心的两点是我们实施工作的关键，1、解释自己的工作，客户需要知道你来是为了做什么！2、规避工作时造成系统瘫痪，必要时协助客户恢复系统正常运行！

文档报告编制：测评发现的很多问题，我们只是流于表面，而没有进行深入的了解与分析。实际上，客户着重需要我们解决的问题也基本存在于此。文档的描述清晰，助于体现我们工作的价值；

0x04 在职福利和发展？

在等级保护这个行业里工作，我想我们最大的福利就在于可以白盒接触到客户的网络拓扑，应用源码和技术文档；虽然很多单位的管理和开发实在是糟糕。但我们并不能以偏概全。遇到单位将技术工作外包，我们即可接触到优秀应用程序源码和相关设计文档，集成项目实施文档，经典网络架构部署、安全设备以及常见弱点；当然也会不断地积累各类安全集成厂商、安全产品的相关人脉；对渗透测试能力、代码审计能力的提升也大有益处，毕竟白盒找问题比黑盒找问题流畅多了。

针对不同类型的安全问题进行统计，用数据分析出常见的安全问题，制定规则扩大扫描范围和更新测试方法，成功率总会比别人高一点~^o^~；

（至于工作中为啥不能学习新知识？得取决你的领导和队友们对于项目管理的把控是否合理，严肃脸?_?）

尤其是现在信息安全行业人才缺失。你掌握了足够的技术能力后有两种选择；

1、从客户群体中分析客户的需求，寻觅合作的机会。

例如我们公司从前有位前同事离职后就专职做虚拟化服务，因为早期时虚拟化技术不够成熟，客户每年支出大量服务器资源，却一直没有可靠的解决方案，他留心到这一块儿的诉求后，专职研究虚拟化技术为客户提供解决方案，毕业几年现在似乎已准备买房结婚；

2、当把等级保护的技术+管理十个层面的控制点，要求项背熟后，对于写渗透测试报告，写项目实施文档。设计安全体系框架时也可谓是【前期背书背的头晕眼花觉得没有什么用，后期翻翻笔记就觉得思如涌泉】；

学会这么多东西后，如果领导对行业的眼光和战略方向依旧没有改变，那么考虑换公司吧！

0x05 这行的待遇怎么样？

嗯，待遇应该是根据市场份额和公司领导决定的。我司待遇平均6-7K左右，

当然二、三线城市别要求那么高。买房没指望买车还是可以考虑一下的。比如我现在的车牌子是绿源。

blalala.....最后我弱弱问一下楼主面试后，入职了么？

背熟等保，天下我有，千秋万载，一统江湖！

刚入坑两天，持续关注~

作为一个从业五年测评师老实告诉你，混了五年这个行业，就他妈学会扯嘴皮子。刚毕业时还会点技术，做这个几年后啥技术都不会了，就一个靠着政策吃饭的行业。

等级保护技术体系并不复杂，如果你想在安全行业或者咨询测评等机构谋求好的发展平台，光靠做等保当然远远是不够的。目前国内围绕等保的测评、实施和咨询等方面的行业平台已经很成熟了，等保这一中国出台的安全体系标准（当然，标准制定之初也是参考国外成熟体系），自然也带了一些中国特色，比如各地的测评、实施和产品厂商互相结成不同的利益共同体，乙方低价战、甲方走过场，缺少规范性等等这些都是束缚等保制度未来发展的瓶颈阻碍，而这其中的各方人员的职业发展前景也可想而知。相比较而言，ISO、ITIL、COBIT、PCI、SOX这些国际主流标准在国内要规范许多。

我是今年介入网络安全测评，也是犹豫不定，新公司不知道以后发展怎么样？

刚接到信息安全顾问的offer，题主能分享下现在的工作情况吗

一个系统。想要方便，就很难做到安全。想要安全就很难做到方便。等保三级固然是对安全方面做了很好的规定，但对于用户，这样的安全限制是否会适应，投入更多的设备是否会买账，是否有足够的技术人员补充到这套系统的运维中。这些都是企业实实在在面临的问题。举个简单的例子，我们大概很多人都经历过检车，我们平时行驶的车辆我们或许会很适应，但是大多数去年检验车的时候都会有不合格的项目。比如车灯不合格。比如玻璃不能有贴膜。比如车里一定要有灭火器，比如车辆不能有任何改装，为了检查。我们多半会去调整这些问题。但检查过后。我们为了方便或者一些使用习惯。还是会把这些改过的部分在调整回来。

持续关注，入坑4个月。

有前辈肯带带我吗，初进等保这个坑，求指导

分公司