信息安全等级保护

做信息安全等级保护和测评的职业前景怎么样？修改1、技术含量不大，关键是短短几个月要对全国所有系统做等保，难免有过场之处，对企业的价值比内控低，但是这件事应该反过来想，能做SOX的也不是小公司了，所以等保聊胜于无，对于没有构建信息安全的企业来说还是能挖掘出价值的，只要别把等保=安全就行了行业前景很好，收钱收得简直是坑爹，旺季做等保，淡季做做渗透不想做？你看携程又给国家送案例了2、等保。。。技术性要求不是很高。等保的技术主要看五大方面。物理，主机，网络，数据，应用。等保还有管理一方面，制度。物理安全，我举个例子，机房防风防雨防火防盗防破坏。当然在等保上叫法更专业。从这一点看，物理上没多大技术含量，就是实地检查，或者访谈。主机安全。身份认证，恶意代码，审计。这些主要是看主机系统的配置。技术含量也有限。网络安也是，通过几条命令，看看里面有没有配置符合。做等保公司。都小，要说上千人上万人。不可能，为什么？因为利润低，加上也没那么多资源。。一般做等保都坐二级要不就是三级，一级没人做，四级更很少，五级我是没见过。反正国家有五级系统。在安全这个行业，等保的价值差不多都是透明的，一个二级四万，一个三级八万。。公司除了交税，加上人工成本（30人日），还有商务留一万或者八千的。一个三级也没几万能剩下。可能有的公司不用这么多人。用几个人日就完事了。那是不付责，纯走形式，让我的话，现场都不用去。一天就写完等保保告。当然前提是已定级备案的情况下。。有的人问了。。做一个三级能剩下几万。那多做几个就是了。员工多点，公司利润不就上来了吗？少年，我只能说，你tooYangtoosimple。每个省，有资质做等保的平均六到七家。西藏，新彊少。以山东省为例。山东有七家来分山东整个市场的。山东是十七地市。算下来。。也没多少东西啊。。根据我了解的公安那边的情况。公安统计的的全省有八百个三级系统，但只有二百是到公安备案的。七家分这二百个三级？一家三十个。。连二百万的利润都不到。加上二级系统，也就二百万。。所以。纯干等保，公司不会太大。好多公司，等保只是一个业务部门。—————————————————————————————————————————————————————————有个问我，为什么不发掘那六百个新客户。我来说一下原因。发掘是发掘，但发掘出来的很少。客户一旦定级备案了三级，每年必须要拿这八万来做。不做的话网警就要请领导喝茶谈谈了。二级没这要求。所以定级的时候。领导很慎重，一年八万。其实也不多。但好多单位对这一块的投入很少。可能就是零——————————————————————————————————————说的前景，干了几年你也会干够了。想跳槽，去安全公司吧，你会发现，你的技术很有限，渗透会吗？不会，代码审计会吗？也不会。说的自私一点，跟老板谈薪资的时候也没底气。一般这个行业，工资没有太高的。平均三四千。时间久了五千六千不少了。但想拿一万，少年，梦境有点美好。但做一会就行了，明天还要上班呢。背熟等保，天下我有，千秋万载，一统江湖！3、难怪都说服务商的人员流动特别大。关注这个问题有一段时间了，几个关于这个问题的答案负能量都颇重，也可能是发家前辈们都很忙，很低调；今年刚考到初级测评师证书，从业刚满一年；针对楼主的几个问题回答一、职业前景好吗？答:不好二、对于个人未来发展好吗？答:好三、这个行业大公司和小公司区别大吗？答：大不知道题主为何想进信息安全行业，高薪？因为人才缺口，发展形势一片大好？从职业规划上来讲，我们需要切实的分析自身才能悟出答案；0x00为什么找这行的工作？如果将信息安全行业细分，通信行业本身可从事的行业选择很多；抛开甲方安全部门不论，只针对乙方安全而言，主要为三类公司；1）安全设备公司（绿盟科技，启明星辰、网御星云等....）2）服务型公司（集成商、等级保护、安全运维等....）3）技术产品公司（终端安全、数据加密与审计等.....）0x01入职这家公司的原因？本身信息安全行业市场人才缺失，有一番志向却还是选择了留在二线城市里摸爬滚打的人，有两种：1、能力不足以进大公司；2、资金不足以云游四海；0x02等级保护面临的挑战1、信息安全业务推动困境。1）面临新一轮的安全服务公司成立，安全厂家品牌之下的安全服务推进较猛，且已开始低价开始扩展安全业务，并且具备一定的优势。2）客户应付合规，工作形式化。我们并不能很好地解决这个问题，导致价值未能体现。3）过度依赖于人力，且测评师水平参次不齐，横向表现是对信息安全体系的理解全局观不强，纵向表现是对信息安全纵深防护掌握不透。4）测评项目机械化，且工作效率极低，测评结果未体现成效与价值，客户体验差。0x03通过工作可以学到什么？1、以上种种的困境，我学会的知识；1）硬技能安全风险管理：行业内的人总是在说：“3分技术7分管理”；而等保基本要求主要由技术层面与管理层面组成；技术层面由【物理，主机，网络，数据，应用】5个层面组成，管理层面由【安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理】5个层面组成；2）软技能与客户交往经验：从事等保后，你会发现很多时候并不是光是会做技术就可以混的风生水起。如果客户不配合，工作将停滞。客户关心的两点是我们实施工作的关键，1、解释自己的工作，客户需要知道你来是为了做什么！2、规避工作时造成系统瘫痪，必要时协助客户恢复系统正常运行！文档报告编制：测评发现的很多问题，我们只是流于表面，而没有进行深入的了解与分析。实际上，客户着重需要我们解决的问题也基本存在于此。文档的描述清晰，助于体现我们工作的价值；0x04在职福利和发展？在等级保护这个行业里工作，我想我们最大的福利就在于可以白盒接触到客户的网络拓扑，应用源码和技术文档；虽然很多单位的管理和开发实在是糟糕。但我们并不能以偏概全。遇到单位将技术工作外包，我们即可接触到优秀应用程序源码和相关设计文档，集成项目实施文档，经典网络架构部署、安全设备以及常见弱点；当然也会不断地积累各类安全集成厂商、安全产品的相关人脉；对渗透测试能力、代码审计能力的提升也大有益处，毕竟白盒找问题比黑盒找问题流畅多了。针对不同类型的安全问题进行统计，用数据分析出常见的安全问题，制定规则扩大扫描范围和更新测试方法，成功率总会比别人高一点~^o^~；（至于工作中为啥不能学习新知识？得取决你的领导和队友们对于项目管理的把控是否合理，严肃脸눈_눈）尤其是现在信息安全行业人才缺失。你掌握了足够的技术能力后有两种选择；1、从客户群体中分析客户的需求，寻觅合作的机会。例如我们公司从前有位前同事离职后就专职做虚拟化服务，因为早期时虚拟化技术不够成熟，客户每年支出大量服务器资源，却一直没有可靠的解决方案，他留心到这一块儿的诉求后，专职研究虚拟化技术为客户提供解决方案，毕业几年现在似乎已准备买房结婚；2、当把等级保护的技术+管理十个层面的控制点，要求项背熟后，对于写渗透测试报告，写项目实施文档。设计安全体系框架时也可谓是【前期背书背的头晕眼花觉得没有什么用，后期翻翻笔记就觉得思如涌泉】；学会这么多东西后，如果领导对行业的眼光和战略方向依旧没有改变，那么考虑换公司吧！0x05这行的待遇怎么样？嗯，待遇应该是根据市场份额和公司领导决定的。我司待遇平均6-7K左右，当然二、三线城市别要求那么高。买房没指望买车还是可以考虑一下的。比如我现在的车牌子是绿源。