如何成为信息安全等级测评师？具体有哪些要求？-CSDN博客

本文链接：https://blog.csdn.net/2402_84205067/article/details/142813121

文章目录

前言
- 信息安全等级测评师
- - 定义与作用：
  - 证书颁发：
  - 能力要求：
  - 考试对象
  - 报名
  - 培训
  - 考试
  - 证书
- 信息安全等级测评师认证 Q&A
1️⃣网络安全零基础入门
- ① 学习路线
- ② 路线对应学习视频
2️⃣视频配套资料&国内外网安书籍、文档
- ① 文档和书籍资料
- ② 黑客技术
3️⃣网络安全源码合集+工具包
4️⃣网络安全面试题
资料领取

前言

信息安全等级测评师

定义与作用：

为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作的顺利开展，公安部下发了**《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）**，对等级测评工作、等级测评机构建设以及等级测评人员进行了规范和要求。要求开展等级测评的人员参加专门培训和考试，并取得《信息安全等级测评师证书》。

证书样式（图片来自百度百科）

证书颁发：

等级测评人员需持等级测评师证上岗。公安部信息安全等级保护评估中心（以下简称“评估中心”）是由公安部为建立信息安全等级保护制度，构建国家信息安全保障体系而专门批准成立的专业技术支撑机构，评估中心受国家信息安全等级保护工作协调小组办公室委托，对从事等级测评的人员进行培训和考试，对考试合格人员颁发相应的《信息安全等级测评师》证书。

能力要求：

信息安全等级测评师分为初级等级测评师、中级等级测评师和高级等级测评师三级。

初级等级测评师: 初级等级测评师又分为技术和管理两类。了解信息安全等级保护的相关政策、标准；熟悉信息安全基础知识；熟悉信息安全产品分类，了解其功能、特点和操作方法；掌握等级测评方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据；能够按照报告编制要求整理测评数据。

中级等级测评师: 熟悉信息安全等级保护相关政策、法规；正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展；掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的基础和实践经验；具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法，具有较强的组织协调和沟通能力；能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程；能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力；了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题，提出合理化的整改建议。

高级等级测评师: 熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展；对信息安全等级保护标准体系及主要标准有较为深入的理解；具有信息安全理论研究的基础、实践经验和研究创新能力；具有丰富的质量体系管理和项目管理经验，具有较强的组织协调和管理能力；熟悉等级保护工作的全过程，熟悉定级、等级测评、建设整改各个工作环节的要求。

考试对象

信息安全等级测评师培训及考试对象是等级测评机构中从事等级测评工作的测评人员。要求这些测评人员在具备信息安全基础知识的前提下，参加初级、中级或高级等级测评师的专门培训和考试，从而满足等级测评工作岗位的需要。

（ 1）初级等级测评师 初级等级测评师的培训对象是网络安全、主机安全、应用安全、安全管理和工具测试人员等。报考人员需要具备信息安全基础知识和信息安全相关工作经验,熟悉TCP/IP 网络协议，了解标识与鉴别、访问控制等安全技术及原理，熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。

（2）中级等级测评师 中级等级测评师的培训对象是项目负责人（或项目组长）。报考人员需要具备信息安全理论基础，对系统安全、网络安全、应用安全等有深入了解,作为项目负责人组织实施过信息系统安全测评项目，熟悉国内外信息安全相关产品的特性，具有较丰富的测评实践经验、良好的沟通协作和文字表达能力。

（ 3）高级等级测评师 高级等级测评师的培训对象是技术负责人（或技术总监）。报考人员需要具备信息安全理论基础，具有信息安全理论、信息安全技术的研究和实践经验，从事过网络信息安全方面的测评、规划、设计、实施、运维等工作。熟悉信息安全标准和产品特性，熟悉信息安全技术发展动向。

报名

1.报名申请

信息安全等级测评师培训及考试报名以等级测评机构为单位统一报名。采用测评机构统一推荐的方式，依照“岗位对应，比例协调”的原则进行。初、中、高级等级测评师分别对应等级测评机构的测评员、项目负责人（或项目组长）和技术负责人（或技术总监）三个工作岗位。各等级测评机构应当根据人员岗位按65%、30%和5%的比例推荐本单位测评人员报名参加初、中、高级等级测评师的考试（其中，初级等级测评师又分为技术和管理两类）。例如，一个测评机构有测评人员15名，按照初级（技术）8名，初级（管理）2名，中级4名，高级1名的比例报名。

2.报名确认

评估中心对等级测评机构的报名比例和人员基本情况进行核对，核对通过的，通知等级测评机构的报考人员登录培训系统进行报考人员信息注册（现阶段培训系统未上线前采用线下填报人员信息表）。

对于报考人员比例不符合要求的等级测评机构，评估中心将通知其进行相应的调整后重新报名。对发现人员基本情况明显不具备培训基础的报考人员，评估中心告知等级测评机构该报考人员可能无法通过等级测评师的考试。

3.报名交费

通过报名确认后，评估中心通知等级测评机构按照报名的情况缴纳培训和考试费用。培训和考试费以等级测评机构为单位一次交纳。收费标准依据《等级测评师培训及考试收费标准》。报名交费采用汇款或支票的方式。

培训

评估中心组织对报考初、中和高级等级测评师考试的人员进行专门的培训，通过培训后方可参加相应的等级测评师考试。人员培训采用网络培训和集中培训相结合的方式（现阶段培训系统未上线时采用集中培训方式）。网络培训要求学员通过互联网登录培训系统在线接受培训。网上培训完成后，参加集中培训。集中培训以重点内容、复习、现场答疑和考前辅导为主。评估中心提前公布集中培训计划，集中培训原则上根据报名情况具体安排培训时间和地点。

1.培训课程安排

级别	培训课程	课程设置目的
初级	信息安全等级保护政策	了解信息安全等级保护的相关政策、标准。
等级保护相关标准应用	了解信息安全等级保护的相关政策、标准。	-
网络安全测评	熟悉网络测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工作。
主机安全测评	熟悉主机测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工作。
应用和数据安全测评	熟悉应用和数据库安全测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工作。
安全管理和物理测评	熟悉安全管理和物理测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；能够按照报告编制要求整理测评数据，开展等级测评工作。
工具测试方法	掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据。
中级	信息安全等级保护政策	熟悉信息安全等级保护相关政策、法规。
等级保护相关标准应用	正确理解信息安全等级保护标准体系和主要标准内容。	-
信息系统安全等级保护基本要求	熟悉标准结构，熟悉不同级别系统之间的差别、熟悉各级安全要求内容。
信息系统安全等级保护测评方法	熟悉信息安全等级测评方法，能够独立开发测评指导书，并熟悉测评指导书的开发、版本控制和评审流程；能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。
信息系统安全等级保护测评实施	熟悉等级测评项目的工作流程和质量管理的方法。
项目管理	熟悉项目管理的主要内容和关键环节。掌握项目质量管理、进度管理、风险管理方法。
高级	信息安全等级保护政策	熟悉信息安全等级保护相关政策、法规。
等级保护相关标准应用	正确理解信息安全等级保护标准体系和主要标准内容。	-
美国信息系统安全保护政策和标准	熟悉和跟踪国外信息安全的相关政策、法规及标准的发展。
我国信息安全标准体系	熟悉信息安全等级保护标准体系及主要标准。
信息安全技术发展趋势	掌握网络与信息安全的理论基础和发展趋势。
信息系统测评原理与方法	掌握系统测评的原理和方法以及测评过程。
测评机构的质量体系建设	熟悉质量体系和制度建设的主要内容。

2.参考教材

评估中心专门为信息安全等级测评师编写了培训教材，教材分为信息安全等级测评师培训教材（初级）、信息安全等级测评师培训教材（中级）和信息安全等级保护政策培训教程。

考试

1. 考试方式

（1）初级等级测评师

初级测评师考试采用笔试的方式，满分100分,合格分数线为60分；笔试时间为120分钟。

（2）中级等级测评师

中级等级测评师考试采用笔试加面试的方式，满分100分, 笔试和面试成绩各占50分，合格分数线为60分；笔试时间为120分钟，面试时间为15分钟。评估中心组织专家对参加中级等级测评师考试的考生进行面试。参加面试人员需要介绍本人参加过的系统测评项目的情况及承担的主要工作（5分钟），专家通过质询及评审相关材料对面试人员的能力进行考评。（评审相关材料主要包括测评指导书和等级测评报告，等级测评机构派专人将面试人员负责编写的测评指导书和测评报告送达面试现场，面试结束后收回。）

如果测评机构的现场能力评估在面试之前，面试人员的测评指导书和报告的编制情况也可在等级测评机构现场能力评估时考核。

（3）高级等级测评师

高级等级测评师考试采用笔试加面试的方式，满分100分，笔试占40分，面试占60分；笔试时间为100分钟，面试时间为20分钟。评估中心组织专家对参加高级等级测评师考试的考生进行面试。参加面试人员需要提交本人工作总结，并简要介绍主要项目经历（5分钟）。专家通过质询及评审相关材料对面试人员的能力进行考评。

（注：以上考试模式是以最初形式为例，近几年会略有调整，具体以考试当年要求为准。）

5.2 考试时间

等级测评师笔试时间安排在集中培训后进行，在笔试结束后进行中、高级等级测评师的面试。评估中心提前公布笔试及面试具体时间安排。并通知考生提前登录培训系统打印准考证。

5.3 成绩公布

考试结束五个工作日后，评估中心公布考试通过人员名单。应考人员对考试结果有异议的，应当在考试结果公布之日起五日内向评估中心提出成绩查询申请。评估中心按照成绩查询程序受理，并在五个工作日内反馈查询结果。未通过考试的人员，可以免费参加一次集中培训，但参加考试需要重新报名和交费。

5.4考试纪律

考生应当遵守《等级测评师考试考场规则》，违反考场规则的，将依据《等级测评师考试违纪作弊处理规则》对其进行处理。报名参加考试的人员，有违反考试规定或弄虚作假的，两年内不受理其考试报名申请；已经参加考试的，取消考试成绩。

证书

1.证书获取

在考试结果公布后，评估中心统一印制并颁发《信息安全等级测评师》证书。证书颁发以测评机构为单位，通过测评机构转发给获证人员。

2.证书使用

《信息安全等级测评师》证书应当妥善保管，不得涂改、出借、出租和转让。

3.证书换发

《信息安全等级测评师》证书如有遗失，应当由所在测评机构出具证明，向评估中心提出证书补发申请。《信息安全等级测评师》证书因损毁影响使用的，可以向评估中心申请更换新证书，更换新证书的，原证书应当收回。

4. 证书查询

评估中心定期更新《信息安全等级测评师》证书持有人目录，并向社会公布，可以通过网站查验《信息安全等级测评师》证书的真实性。

信息安全等级测评师认证 Q&A

1、如何报名考试？

信息安全等级保护测评师认证考试目前仅对测评机构和通过测评机构申请初审的单位的工作人员进行考核、发证，未对社会公开考试。也就是说个人及普通单位都无法报名考试。

2、证书有效期多久？

信息安全等级测评师证书仅当该人员在测评机构任职时有效。测评师离职6个月内，换工作到另一家测评机构工作，可由接受单位帮助办理迁移变更；离职超6个月，再入职测评机构的测评师，应通过测评师考试后从事测评活动；自离职之日起一年内未入职测评机构从事测评活动的，证书将被注销。（节选自《网络安全等级保护测评机构管理办法》第二十六条（公安部第十一局 2018年3月23日）

3、培训及考试费用？

初级等级测评师培训费2800元/人，中级3500元/人，高级3000元/人；考试费初级600元/人，中级（含面试）2000元/人，高级（含面试2500元/人；住宿费和教材费用另算，培训都是先看网络视频自己翻教材，现场培训两天然后马上考试。以上为第20期的数据。（该价格信息查自网络，仅供参考。）

4、相关规定

第十条初审通过的申请单位，应组织本单位人员参加测评师培训。考试合格的，取得测评师证书。测评师分为初级、中级和高级。申请单位应至少有15人获得测评师证书，其中高级测评师不少于1人，中级测评师不少于5人。（出自《网络安全等级保护测评机构管理办法》第十条（公安部第十一局 2018年3月23日）

—END—

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。