安全岗位大揭秘——安全专家

*事先声明：所有理解基于主包个人经历及身边师傅的一些探讨，每个公司每个岗位的情况千差万别，每个人的个性和理解也千差万别，仅作参考！

打死我也想不到，真的有个岗位它就叫专家！

一、碎碎念

严格来说专家并不是一个标准的岗位名称，而是一个头衔，或者说是一种职称。

我最早了解到的“专家”是某大厂派来忽悠客户的一个部门经理，当时客户白嫖了他们的设备挺久，奈何客户每年贡献的流水都很大，没招啊！谁敢得罪呢？无非就是不给钱白嫖测试授权嘛...可时间长了人家也坐不住了，就借着拜访客户、给客户培训的名义请了个内部“专家”过去，忽悠了一顿，虽说最终还是没买新设备，可客户答应了明年继续采购他们安全设备的授权。

我最后问了个厂商的朋友才知道：“什么专家，之前一直干销售的，现在是部门经理，白头发最多长得又权威就临时借过来用用...”

不过大家最常见的“专家”应该是招聘软件上的“安全专家”、“网络安全专家”或者“渗透专家”等等，类似下面这样：

能力要求感觉很模糊，写出来不像是这个薪资挡位的，试着投了投直接一直未读了，意义不明，有懂的在评论区说一下这些都是干嘛的。

二、项目验收类的专家

以下为收集来的信息，关于需要请专家的项目：

等保定级与测评类

1. 等保定级阶段的专家评审

根据网络安全等级保护定级流程，定级阶段必须组织专家评审：

“自行组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。专家数量应为单数。”

备案时需提交的材料包括：“信息安全等级保护定级评审结果（专家评审报告或主管部门审核批准意见）”。

法规依据：《信息安全等级保护管理办法》《网络安全法》第二十一条。

商用密码应用安全性评估（密评）类

这是“必须请专家”要求最明确、处罚最严厉的领域。

1. 规划阶段：密码应用方案评估

“重要领域网络和信息系统规划阶段，责任单位应当依据商用密码应用安全性有关标准，制定商用密码应用建设方案，组织专家或委托测评机构进行评估，评估结果作为项目规划立项的重要依据和申报使用财政性资金项目的必备材料。”

法规依据：《商用密码应用安全性评估管理办法（试行）》第八条

2. 建设验收阶段：必须通过评估方可上线

“重要领域网络和信息系统建设完成后，责任单位应当委托测评机构进行商用密码应用安全性评估，评估结果作为项目建设验收的必备材料。”

“重要网络与信息系统运行前，其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统未通过商用密码应用安全性评估的，运营者应当进行改造，改造期间不得投入运行。”

法规依据：《商用密码应用安全性评估管理办法》（国家密码管理局令第3号）第八条；《国家政务信息化项目建设管理办法》第十五条、第二十五条

3. 运行后：定期评估

“重要网络与信息系统建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估。”

4. 处罚条款（有法律后果）

《密码法》第三十七条：

“关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。”

财政资金/政府投资项目类

使用财政资金的项目，验收必须组织专家评审。

1. 中央网信办主责的网安专项

“项目考核指标中涉及功能指标、性能指标的，项目承担单位原则上应当委托第三方测评机构开展评估和测试，并出具报告。”

法规依据：《中央网信办主责国家重点研发计划重点专项管理实施细则》第二十一条

2. 地方政务信息化项目（以靖安县为例）

“总投资额在50万元以上实行专家评审制。”

验收需提交的材料包括：“安全测评报告（第三方）、软件测评报告（第三方）”

法规依据：《靖安县信息化项目管理暂行办法》

3. 福州市晋安区规定

“投资估算在50万元（含）以上的项目，应在项目建设前将《项目建议书》和《项目可行性研究报告暨初步设计方案》报信息化项目管理部门进行专家评审。”四、关键信息基础设施（关基）类

1. 认定阶段：必须专家参与

“在对判断符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统等重点保护对象纳入关键信息基础设施方面，……在认定过程中充分发挥了行业和领域专家的作用。”

法规依据：《关键信息基础设施安全保护条例》（国务院令第745号）

2. 密码应用：强制要求评估

“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。”

法规依据：《密码法》第二十七条

三、继续碎碎念

确实有些大哥被养在公司，日常接触不到，但一旦出点事情，那就还得人家出手。普通工程师能解决的，不叫专家。专家是那个“别人搞了三天搞不定，你来一小时搞定”的人。你不需要天天上场，但每次上场都是因为前面的人已经试过所有常规手段、翻过所有文档、问过所有能问的人，最后卡在一个谁都说不清楚的问题上——这时候你来了，可能只是翻了翻日志、抓了个包、看了一眼配置，然后说“把那个参数改成2048试试”，然后就通了。这种能力不是靠看书看出来的，是靠十年如一日踩坑、翻车、被骂、然后爬起来复盘攒出来的。别人看见的是你一小时解决问题，你自己知道那背后是无数次凌晨三点的电话、被客户指着鼻子骂“你们到底行不行”、还有写满整面白板的故障分析图。所以专家的核心技能，不是你懂的东西比别人多，而是你见过的东西比别人歪、踩过的坑比别人深、而且每次翻车之后你都记得住是怎么翻的。