感谢您阅读《网络安全之：测评机构管理办法》，完整版内容您可前往信创致远http://www.dengbao110.com/查看。

等保测评属于水到渠成的事情,到了那一步你自然需要考虑,就算你不想，国家颁发测评机构管理办法,就是对各个等级保护评测机构实现统一规范管理.

有人看时自动过滤了,不过网络安全负责人自身是否有瓶颈,能否在企业里发展起来跟这条有很大关系,甚至有很多从网络安全需要借助测评机构管理办法这个法规,点到为止,不多说了。

对于互联网公司,我建议做等保测三级，评对于传统行业,我建议做等保测评二级。

在互联网行业,我觉得网络安全工作可以概括为以下几个方面：

信息安全管理(设计流程、整体策略等),这部分工作约占总量的10%，比较整体，跨度大，但工作量不多。

基础架构与网络安全：IDC、生产网络的各种链路和设备、服务器、大量的服务端程序和中间件,数据库等,偏运维侧,跟漏洞扫描、打补丁、ACL、安全配置、网络和主机入侵检测等这些事情相关性比较大,约占不到30%的工作量。

应用与交付安全：对各BG、事业部、业务线自研的产品进行应用层面的安全评估,代码审计,渗透测试,代码框架的安全功能,应用层的防火墙,应用层的入侵检测等,属于有点"繁琐”的工程,“撇不掉、理还乱”,大部分甲方团队都没有足够的人力去应付产品线交付的数量庞大的代码,没有能力去实践完整的SDL,这部分是当下比较有挑战的安全业务,整体比重大于30%，还在持续增长中。

业务安全：上面提到的2),包括账号安全、交易风控、征信、反价格爬虫、反******、反bot程序、反欺诈、反钓鱼、反垃圾信息、舆情监控(内容信息安全)、防游戏外挂、打击黑色产业链、安全情报等,是在“吃饱饭”之后“思***欲”的进阶需求,在基础安全问题解决之后，越来越受到重视的领域。整体约占30%左右的工作量,有的甚至大过50%。这里也已经纷纷出现乙方的创业型公司试图解决这些痛点。

对整体介绍的部分在前面的篇幅讲得比较多,主要目的是希望“视野”部分不缩水，这些概念在后面篇幅都不打算再展开了。