前言

目前網(wǎng)絡(luò)安全話題越來越火，網(wǎng)上關(guān)于網(wǎng)絡(luò)安全的話題比比皆是，但大都是從甲方或乙方的角度寫的，鮮有從測評機(jī)構(gòu)的角度分析和總結(jié)，因此，本文將從一個(gè)4年的測評工作角度進(jìn)行探討和分析當(dāng)前網(wǎng)絡(luò)安全行業(yè)的問題，并竊以展望未來網(wǎng)絡(luò)安全行業(yè)的發(fā)展趨勢。

以下僅為筆者個(gè)人意見，不代表任何機(jī)構(gòu)，如果異議，歡迎討論。

甲方存在的主要問題

這幾年做過的甲方的測評項(xiàng)目中，其中主要分布在政府、事業(yè)單位，人社、國土、財(cái)政、衛(wèi)生和交通類，私企也有，但不多，一般是金融類私企。

（1） 等保初衷：從各行各業(yè)的開展等保來看，基于網(wǎng)絡(luò)安全的初心開展等保的單位企業(yè)少之又少，而絕大都是單位企業(yè)都是政策要求，其中具體又可以細(xì)分為

行業(yè)主管部門要求開展等保，比如電力行業(yè)和金融行業(yè)，這兩個(gè)行業(yè)都有文件要求開展等保，所以在眾多民營企業(yè)中不愿意做但是必須需要做等保。

尋找背鍋俠，部分政府單位對等保不感冒，但是被等保機(jī)構(gòu)銷售忽悠后以為做的等保就可以給自己上一道“保險(xiǎn)”，純粹為了事后找等保機(jī)構(gòu)給自己背鍋。

利益關(guān)系，部分單位的信息化負(fù)責(zé)人也想通過項(xiàng)目采購實(shí)現(xiàn)利益共同體，這里就不多說了。

（2） 技術(shù)能力不強(qiáng)，重設(shè)備輕管理，眾多甲方單位沒有網(wǎng)絡(luò)安全管理專職崗位，基本都是由負(fù)責(zé)網(wǎng)絡(luò)的或者負(fù)責(zé)服務(wù)器的人員兼任，且除了銀行、證券等少數(shù)單位外，大部分單位的技術(shù)人員技術(shù)水平其實(shí)并不高，很多都是通過外包或者集成商代為運(yùn)維，這就造成測評過程中，甚至不知道某某設(shè)備的所有管理賬戶和口令，因?yàn)橥獍藛T和集成商一般只給一個(gè)管理賬戶或者一般不給審計(jì)管理員賬戶，網(wǎng)而絡(luò)安全意識培訓(xùn)幾乎沒有。

（3） 對網(wǎng)絡(luò)安全理解片面，有些單位技術(shù)人員認(rèn)為網(wǎng)絡(luò)安全就是滲透，過度吹捧滲透能力，輕視測評，認(rèn)為測評是走過場，這也有部分是測評機(jī)構(gòu)的原因，下面會單獨(dú)說。

測評機(jī)構(gòu)的主要問題

目前國內(nèi)的測評機(jī)構(gòu)有199家，測評機(jī)構(gòu)主要分為以下幾類：

（1） 北京地區(qū)國字頭的測評機(jī)構(gòu)：全國199家測評機(jī)構(gòu)中北京就占了30多家，幾乎都是國字頭的背景，很多掛著都是行業(yè)或者部委的名頭，這些測評機(jī)構(gòu)基本不愁業(yè)務(wù)，也有能力吸引優(yōu)秀的畢業(yè)生，技術(shù)能力也較強(qiáng)，能夠?qū)Ｐ牡膹氖录夹g(shù)，同時(shí)由于面對的客戶大都是行業(yè)內(nèi)或部委的單位，測評過程中比較順利，因此在硬件整改方面，被測單位幾乎都很全，比較典型的例子就是，2018年培訓(xùn)時(shí)，北京的某某老師說，身份鑒別的雙因素認(rèn)證應(yīng)該時(shí)高危，設(shè)備沒有就不符合，但是從地方測評機(jī)構(gòu)來看，至少江西和湖北是無法做到，因?yàn)殡p因素認(rèn)證要求除了一次性采購身份認(rèn)證平臺硬件設(shè)備外，還需要UKEY硬件費(fèi)用，還不算每年的證書續(xù)期費(fèi)用和人工管理成本費(fèi)用，這費(fèi)用足夠每年做一次等保測評了，畢竟北京和很多二三線地方相比，無論經(jīng)濟(jì)實(shí)力和思想認(rèn)識上，差距還是挺大的。

（2） 二三線城市的測評機(jī)構(gòu)，這類測評機(jī)構(gòu)大部分是當(dāng)?shù)氐念I(lǐng)頭羊，除了測評外，基本還有其他風(fēng)險(xiǎn)評估、軟件測試業(yè)務(wù)，所以，在當(dāng)?shù)厥》莺袜徑》葸€是比較有名的，有的甚至還將業(yè)務(wù)做到了鄰近省份。

（3） 二三線城市和新加入的測評機(jī)構(gòu)，這類測評機(jī)構(gòu)基本都是處于隨時(shí)會被淘汰邊緣，之前有個(gè)江蘇某家測評機(jī)構(gòu)居然每年連能力驗(yàn)證都不知道也不參加，測評報(bào)告全是基本符合，沒有不符合，這類很多前身都是集成公司，技術(shù)實(shí)力較低，把等保測評當(dāng)作駕校培訓(xùn)，每年被停止?fàn)I業(yè)的大部分就是這類。

目前個(gè)人認(rèn)為，由于上述測評機(jī)構(gòu)性質(zhì)的原因，測評機(jī)構(gòu)存在的主要問題有如下幾個(gè)方面：

（1） 惡意競爭。

大部分非國字頭或國企背景的測評機(jī)構(gòu)在面對越來越激烈市場競爭時(shí)，壓力越來越大，尤其今年疫情的原因，很多機(jī)構(gòu)一二季度都無法開展測評，筆者所在的機(jī)構(gòu)在中部某省也算是排名前3 的機(jī)構(gòu)，但是一直到6月才逐漸慢慢恢復(fù)業(yè)務(wù)，非國字頭的測評機(jī)構(gòu)如果沒有業(yè)務(wù)就意味著倒閉，畢竟每天的稅費(fèi)、人工成本壓力很大，加上近兩年，準(zhǔn)入門檻降低，新增了一批測評機(jī)構(gòu)，又放寬了異地測評條件，競爭壓力更大，因此，惡意低價(jià)搶標(biāo)的事件層出不窮，有些機(jī)構(gòu)甚至3W一個(gè)系統(tǒng)，測評費(fèi)用降低最終導(dǎo)致測評時(shí)間短、測評人員技術(shù)水平低，測評機(jī)構(gòu)之間相互壓價(jià)，畢竟，生存下來才是首位的。

（2） 人員流動性大。

目前在一線城市測評師稅前工資基本是7000-9000左右，二三線城市就5000-6000左右，說實(shí)話，這對于一個(gè)網(wǎng)絡(luò)安全行業(yè)的從業(yè)人員來說，確實(shí)較低，這還是有相關(guān)工作經(jīng)驗(yàn)的，要知道筆者所在的中部某省，系統(tǒng)集成、廠家技術(shù)支持、軟件測試等崗位的工資都至少6000以上，開發(fā)的工作普遍1W，而測評人員項(xiàng)目壓力大，經(jīng)常出差，文檔要求高、技術(shù)能力要求高，這點(diǎn)工資很難吸引優(yōu)秀的人員，筆者所在測評機(jī)構(gòu)年前開始一直在招聘，至今入職的才4個(gè)人，很多邀請面試的人員壓根對測評不感冒，再加上一聽工資待遇并不高，根本不來面試，或者約了面試也不打招呼也不來，或者面試通過后要求回去考慮，結(jié)果考慮考慮就不來，筆者感覺今年招聘特別難，且在職的很多人員因?yàn)橐咔槠陂g工資未發(fā)放都開始人心浮動，一方面，測評項(xiàng)目費(fèi)用低逐漸降低，另一方面，測評機(jī)構(gòu)的成本逐漸增加，要減少成本就必須多做項(xiàng)目，減低邊際成本，導(dǎo)致形成沖突無可避免，

（3） 測評機(jī)構(gòu)缺少長遠(yuǎn)發(fā)展規(guī)劃

目前測評機(jī)構(gòu)大部分為非國企，部分國企背景的也是盈虧自負(fù)，可能少部分屬于事業(yè)單位，但是筆者所在的中部省份區(qū)域中，測評機(jī)構(gòu)均為私營企業(yè)，股東和管理層缺少長遠(yuǎn)硅規(guī)劃，這幾年測評吃香那就搞測評，未來幾年商密吃香就搞商密，感覺就像割韭菜，尤其是盲目擴(kuò)張業(yè)務(wù)，但是人員技術(shù)能力和管理曾水平卻沒有得到提升，企業(yè)往往更看重做大，卻很難做強(qiáng)，缺少明確的發(fā)展規(guī)劃，個(gè)人也看不到發(fā)展前景。

4）測評機(jī)構(gòu)獨(dú)立性不足

測評機(jī)構(gòu)為營利性決定了測評機(jī)構(gòu)不可能完全中立，所以很多地方暴露出花錢買報(bào)告的情況就習(xí)以為常了，而且測評管理辦法對測評機(jī)構(gòu)處罰力度比較小，即便吊銷推薦證書，原班人馬換個(gè)公司又可以從頭開始。加上客戶要求越來越高，測評機(jī)構(gòu)必然的傾向于客戶，畢竟，對于絕大部分機(jī)構(gòu)來說，客戶就是上帝。

標(biāo)準(zhǔn)體系方面

等吧2.0標(biāo)準(zhǔn)發(fā)布以來，筆者認(rèn)為，等保2.0系列標(biāo)準(zhǔn)既有進(jìn)步的一方面，同時(shí)又存在一些問題。

（1） 標(biāo)準(zhǔn)制定過程中，受安全產(chǎn)品廠家影響較大，筆者粗略看了下，國內(nèi)大部分行業(yè)前10 的廠家基本都參加制定標(biāo)準(zhǔn)，具體廠家名稱就不提了，筆者認(rèn)為，標(biāo)準(zhǔn)的制定應(yīng)該主要由標(biāo)準(zhǔn)委制定，至少明面上標(biāo)準(zhǔn)委是沒有利益傾向的，如果廠家參與，難免或多或少會傾向自己的產(chǎn)品。這也就是為什么等保2.0出臺后，很多廠家均發(fā)布了一些基礎(chǔ)版套餐、標(biāo)準(zhǔn)版套餐和豪華版套餐等等文章，讓很多客戶單位慢慢被認(rèn)為等保測評就是花錢買設(shè)備，而國家推行等保測評的初衷卻不甚了解。

（2） 標(biāo)準(zhǔn)制定水平較1.0差，基本要求中，比如光日志審計(jì)居然存在3處，安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心中均為日志審計(jì)做了要求，其中區(qū)域邊界和安全計(jì)算環(huán)境幾乎一模一樣，筆者作為測評行業(yè)“老人”，也沒看懂到底有何重復(fù)測評意義，更何況客戶如何看懂。除此之外，數(shù)據(jù)的完整性、數(shù)據(jù)的保密性等也是如此。測評要求中，很多測評指標(biāo)的對應(yīng)的測評對象明顯無法測評，比如剩余信息保護(hù)測評對象是終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件，操作系統(tǒng)在Windows上都比較清晰可操作，但在Linux上異議很多，但數(shù)據(jù)庫管理系統(tǒng)、中間件、業(yè)務(wù)應(yīng)用系統(tǒng)上如何測評，卻沒有詳細(xì)說明，測評要求的測評實(shí)施很多都是文義描述，缺少可操作性和實(shí)踐性，導(dǎo)致測評過程中，測評實(shí)施方法各不相同。目前很多客戶單位也在學(xué)習(xí)等保2.0系列標(biāo)準(zhǔn)，但是很多標(biāo)準(zhǔn)測評機(jī)構(gòu)都無法解釋，如何給客戶解釋。筆者認(rèn)為，基本要求可以是概括性、方向性的要求，但是測評要求一定要能可操作可理解，否則，一個(gè)專業(yè)人員都無法理解的國家標(biāo)準(zhǔn)存在有何意義。

未來

吐槽了許多，筆者認(rèn)為，等級測評未來發(fā)展仍然是比較有市場前景和政策前景，畢竟我國在網(wǎng)絡(luò)安全保護(hù)方面距離美國等網(wǎng)絡(luò)安全強(qiáng)國差距太大，尤其在理論研究上。在一味追求低成本測評和客戶越來越高的要求下，等級測評行業(yè)未來3年內(nèi)可能會迎來一輪洗牌，希望真正將等級測評工作做扎實(shí)，這需要眾多測評機(jī)構(gòu)、網(wǎng)安、科研機(jī)構(gòu)等參與，能夠?qū)⒌燃墱y評體系像ISO27000一樣輸出國外。
責(zé)編AJX