前言

目前網(wǎng)絡安全話題越來越火，網(wǎng)上關(guān)于網(wǎng)絡安全的話題比比皆是，但大都是從甲方或乙方的角度寫的，鮮有從測評機構(gòu)的角度分析和總結(jié)，因此，本文將從一個4年的測評工作角度進行探討和分析當前網(wǎng)絡安全行業(yè)的問題，并竊以展望未來網(wǎng)絡安全行業(yè)的發(fā)展趨勢。

以下僅為筆者個人意見，不代表任何機構(gòu)，如果異議，歡迎討論。

[[345229]]

甲方存在的主要問題

這幾年做過的甲方的測評項目中，其中主要分布在政府、事業(yè)單位，人社、國土、財政、衛(wèi)生和交通類，私企也有，但不多，一般是金融類私企。

(1) 等保初衷：從各行各業(yè)的開展等保來看，基于網(wǎng)絡安全的初心開展等保的單位企業(yè)少之又少，而絕大都是單位企業(yè)都是政策要求，其中具體又可以細分為

• 行業(yè)主管部門要求開展等保，比如電力行業(yè)和金融行業(yè)，這兩個行業(yè)都有文件要求開展等保，所以在眾多民營企業(yè)中不愿意做但是必須需要做等保。
• 尋找背鍋俠，部分政府單位對等保不感冒，但是被等保機構(gòu)銷售忽悠后以為做的等保就可以給自己上一道“保險”，純粹為了事后找等保機構(gòu)給自己背鍋。
• 利益關(guān)系，部分單位的信息化負責人也想通過項目采購實現(xiàn)利益共同體，這里就不多說了。

(2) 技術(shù)能力不強，重設備輕管理，眾多甲方單位沒有網(wǎng)絡安全管理專職崗位，基本都是由負責網(wǎng)絡的或者負責服務器的人員兼任，且除了銀行、證券等少數(shù)單位外，大部分單位的技術(shù)人員技術(shù)水平其實并不高，很多都是通過外包或者集成商代為運維，這就造成測評過程中，甚至不知道某某設備的所有管理賬戶和口令，因為外包人員和集成商一般只給一個管理賬戶或者一般不給審計管理員賬戶，網(wǎng)而絡安全意識培訓幾乎沒有。

(3) 對網(wǎng)絡安全理解片面，有些單位技術(shù)人員認為網(wǎng)絡安全就是滲透，過度吹捧滲透能力，輕視測評，認為測評是走過場，這也有部分是測評機構(gòu)的原因，下面會單獨說。

測評機構(gòu)的主要問題

目前國內(nèi)的測評機構(gòu)有199家，測評機構(gòu)主要分為以下幾類:

(1) 北京地區(qū)國字頭的測評機構(gòu)：全國199家測評機構(gòu)中北京就占了30多家，幾乎都是國字頭的背景，很多掛著都是行業(yè)或者部委的名頭，這些測評機構(gòu)基本不愁業(yè)務，也有能力吸引優(yōu)秀的畢業(yè)生，技術(shù)能力也較強，能夠?qū)Ｐ牡膹氖录夹g(shù)，同時由于面對的客戶大都是行業(yè)內(nèi)或部委的單位，測評過程中比較順利，因此在硬件整改方面，被測單位幾乎都很全，比較典型的例子就是，2018年培訓時，北京的某某老師說，身份鑒別的雙因素認證應該時高危，設備沒有就不符合，但是從地方測評機構(gòu)來看，至少江西和湖北是無法做到，因為雙因素認證要求除了一次性采購身份認證平臺硬件設備外，還需要UKEY硬件費用，還不算每年的證書續(xù)期費用和人工管理成本費用，這費用足夠每年做一次等保測評了，畢竟北京和很多二三線地方相比，無論經(jīng)濟實力和思想認識上，差距還是挺大的。

(2) 二三線城市的測評機構(gòu)，這類測評機構(gòu)大部分是當?shù)氐念I(lǐng)頭羊，除了測評外，基本還有其他風險評估、軟件測試業(yè)務，所以，在當?shù)厥》莺袜徑》葸€是比較有名的，有的甚至還將業(yè)務做到了鄰近省份。

(3) 二三線城市和新加入的測評機構(gòu)，這類測評機構(gòu)基本都是處于隨時會被淘汰邊緣，之前有個江蘇某家測評機構(gòu)居然每年連能力驗證都不知道也不參加，測評報告全是基本符合，沒有不符合，這類很多前身都是集成公司，技術(shù)實力較低，把等保測評當作駕校培訓，每年被停止營業(yè)的大部分就是這類。

目前個人認為，由于上述測評機構(gòu)性質(zhì)的原因，測評機構(gòu)存在的主要問題有如下幾個方面：

(1) 惡意競爭。

大部分非國字頭或國企背景的測評機構(gòu)在面對越來越激烈市場競爭時，壓力越來越大，尤其今年疫情的原因，很多機構(gòu)一二季度都無法開展測評，筆者所在的機構(gòu)在中部某省也算是排名前3 的機構(gòu)，但是一直到6月才逐漸慢慢恢復業(yè)務，非國字頭的測評機構(gòu)如果沒有業(yè)務就意味著倒閉，畢竟每天的稅費、人工成本壓力很大，加上近兩年，準入門檻降低，新增了一批測評機構(gòu)，又放寬了異地測評條件，競爭壓力更大，因此，惡意低價搶標的事件層出不窮，有些機構(gòu)甚至3W一個系統(tǒng)，測評費用降低最終導致測評時間短、測評人員技術(shù)水平低，測評機構(gòu)之間相互壓價，畢竟，生存下來才是首位的。

(2) 人員流動性大。

目前在一線城市測評師稅前工資基本是7000-9000左右，二三線城市就5000-6000左右，說實話，這對于一個網(wǎng)絡安全行業(yè)的從業(yè)人員來說，確實較低，這還是有相關(guān)工作經(jīng)驗的，要知道筆者所在的中部某省，系統(tǒng)集成、廠家技術(shù)支持、軟件測試等崗位的工資都至少6000以上，開發(fā)的工作普遍1W，而測評人員項目壓力大，經(jīng)常出差，文檔要求高、技術(shù)能力要求高，這點工資很難吸引優(yōu)秀的人員，筆者所在測評機構(gòu)年前開始一直在招聘，至今入職的才4個人，很多邀請面試的人員壓根對測評不感冒，再加上一聽工資待遇并不高，根本不來面試，或者約了面試也不打招呼也不來，或者面試通過后要求回去考慮，結(jié)果考慮考慮就不來，筆者感覺今年招聘特別難，且在職的很多人員因為疫情期間工資未發(fā)放都開始人心浮動，一方面，測評項目費用低逐漸降低，另一方面，測評機構(gòu)的成本逐漸增加，要減少成本就必須多做項目，減低邊際成本，導致形成沖突無可避免，

(3) 測評機構(gòu)缺少長遠發(fā)展規(guī)劃

目前測評機構(gòu)大部分為非國企，部分國企背景的也是盈虧自負，可能少部分屬于事業(yè)單位，但是筆者所在的中部省份區(qū)域中，測評機構(gòu)均為私營企業(yè)，股東和管理層缺少長遠硅規(guī)劃，這幾年測評吃香那就搞測評，未來幾年商密吃香就搞商密，感覺就像割韭菜，尤其是盲目擴張業(yè)務，但是人員技術(shù)能力和管理曾水平卻沒有得到提升，企業(yè)往往更看重做大，卻很難做強，缺少明確的發(fā)展規(guī)劃，個人也看不到發(fā)展前景。

4)測評機構(gòu)獨立性不足

測評機構(gòu)為營利性決定了測評機構(gòu)不可能完全中立，所以很多地方暴露出花錢買報告的情況就習以為常了，而且測評管理辦法對測評機構(gòu)處罰力度比較小，即便吊銷推薦證書，原班人馬換個公司又可以從頭開始。加上客戶要求越來越高，測評機構(gòu)必然的傾向于客戶，畢竟，對于絕大部分機構(gòu)來說，客戶就是上帝。

標準體系方面

等吧2.0標準發(fā)布以來，筆者認為，等保2.0系列標準既有進步的一方面，同時又存在一些問題。

(1) 標準制定過程中，受安全產(chǎn)品廠家影響較大，筆者粗略看了下，國內(nèi)大部分行業(yè)前10 的廠家基本都參加制定標準，具體廠家名稱就不提了，筆者認為，標準的制定應該主要由標準委制定，至少明面上標準委是沒有利益傾向的，如果廠家參與，難免或多或少會傾向自己的產(chǎn)品。這也就是為什么等保2.0出臺后，很多廠家均發(fā)布了一些基礎(chǔ)版套餐、標準版套餐和豪華版套餐等等文章，讓很多客戶單位慢慢被認為等保測評就是花錢買設備，而國家推行等保測評的初衷卻不甚了解。

(2) 標準制定水平較1.0差，基本要求中，比如光日志審計居然存在3處，安全區(qū)域邊界、安全計算環(huán)境和安全管理中心中均為日志審計做了要求，其中區(qū)域邊界和安全計算環(huán)境幾乎一模一樣，筆者作為測評行業(yè)“老人”，也沒看懂到底有何重復測評意義，更何況客戶如何看懂。除此之外，數(shù)據(jù)的完整性、數(shù)據(jù)的保密性等也是如此。測評要求中，很多測評指標的對應的測評對象明顯無法測評，比如剩余信息保護測評對象是終端和服務器等設備中的操作系統(tǒng)、業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件，操作系統(tǒng)在Windows上都比較清晰可操作，但在Linux上異議很多，但數(shù)據(jù)庫管理系統(tǒng)、中間件、業(yè)務應用系統(tǒng)上如何測評，卻沒有詳細說明，測評要求的測評實施很多都是文義描述，缺少可操作性和實踐性，導致測評過程中，測評實施方法各不相同。目前很多客戶單位也在學習等保2.0系列標準，但是很多標準測評機構(gòu)都無法解釋，如何給客戶解釋。筆者認為，基本要求可以是概括性、方向性的要求，但是測評要求一定要能可操作可理解，否則，一個專業(yè)人員都無法理解的國家標準存在有何意義。

未來

吐槽了許多，筆者認為，等級測評未來發(fā)展仍然是比較有市場前景和政策前景，畢竟我國在網(wǎng)絡安全保護方面距離美國等網(wǎng)絡安全強國差距太大，尤其在理論研究上。在一味追求低成本測評和客戶越來越高的要求下，等級測評行業(yè)未來3年內(nèi)可能會迎來一輪洗牌，希望真正將等級測評工作做扎實，這需要眾多測評機構(gòu)、網(wǎng)安、科研機構(gòu)等參與，能夠?qū)⒌燃墱y評體系像ISO27000一樣輸出國外。