前言目前,网络安全的话题越来越火。网上关于网络安全的话题很多,但大多是站在甲方或乙方的角度写的,很少是从评价的角度写的,所以本文将就目前网络中存在的问题进行探讨和分析安全行业从4年评估工作的角度,展望网络安全行业未来的发展趋势。以下仅为作者个人观点,不代表任何机构。如有异议,欢迎讨论。甲方存在的主要问题在甲方这几年所做的评估项目中,主要分布在政府、事业单位、人力资源、社会资源、土地、金融、卫生和交通等方面。私企也有,但不多,一般是金融类的私企。(1)保障初衷:从各行业保障发展情况来看,基于网络安全初衷进行保障的单位和企业少之又少,多为政策性保障要求,具体可分为电力行业、金融行业等要求落实此类担保的行业主管部门。这两个行业都有文件要求实施此类担保。所以,很多民营企业不愿意做,但又不得不做。找替罪羊,一些政府单位对此类保险不感兴趣,却被此类保险机构的销售忽悠了,认为被此类保险机构推销后可以为自己提供“保险”。在利益关系上,一些单位的信息化领导也想通过项目采购实现利益共同体,这里不再赘述。(2)技术能力不强,重设备轻管理。甲方很多单位都没有专职的网络安全管理岗位,基本都是配备负责网络或服务器的人员。除了银行、证券等少数单位,大部分单位的技术人员技术水平其实并不高,很多都是外包或者集成商运维。这导致在测评过程中,他们甚至不知道某台设备的所有管理账号和密码,因为外包人员和集成商一般只给一个管理账号或者一般不给审计管理员账号,几乎没有网络安全意识培训。(3)对网络安全的认识是片面的。有的单位技术人员认为网络安全就是渗透,过分夸大渗透能力,低估评价,认为评价是一种形式。这也有一部分是评测机构的原因,下面会单独说。测评机构存在的主要问题目前,我国共有测评机构199家,主要分为以下几类:(1)国字头在北京的测评机构:199家测评机构中,北京占30余家全国范围内的机构,几乎都是以国家字头为背景,而且很多都是行业或部委的名称。这些评估机构基本上不愁生意,也有能力吸引到优秀的毕业生。他们也有很强的技术能力,可以专心做技术。客户多为行业内或部委单位,评估过程比较顺利。因此,在硬件整改方面,几乎所有测试的单元都是完整的。一个典型的例子是,2018年培训时,北京某老师说身份识别的双因素认证应该是高风险的,如果没有设备是达不到要求的。但从地方测评机构来看,至少江西和湖北做不到,因为双因素认证需要一次性购买身份认证平台硬件设备。UKEY硬件费用不包含每年的证书更新费用和人工管理费用。这笔费用足以进行年度保险评估。毕竟和北京很多二三线地方相比,经济实力和思想认识上还是有差距的。相当大的。(二)二三线城市评价机构。这些评估机构大多是地方领导。除了评估,他们基本上还有其他的风险评估和软件测试业务。因此,它们在当地省份和邻近省份的知名度都比较高。有些甚至将业务扩展到邻近省份。(三)二三线城市及新加入的评估机构。这些评估机构基本处于随时被淘汰的边缘。江苏有一家评估机构,连能力测试都不知道,也不参加每年的能力测试。评估报告基本符合,无不符合。这些公司很多以前都是技术实力不强的综合性公司。目前我个人认为,由于上述测评机构的性质,测评机构存在的主要问题有:(1)恶意竞争。大多数非国字头或国有企业背景的测评机构,面对日益激烈的市场竞争,压力越来越大。尤其是今年因为疫情,很多机构无法在一二季度进行评估。某省可以说是前3名的机构之一,但是直到6月份才逐渐恢复营业。如果一个非国家字头的评估机构没有业务,就意味着破产。毕竟日常的税收和人工成本压力很大。近两年准入门槛降低,新增多家测评机构,放宽远程测评条件,竞争压力变大。因此,恶意低价竞标的事件也层出不穷。导致评标时间短,评标人员技术水平低,评标机构相互压价。毕竟,生存是第一要务。(2)人员流动性大。目前一线城市的评估师税前工资基本在7000-9000左右,二三线城市在5000-6000左右。说实话,这对于一个网络安全行业的从业者来说确实是low。这还是相关工作经验的,要知道在笔者所在的中部省份,系统集成、厂商技术支持、软件测试等岗位的薪资至少6000,而开发工作一般1W,而测评人员项目压力大,经常出差,文档要求高,技术能力强。能力要求高,这个薪水很难吸引到优秀的人才。笔者所在的测评机构从多年前就开始招人,至今只有4人入职。很多邀请面试的人,对评价根本不感兴趣。不high,根本不来面试,或者不打个招呼就不来面试,或者面试通过了就要求回去考虑一下,但是之后我就不来了考虑它。工资还没发,人就开始有波动了。一方面,评估项目成本逐步降低。另一方面,评估机构的成本也在逐渐增加。为了降低成本,必须做更多的项目来降低边际成本,从而导致不可避免的冲突。(3)评价机构缺乏长远发展规划。目前评价机构大多为非国有企业,部分国有企业也自负盈亏。一小部分可能属于公共机构。然而,在笔者所在的中部省份,评估机构都是民营企业。股东和管理层缺乏长期的芯片规划。如果评价是前几年流行的,那就进行评价。在接下来的几年里,商业秘密将会流行起来。感觉就像割韭菜,尤其是盲目扩张业务,但人员的技术能力和管理水平还不够。企业升职之后,往往更注重做大,做强却很难。没有明确的发展规划,个人看不到发展前景。4)评估机构的独立性不够。评测机构不能完全中立以盈利为目的。因此,很多地方曝出花钱买报告的情况屡见不鲜。而且,评价管理办法对评价机构的处罚相对较小,即使被撤销。有了推荐证书,原团队就可以换公司,从零开始。再加上客户的要求越来越高,评价机构势必对客户青睐有加。毕竟,对于大多数组织而言,客户就是上帝。在标准体系方面,自2.0标准发布以来,笔者认为2.0系列标准取得了进步,但同时也存在一些问题。(1)在标准制定过程中,对安防产品生产企业影响较大。笔者粗略看了一下,发现国内行业前10大厂商基本都参与了标准的制定。具体厂家名称就不说了。主要由标准委员会制定。至少从表面上看,标准委员会没有利益导向。如果厂商参与进来,难免会或多或少地青睐自家产品。这也是为什么在等保2.0推出后,很多厂家纷纷推出基础包、标准包、豪华包等文章,让很多客户单位逐渐认为等保就是花钱买设备,而然而,国家对实施平等保护评估的初衷并不十分了解。(二)标准制定水平低于1.0。例如,在基本要求中,有3个光学日志审计。安全区域边界、安全计算环境、安全管理中心都有日志审计的要求。其中,地域边界和安全计算环境几乎一模一样,笔者作为评测界的“老头”,并不理解反复评测的意义,更不知道客户是如何理解的。除此之外,数据的完整性、数据的机密性等也都是一样的。在评价需求中,许多评价指标对应的评价对象显然无法评价。例如,残留信息保护的评估对象是操作系统、业务应用系统、数据库管理系统、终端和服务器等设备中的中间件和系统管理软件,以及操作系统。在Windows上比较清晰和可操作,但在Linux上有很多反对意见,但没有详细说明如何评估数据库管理系统、中间件和业务应用系统。可操作性和实用性导致评价过程中的评价实施方式不同。目前,很多客户单位也在学习2.0系列标准,但是很多标准评估机构无法解释,如何向客户解释。笔者认为,基本要求可以是笼统的、有方向性的,但评价要求必须是可操作的、易懂的,否则,连专业人士都无法理解的国家标准存在意义何在。以后会有很多投诉。笔者认为,未来等级评价的发展仍然具有较大的市场和政策前景。毕竟,我国的网络安全保护远远落后于美国等网络安全强国,尤其是在理论研究方面。在一味追求低成本评价和客户要求越来越高的情况下,等级评价行业或将在未来三年迎来一轮洗牌。希望扎实做好等级评定工作。这需要很多评估机构、网络安全和科学研究。在机构等参与下,等级评价体系可以像ISO27000一样输出到国外。
