前言
目前网络安全话题越来越火,网上关于网络安全的话题比比皆是,但大都是从甲方或乙方的角度写的,鲜有从测评机构的角度分析和总结,因此,本文将从一个4年的测评工作角度进行探讨和分析当前网络安全行业的问题,并窃以展望未来网络安全行业的发展趋势。
以下仅为笔者个人意见,不代表任何机构,如果异议,欢迎讨论。
甲方存在的主要问题
这几年做过的甲方的测评项目中,其中主要分布在政府、事业单位,人社、国土、财政、卫生和交通类,私企也有,但不多,一般是金融类私企。
(1) 等保初衷:从各行各业的开展等保来看,基于网络安全的初心开展等保的单位企业少之又少,而绝大都是单位企业都是政策要求,其中具体又可以细分为
- 行业主管部门要求开展等保,比如电力行业和金融行业,这两个行业都有文件要求开展等保,所以在众多民营企业中不愿意做但是必须需要做等保。
- 寻找背锅侠,部分政府单位对等保不感冒,但是被等保机构销售忽悠后以为做的等保就可以给自己上一道“保险”,纯粹为了事后找等保机构给自己背锅。
- 利益关系,部分单位的信息化负责人也想通过项目采购实现利益共同体,这里就不多说了。
(2) 技术能力不强,重设备轻管理,众多甲方单位没有网络安全管理专职岗位,基本都是由负责网络的或者负责服务器的人员兼任,且除了银行、证券等少数单位外,大部分单位的技术人员技术水平其实并不高,很多都是通过外包或者集成商代为运维,这就造成测评过程中,甚至不知道某某设备的所有管理账户和口令,因为外包人员和集成商一般只给一个管理账户或者一般不给审计管理员账户,网而络安全意识培训几乎没有。
(3) 对网络安全理解片面,有些单位技术人员认为网络安全就是渗透,过度吹捧渗透能力,轻视测评,认为测评是走过场,这也有部分是测评机构的原因,下面会单独说。
测评机构的主要问题
目前国内的测评机构有199家,测评机构主要分为以下几类:
(1) 北京地区国字头的测评机构:全国199家测评机构中北京就占了30多家,几乎都是国字头的背景,很多挂着都是行业或者部委的名头,这些测评机构基本不愁业务,也有能力吸引优秀的毕业生,技术能力也较强,能够专心的从事技术,同时由于面对的客户大都是行业内或部委的单位,测评过程中比较顺利,因此在硬件整改方面,被测单位几乎都很全,比较典型的例子就是,2018年培训时,北京的某某老师说,身份鉴别的双因素认证应该时高危,设备没有就不符合,但是从地方测评机构来看,至少江西和湖北是无法做到,因为双因素认证要求除了一次性采购身份认证平台硬件设备外,还需要UKEY硬件费用,还不算每年的证书续期费用和人工管理成本费用,这费用足够每年做一次等保测评了,毕竟北京和很多二三线地方相比,无论经济实力和思想认识上,差距还是挺大的。
(2) 二三线城市的测评机构,这类测评机构大部分是当地的领头羊,除了测评外,基本还有其他风险评估、软件测试业务,所以,在当地省份和邻近省份还是比较有名的,有的甚至还将业务做到了邻近省份。
(3) 二三线城市和新加入的测评机构,这类测评机构基本都是处于随时会被淘汰边缘,之前有个江苏某家测评机构居然每年连能力验证都不知道也不参加,测评报告全是基本符合,没有不符合,这类很多前身都是集成公司,技术实力较低,把等保测评当作驾校培训,每年被停止营业的大部分就是这类。
目前个人认为,由于上述测评机构性质的原因,测评机构存在的主要问题有如下几个方面:
(1) 恶意竞争。
大部分非国字头或国企背景的测评机构在面对越来越激烈市场竞争时,压力越来越大,尤其今年疫情的原因,很多机构一二季度都无法开展测评,笔者所在的机构在中部某省也算是排名前3 的机构,但是一直到6月才逐渐慢慢恢复业务,非国字头的测评机构如果没有业务就意味着倒闭,毕竟每天的税费、人工成本压力很大,加上近两年,准入门槛降低,新增了一批测评机构,又放宽了异地测评条件,竞争压力更大,因此,恶意低价抢标的事件层出不穷,有些机构甚至3W一个系统,测评费用降低最终导致测评时间短、测评人员技术水平低,测评机构之间相互压价,毕竟,生存下来才是首位的。
(2) 人员流动性大。
目前在一线城市测评师税前工资基本是7000-9000左右,二三线城市就5000-6000左右,说实话,这对于一个网络安全行业的从业人员来说,确实较低,这还是有相关工作经验的,要知道笔者所在的中部某省,系统集成、厂家技术支持、软件测试等岗位的工资都至少6000以上,开发的工作普遍1W,而测评人员项目压力大,经常出差,文档要求高、技术能力要求高,这点工资很难吸引优秀的人员,笔者所在测评机构年前开始一直在招聘,至今入职的才4个人,很多邀请面试的人员压根对测评不感冒,再加上一听工资待遇并不高,根本不来面试,或者约了面试也不打招呼也不来,或者面试通过后要求回去考虑,结果考虑考虑就不来,笔者感觉今年招聘特别难,且在职的很多人员因为疫情期间工资未发放都开始人心浮动,一方面,测评项目费用低逐渐降低,另一方面,测评机构的成本逐渐增加,要减少成本就必须多做项目,减低边际成本,导致形成冲突无可避免,
(3) 测评机构缺少长远发展规划
目前测评机构大部分为非国企,部分国企背景的也是盈亏自负,可能少部分属于事业单位,但是笔者所在的中部省份区域中,测评机构均为私营企业,股东和管理层缺少长远硅规划,这几年测评吃香那就搞测评,未来几年商密吃香就搞商密,感觉就像割韭菜,尤其是盲目扩张业务,但是人员技术能力和管理曾水平却没有得到提升,企业往往更看重做大,却很难做强,缺少明确的发展规划,个人也看不到发展前景。
4)测评机构独立性不足
测评机构为营利性决定了测评机构不可能完全中立,所以很多地方暴露出花钱买报告的情况就习以为常了,而且测评管理办法对测评机构处罚力度比较小,即便吊销推荐证书,原班人马换个公司又可以从头开始。加上客户要求越来越高,测评机构必然的倾向于客户,毕竟,对于绝大部分机构来说,客户就是上帝。
标准体系方面
等吧2.0标准发布以来,笔者认为,等保2.0系列标准既有进步的一方面,同时又存在一些问题。
(1) 标准制定过程中,受安全产品厂家影响较大,笔者粗略看了下,国内大部分行业前10 的厂家基本都参加制定标准,具体厂家名称就不提了,笔者认为,标准的制定应该主要由标准委制定,至少明面上标准委是没有利益倾向的,如果厂家参与,难免或多或少会倾向自己的产品。这也就是为什么等保2.0出台后,很多厂家均发布了一些基础版套餐、标准版套餐和豪华版套餐等等文章,让很多客户单位慢慢被认为等保测评就是花钱买设备,而国家推行等保测评的初衷却不甚了解。
(2) 标准制定水平较1.0差,基本要求中,比如光日志审计居然存在3处,安全区域边界、安全计算环境和安全管理中心中均为日志审计做了要求,其中区域边界和安全计算环境几乎一模一样,笔者作为测评行业“老人”,也没看懂到底有何重复测评意义,更何况客户如何看懂。除此之外,数据的完整性、数据的保密性等也是如此。测评要求中,很多测评指标的对应的测评对象明显无法测评,比如剩余信息保护测评对象是终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件,操作系统在Windows上都比较清晰可操作,但在Linux上异议很多,但数据库管理系统、中间件、业务应用系统上如何测评,却没有详细说明,测评要求的测评实施很多都是文义描述,缺少可操作性和实践性,导致测评过程中,测评实施方法各不相同。目前很多客户单位也在学习等保2.0系列标准,但是很多标准测评机构都无法解释,如何给客户解释。笔者认为,基本要求可以是概括性、方向性的要求,但是测评要求一定要能可操作可理解,否则,一个专业人员都无法理解的国家标准存在有何意义。
未来
吐槽了许多,笔者认为,等级测评未来发展仍然是比较有市场前景和政策前景,毕竟我国在网络安全保护方面距离美国等网络安全强国差距太大,尤其在理论研究上。在一味追求低成本测评和客户越来越高的要求下,等级测评行业未来3年内可能会迎来一轮洗牌,希望真正将等级测评工作做扎实,这需要众多测评机构、网安、科研机构等参与,能够将等级测评体系像ISO27000一样输出国外。