等保測評師角度淺談等保2.0

時間：2022-05-27

前言

目前，網(wǎng)絡安全話題越來越流行，網(wǎng)絡安全話題無處不在，但大多是從甲方或乙方的角度，很少從評價機構(gòu)的角度分析和總結(jié)，因此，本文將從四年評價工作的角度討論和分析當前網(wǎng)絡安全行業(yè)的問題，并秘密期待網(wǎng)絡安全行業(yè)的未來發(fā)展趨勢。

以下僅為作者個人意見，不代表任何機構(gòu)。如有異議，歡迎討論。

甲方的主要問題

近年來，甲方的評估項目主要分布在**、事業(yè)單位、人力資源和社會**、土地、財政、衛(wèi)生和交通等方面。私營企業(yè)也有，但不多，一般是金融私營企業(yè)。

(1) 等保初衷:從各行各業(yè)的等保來看，基于網(wǎng)絡安全初衷開展等保的單位企業(yè)很少，而且大部分單位企業(yè)都是政策要求，可以細分為

行業(yè)主管部門要求等待保險，如電力行業(yè)和金融行業(yè)。這兩個行業(yè)都有文件要求等待保險。因此，許多私營企業(yè)不愿意這樣做，但

尋找背鍋俠，有些**單位對等保不感冒，但被等保機構(gòu)銷售忽悠后，以為可以給自己一個保險，純粹是為了事后找等保機構(gòu)背鍋。

利益關系，一些單位的信息負責人也想通過項目采購實現(xiàn)利益共同體，這里就不多說了。

（2）技術(shù)能力不強，重設備輕管理，許多甲方單位沒有網(wǎng)絡安全管理專職崗位，基本都是負責網(wǎng)絡或服務器的人員。除了銀行、證券等少數(shù)單位，大部分單位的技術(shù)人員技術(shù)水平其實并不高，很多都是外包或者集成商代為運維，導致評估過程中甚至不知道某個設備的所有管理賬戶和密碼。

（3）對網(wǎng)絡安全的理解是片面的。一些單位技術(shù)人員認為網(wǎng)絡安全是滲透，過度贊揚滲透能力，鄙視評價，認為評價是通過現(xiàn)場，這也是評價機構(gòu)的部分原因，以下將單獨討論。

評估機構(gòu)的主要問題

目前國內(nèi)的測評機構(gòu)有199家，測評機構(gòu)主要分為以下幾類:

(1) 北京國字頭評估機構(gòu):北京占全國199家評估機構(gòu)中的30多家，幾乎都是國字頭的背景，很多都掛著行業(yè)或部委的名字。這些評估機構(gòu)基本上不擔心業(yè)務，有能力吸引優(yōu)秀的畢業(yè)生，技術(shù)能力強，能夠?qū)Ｗ⒂诩夹g(shù)。同時，由于大部分客戶都是業(yè)內(nèi)或部委的單位，評估過程相對順利，被測單位在硬件整改方面幾乎是完整的。典型的例子是，2018年培訓期間，北京某老師表示，身份鑒定的雙因素認證應該是高風險的，設備不符合要求，但從當?shù)卦u估機構(gòu)的角度來看，至少江西和湖北是做不到的，因為雙因素認證要求除了一次性采購身份認證平臺的硬件設備外，還需要UKEY硬件成本不包括年度證書續(xù)期和人工管理成本，足以每年進行一次等待保險評估。畢竟，與許多二三線地方相比，北京在經(jīng)濟實力和思想認識方面仍存在很大差距。

(2) 二三線城市的評估機構(gòu)大多是當?shù)氐?*者。除了評估，基本上還有其他風險評估和軟件業(yè)務。所以在當?shù)厥》莺袜徑》葸€是比較**的，有的甚至在鄰近省份做生意。

(3) 二三線城市和新加入的評估機構(gòu)，基本都處于隨時被淘汰的邊緣。之前江蘇某評估機構(gòu)連能力驗證都不知道，每年都不參加。評估報告基本一致，沒有不一致。這些前身，技術(shù)實力低。他們把等保評估當成駕校培訓，大部分每年都停業(yè)。

目前，我認為，由于上述評估機構(gòu)的性質(zhì)，評估機構(gòu)的主要問題如下：

(1) 惡意競爭。

面對日益激烈的市場競爭，大多數(shù)具有非國有標題或國有企業(yè)背景的評估機構(gòu)面臨著越來越大的壓力。特別是由于今年的疫情，許多機構(gòu)無法在**季度和*二季度進行評估。作者所在的機構(gòu)也是中部某省前3 的機構(gòu)，但直到6月才逐漸恢復業(yè)務。如果非國有標題的評估機構(gòu)沒有業(yè)務，就意味著破產(chǎn)。畢竟，每天的稅費和勞動力成本壓力都很大。此外，近兩年來，準入門檻降低，增加了一批評估機構(gòu)，放寬了不同地方的評估條件，競爭壓力較大。因此，惡意低價搶標事件層出不窮，有的機構(gòu)甚至3W在一個系統(tǒng)中，降低評估成本較終導致評估時間短，評估人員技術(shù)水平低，評估機構(gòu)相互降價。畢竟，生存是**位的。

(2) 人員流動性大。

目前，*城市評估師的稅前工資基本上是7000-9000二三線城市左右5000-6000說實話，這對于一個網(wǎng)絡安全行業(yè)的員工來說確實很低，這仍然有相關的工作經(jīng)驗。我們應該知道，在我所在的中部省份，系統(tǒng)集成、制造商技術(shù)支持、軟件等崗位的工資至少為6000英鎊，開發(fā)工作一般都是如此1W，評估人員項目壓力大，經(jīng)常出差，文檔要求高，技術(shù)能力要求高。這個工資很難吸引優(yōu)秀的人。作者所在的評估機構(gòu)幾年前就一直在招聘，到目前為止只有四個人加入了這個職位。很多邀請面試的人對評估一點都不感冒。另外，他們聽說工資不高，根本不來面試，或者約好面試也不打招呼，或者面試通過后要求回去考慮?？紤]結(jié)果就不來了。作者覺得今年招聘特別困難，很多在職人員因為疫情期間工資沒有發(fā)放而開始浮動。一方面，評估項目成本逐漸降低；另一方面，評估機構(gòu)的成本逐漸增加。要降低成本，必須多做項目，降低邊際成本，導致沖突不可避免。

(3) 評估機構(gòu)缺乏長期發(fā)展規(guī)劃

目前，大多數(shù)評估機構(gòu)都是非國有企業(yè)，一些國有企業(yè)也有盈虧自負的背景。他們中的一些人可能屬于公共機構(gòu)。然而，在作者所在的中部省份，評估機構(gòu)都是私營企業(yè)，股東和管理層缺乏長期的硅規(guī)劃。近年來，如果評估很受歡迎，他們將從事評估。未來幾年，商業(yè)秘密將從事商業(yè)秘密，感覺就像割韭菜，尤其是盲目拓展業(yè)務，但人員技術(shù)能力和管理水平?jīng)]有提高。企業(yè)往往較注重做大做強，但很難做強。沒有明確的發(fā)展規(guī)劃，個人看不到發(fā)展前景。

4)評估機構(gòu)獨立性不足

評估機構(gòu)的盈利能力決定了評估機構(gòu)不能完全中立，因此很多地方暴露花錢購買報告是很常見的。此外，評估管理措施對評估機構(gòu)的處罰相對較小。即使推薦證書被吊銷，原團隊也可以。此外，隨著客戶要求的不斷提高，評估機構(gòu)必然會傾向于客戶。畢竟，對于大多數(shù)機構(gòu)來說，客戶是上帝。

標準體系

等吧2.0自標準發(fā)布以來，筆者認為等待保險2.0系列標準既有進步，又有問題。

（1）在標準制定過程中，受安全產(chǎn)品制造商的影響很大。作者粗略地看了看。中國大多數(shù)行業(yè)前10名制造商基本上都參與了標準的制定，較不用說具體制造商的名稱了。筆者認為，標準的制定應主要由標準**制定，至少標準**沒有利益傾向。如果制造商參與，他們將不可避免地或多或少地傾向于自己的產(chǎn)品。這就是為什么等待保險2.0發(fā)布后，許多制造商發(fā)布了一些基本版本的套餐、標準版本的套餐和豪華版本的套餐等文章，使許多客戶單位慢慢被認為等待保險評估是花錢購買設備，而國家實施等待保險評估的初衷不太了解。

(2) 標準制定水平較高1.0差，基本要求，如光日志審計有三個，安全區(qū)域邊界、安全計算環(huán)境和安全管理中心是日志審計要求，區(qū)域邊界和安全計算環(huán)境幾乎完全相同，作者作為評價行業(yè)老年人，也不明白重復評價的意義，較不用說客戶如何理解了。此外，數(shù)據(jù)的完整性和數(shù)據(jù)的保密性也是如此。在評價要求中，許多評價指標對應的評價對象顯然無法評價，如終端和服務器中的操作系統(tǒng)、業(yè)務應用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件、操作系統(tǒng)Windows操作清晰可操作，但在Linux有很多異議，但沒有詳細說明如何評估數(shù)據(jù)庫管理系統(tǒng)、中間件和業(yè)務應用系統(tǒng)。許多評估要求的評估實施都是文本描述，缺乏可操作性和實用性，導致評估過程中的評估實施方法不同。目前，許多客戶單位也在學習等待保險2.0一系列標準，但許多標準評估機構(gòu)無法解釋如何向客戶解釋。筆者認為，基本要求可以是一般性和方向性的要求，但評價要求必須是可操作和可理解的。否則，專業(yè)人士無法理解的國家標準的意義是什么。

未來

我抱怨了很多。筆者認為，評級評價的未來發(fā)展仍然具有市場前景和政策前景。畢竟，中國在網(wǎng)絡安全保護方面與美國等網(wǎng)絡安全強國的差距太大，尤其是在理論研究方面。在盲目追求低成本評價和客戶越來越高的要求下，評級評價行業(yè)可能在未來三年內(nèi)迎來一輪洗牌。我希望我們能真正扎實地做**級工作，這需要許多評估機構(gòu)、網(wǎng)絡安全和科研機構(gòu)的參與，將評級評估系統(tǒng)視為一個ISO27000同樣輸出國外。

詞條
詞條說明
【等保測評】等保測評基本內(nèi)容
測評基本內(nèi)容對信息系統(tǒng)安全等級保護狀況進行測試評估，應包括兩個方面的內(nèi)容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況;二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎。對安全控制測評的描述，使用測評單元方式組織。測評單元分為安全技術(shù)測評和安全管理測評兩大類。安全技術(shù)測評：包括物理安全、網(wǎng)絡安全、主機系統(tǒng)
【等級保護】等級保護測評流程
等級保護是我國信息安全**的基本制度、基本策略和基本方法。作為國內(nèi)首批獲得等級保護測評機構(gòu)認定的企業(yè)，在等級保護服務實踐中形成了等保全生命周期服務，從定級備案咨詢、安全建設整改、等級保護測評、到監(jiān)督檢查改進均能夠提供專業(yè)的服務，在輔助企業(yè)完成等級保護建設工作的同時，實際提升系統(tǒng)運營使用單位的信息安全防護能力。結(jié)合安全評估的等級保護:在安全風險管理基礎上，利用風險評估方法，全面掌握企業(yè)系統(tǒng)安全現(xiàn)狀和
等級保護需要哪些步驟？【等級保護知識】
等級保護需要哪些步驟？ ? ?根據(jù)《信息安全等級保護等級指南》，只要符合以下三個特點，就必須備案等級保護。如果符合以下三個特點，且安全保護等級為二級以上，則必須通過等級保護評估，網(wǎng)站也不例外。等級保護等級對象的三個基本特征：①主要安全責任主體確定；②承擔相對獨立的業(yè)務應用；③包含多種相互關聯(lián)的資源。 ? ?那么，如果網(wǎng)站符合上述三個特點，信息系統(tǒng)是二級或以
4.29首都網(wǎng)絡安全日華清信安參加北京**互聯(lián)網(wǎng)科技博覽會
4月28日-30日,由北京市**主辦,市**聯(lián)合市委網(wǎng)信辦共同承辦的*八屆“4.29首都網(wǎng)絡安全日”系列活動北京**互聯(lián)網(wǎng)科技博覽會在北京·國家會議中心舉辦!華清信安作為新一代智能安全運營的**品牌,受邀參加本屆會議,與共同參會的網(wǎng)絡安全專業(yè)人才和企業(yè)進行了友好溝通。華清信安TDR智能安全運營服務在本屆大會上亮相,華清信安安全*和技術(shù)人員在現(xiàn)場向參觀者介紹了TDR智能安全運營解決方案。政策助力