前言
目前,网络安全话题越来越流行,网络安全话题无处不在,但大多是从甲方或乙方的角度,很少从评价机构的角度分析和总结,因此,本文将从四年评价工作的角度讨论和分析当前网络安全行业的问题,并秘密期待网络安全行业的未来发展趋势。
以下仅为作者个人意见,不代表任何机构。如有异议,欢迎讨论。
甲方的主要问题
近年来,甲方的评估项目主要分布在政府、事业单位、人力资源和社会保障、土地、财政、卫生和交通等方面。私营企业也有,但不多,一般是金融私营企业。
(1) 等保初衷:从各行各业的等保来看,基于网络安全初衷开展等保的单位企业很少,而且大部分单位企业都是政策要求,可以细分为
- 行业主管部门要求等待保险,如电力行业和金融行业。这两个行业都有文件要求等待保险。因此,许多私营企业不愿意这样做,但
- 寻找背锅侠,一些政府单位对等保不感冒,但被等保机构销售忽悠后,认为等保可以给自己最后一个“保险”,为了事后找等保机构给自己背锅。
- 利益关系,一些单位的信息负责人也想通过项目采购实现利益共同体,这里就不多说了。
(3) 对网络安全的理解是片面的。一些单位技术人员认为网络安全是渗透,过度赞扬渗透能力,鄙视评价,认为评价是通过现场,这也是评价机构的部分原因,以下将单独讨论。
评估机构的主要问题
目前,我国有199家评估机构,主要分为以下几类:
(1) 北京国字头评估机构:北京占全国199家评估机构中的30多家,几乎都是国字头的背景,很多都挂着行业或部委的名字。这些评估机构基本上不担心业务,有能力吸引优秀的毕业生,技术能力强,能够专注于技术。同时,由于大部分客户都是业内或部委的单位,评估过程相对顺利,被测单位在硬件整改方面几乎是完整的。典型的例子是,2018年培训期间,北京某老师表示,身份鉴定的双因素认证应该是高风险的,设备不符合要求,但从当地评估机构的角度来看,至少江西和湖北是做不到的,因为双因素认证要求除了一次性采购身份认证平台的硬件设备外,还需要UKEY硬件成本不包括年度证书续期和人工管理成本,足以每年进行一次等待保险评估。毕竟,与许多二三线地方相比,北京在经济实力和思想认识方面仍存在很大差距。
(2) 二三线城市的评估机构大多是当地的领导者。除了评估,基本上还有其他风险评估和软件测试业务。所以在当地省份和邻近省份还是比较有名的,有的甚至在邻近省份做生意。
(3) 二三线城市和新加入的评估机构,基本都处于随时被淘汰的边缘。之前江苏某评估机构连能力验证都不知道,每年都不参加。评估报告基本一致,没有不一致。这些前身很多都是集成公司,技术实力低。他们把等保评估当成驾校培训,大部分每年都停业。
目前,我认为,由于上述评估机构的性质,评估机构的主要问题如下:
(1) 恶意竞争。
面对日益激烈的市场竞争,大多数具有非国有标题或国有企业背景的评估机构面临着越来越大的压力。特别是由于今年的疫情,许多机构无法在第一季度和第二季度进行评估。作者所在的机构也是中部某省前3 的机构,但直到6月才逐渐恢复业务。如果非国有标题的评估机构没有业务,就意味着破产。毕竟,日常税费和劳动力成本压力很大。此外,近两年来,准入门槛降低,增加了一批评估机构,放宽了不同地方的评估条件,竞争压力更大。因此,恶意低价抢标的事件层出不穷,一些机构甚至3W在一个系统中,降低评估成本最终导致评估时间短,评估人员技术水平低,评估机构相互降价。毕竟,生存是第一位的。
(2) 人员流动性大。
目前,一线城市评估师的税前工资基本上是7000-9000二三线城市左右5000-6000说实话,这对于一个网络安全行业的员工来说确实很低,这仍然有相关的工作经验。我们应该知道,在我所在的中部省份,系统集成、制造商技术支持、软件测试等岗位的工资至少为6000英镑,开发工作一般都是如此1W,评估人员项目压力大,经常出差,文档要求高,技术能力要求高。这个工资很难吸引优秀的人。作者所在的评估机构几年前就一直在招聘,到目前为止只有四个人加入了这个职位。很多邀请面试的人对评估一点都不感冒。另外,他们听说工资不高,根本不来面试,或者约好面试也不打招呼,或者面试通过后要求回去考虑。考虑结果就不来了。作者觉得今年招聘特别困难,很多在职人员因为疫情期间工资没有发放而开始浮动。一方面,评估项目成本逐渐降低;另一方面,评估机构的成本逐渐增加。要降低成本,必须多做项目,降低边际成本,导致冲突不可避免。
(3) 评估机构缺乏长期发展规划
目前,大多数评估机构都是非国有企业,一些国有企业也有盈亏自负的背景。他们中的一些人可能属于公共机构。然而,在作者所在的中部省份,评估机构都是私营企业,股东和管理层缺乏长期的硅规划。近年来,如果评估很受欢迎,他们将从事评估。未来几年,商业秘密将从事商业秘密,感觉就像割韭菜,尤其是盲目拓展业务,但人员技术能力和管理水平没有提高。企业往往更注重做大做强,但很难做强。没有明确的发展规划,个人看不到发展前景。
4)评估机构独立性不足
评估机构的盈利能力决定了评估机构不能完全中立,因此很多地方暴露花钱购买报告是很常见的。此外,评估管理措施对评估机构的处罚相对较小。即使推荐证书被吊销,原团队也可以从零开始更换公司。此外,随着客户要求的不断提高,评估机构必然会倾向于客户。毕竟,对于大多数机构来说,客户是上帝。
标准体系方面
等吧2.0自标准发布以来,笔者认为等待保险2.0系列标准既有进步,又有问题。
(1) 在标准制定过程中,受安全产品制造商的影响很大。作者粗略地看到,国内大多数行业前10家 制造商基本上都参与了标准的制定,更不用说具体的制造商名称了。作者认为,标准的制定应主要由标准委员会制定,至少标准委员会没有利益倾向,如果制造商参与,他们将不可避免地或多或少倾向于自己的产品。这就是为什么等待保险2.0发布后,许多制造商发布了一些基本版本的套餐、标准版本的套餐和豪华版本的套餐等文章,使许多客户单位慢慢被认为等待保险评估是花钱购买设备,而国家实施等待保险评估的初衷不太了解。
(2) 标准制定水平较高1.0差,基本要求,如光日志审计有三个,安全区域边界、安全计算环境和安全管理中心为日志审计,区域边界和安全计算环境几乎完全相同,作者作为评价行业“老人”,我不明白重复评估的意义,更不用说客户了。此外,数据的完整性和数据的保密性也是如此。在评估要求中,许多评估指标对应的评估对象显然无法进行评估。例如,剩余的信息保护评估对象是终端和服务器设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件Windows操作清晰可操作,但在Linux有很多异议,但没有详细说明如何评估数据库管理系统、中间件和业务应用系统。许多评估要求的评估实施都是文本描述,缺乏可操作性和实用性,导致评估过程中的评估实施方法不同。目前,许多客户单位也在学习等待保险2.0一系列标准,但许多标准评估机构无法解释如何向客户解释。笔者认为,基本要求可以是一般性和方向性的要求,但评价要求必须是可操作和可理解的。否则,专业人士无法理解的国家标准的意义是什么。
未来
我抱怨了很多。笔者认为,评级评价的未来发展仍然具有市场前景和政策前景。毕竟,中国在网络安全保护方面与美国等网络安全强国的差距太大,尤其是在理论研究方面。在盲目追求低成本评价和客户越来越高的要求下,评级评价行业可能在未来三年内迎来一轮洗牌。我希望我们能真正扎实地做好评级工作,这需要许多评估机构、网络安全和科研机构的参与,将评级评估系统视为一个ISO27000同样输出国外。