前言

目前網絡安全話題越來越火，網上關于網絡安全的話題比比皆是，但大都是從甲方或乙方的角度寫的，鮮有從測評機構的角度分析和總結，因此，本文將從一個4年的測評工作角度進行探討和分析當前網絡安全行業的問題，并竊以展望未來網絡安全行業的發展趨勢。

以下僅為筆者個人意見，不代表任何機構，如果異議，歡迎討論。

甲方存在的主要問題

這幾年做過的甲方的測評項目中，其中主要分布在政府、事業單位，人社、國土、財政、衛生和交通類，私企也有，但不多，一般是金融類私企。

（1） 等保初衷：從各行各業的開展等保來看，基于網絡安全的初心開展等保的單位企業少之又少，而絕大都是單位企業都是政策要求，其中具體又可以細分為

行業主管部門要求開展等保，比如電力行業和金融行業，這兩個行業都有文件要求開展等保，所以在眾多民營企業中不愿意做但是必須需要做等保。

尋找背鍋俠，部分政府單位對等保不感冒，但是被等保機構銷售忽悠后以為做的等保就可以給自己上一道“保險”，純粹為了事后找等保機構給自己背鍋。

利益關系，部分單位的信息化負責人也想通過項目采購實現利益共同體，這里就不多說了。

（2） 技術能力不強，重設備輕管理，眾多甲方單位沒有網絡安全管理專職崗位，基本都是由負責網絡的或者負責服務器的人員兼任，且除了銀行、證券等少數單位外，大部分單位的技術人員技術水平其實并不高，很多都是通過外包或者集成商代為運維，這就造成測評過程中，甚至不知道某某設備的所有管理賬戶和口令，因為外包人員和集成商一般只給一個管理賬戶或者一般不給審計管理員賬戶，網而絡安全意識培訓幾乎沒有。

（3） 對網絡安全理解片面，有些單位技術人員認為網絡安全就是滲透，過度吹捧滲透能力，輕視測評，認為測評是走過場，這也有部分是測評機構的原因，下面會單獨說。

測評機構的主要問題

目前國內的測評機構有199家，測評機構主要分為以下幾類：

（1） 北京地區國字頭的測評機構：全國199家測評機構中北京就占了30多家，幾乎都是國字頭的背景，很多掛著都是行業或者部委的名頭，這些測評機構基本不愁業務，也有能力吸引優秀的畢業生，技術能力也較強，能夠專心的從事技術，同時由于面對的客戶大都是行業內或部委的單位，測評過程中比較順利，因此在硬件整改方面，被測單位幾乎都很全，比較典型的例子就是，2018年培訓時，北京的某某老師說，身份鑒別的雙因素認證應該時高危，設備沒有就不符合，但是從地方測評機構來看，至少江西和湖北是無法做到，因為雙因素認證要求除了一次性采購身份認證平臺硬件設備外，還需要UKEY硬件費用，還不算每年的證書續期費用和人工管理成本費用，這費用足夠每年做一次等保測評了，畢竟北京和很多二三線地方相比，無論經濟實力和思想認識上，差距還是挺大的。

（2） 二三線城市的測評機構，這類測評機構大部分是當地的領頭羊，除了測評外，基本還有其他風險評估、軟件測試業務，所以，在當地省份和鄰近省份還是比較有名的，有的甚至還將業務做到了鄰近省份。

（3） 二三線城市和新加入的測評機構，這類測評機構基本都是處于隨時會被淘汰邊緣，之前有個江蘇某家測評機構居然每年連能力驗證都不知道也不參加，測評報告全是基本符合，沒有不符合，這類很多前身都是集成公司，技術實力較低，把等保測評當作駕校培訓，每年被停止營業的大部分就是這類。

目前個人認為，由于上述測評機構性質的原因，測評機構存在的主要問題有如下幾個方面：

（1） 惡意競爭。

大部分非國字頭或國企背景的測評機構在面對越來越激烈市場競爭時，壓力越來越大，尤其今年疫情的原因，很多機構一二季度都無法開展測評，筆者所在的機構在中部某省也算是排名前3 的機構，但是一直到6月才逐漸慢慢恢復業務，非國字頭的測評機構如果沒有業務就意味著倒閉，畢竟每天的稅費、人工成本壓力很大，加上近兩年，準入門檻降低，新增了一批測評機構，又放寬了異地測評條件，競爭壓力更大，因此，惡意低價搶標的事件層出不窮，有些機構甚至3W一個系統，測評費用降低最終導致測評時間短、測評人員技術水平低，測評機構之間相互壓價，畢竟，生存下來才是首位的。

（2） 人員流動性大。

目前在一線城市測評師稅前工資基本是7000-9000左右，二三線城市就5000-6000左右，說實話，這對于一個網絡安全行業的從業人員來說，確實較低，這還是有相關工作經驗的，要知道筆者所在的中部某省，系統集成、廠家技術支持、軟件測試等崗位的工資都至少6000以上，開發的工作普遍1W，而測評人員項目壓力大，經常出差，文檔要求高、技術能力要求高，這點工資很難吸引優秀的人員，筆者所在測評機構年前開始一直在招聘，至今入職的才4個人，很多邀請面試的人員壓根對測評不感冒，再加上一聽工資待遇并不高，根本不來面試，或者約了面試也不打招呼也不來，或者面試通過后要求回去考慮，結果考慮考慮就不來，筆者感覺今年招聘特別難，且在職的很多人員因為疫情期間工資未發放都開始人心浮動，一方面，測評項目費用低逐漸降低，另一方面，測評機構的成本逐漸增加，要減少成本就必須多做項目，減低邊際成本，導致形成沖突無可避免，

（3） 測評機構缺少長遠發展規劃

目前測評機構大部分為非國企，部分國企背景的也是盈虧自負，可能少部分屬于事業單位，但是筆者所在的中部省份區域中，測評機構均為私營企業，股東和管理層缺少長遠硅規劃，這幾年測評吃香那就搞測評，未來幾年商密吃香就搞商密，感覺就像割韭菜，尤其是盲目擴張業務，但是人員技術能力和管理曾水平卻沒有得到提升，企業往往更看重做大，卻很難做強，缺少明確的發展規劃，個人也看不到發展前景。

4）測評機構獨立性不足

測評機構為營利性決定了測評機構不可能完全中立，所以很多地方暴露出花錢買報告的情況就習以為常了，而且測評管理辦法對測評機構處罰力度比較小，即便吊銷推薦證書，原班人馬換個公司又可以從頭開始。加上客戶要求越來越高，測評機構必然的傾向于客戶，畢竟，對于絕大部分機構來說，客戶就是上帝。

標準體系方面

等吧2.0標準發布以來，筆者認為，等保2.0系列標準既有進步的一方面，同時又存在一些問題。

（1） 標準制定過程中，受安全產品廠家影響較大，筆者粗略看了下，國內大部分行業前10 的廠家基本都參加制定標準，具體廠家名稱就不提了，筆者認為，標準的制定應該主要由標準委制定，至少明面上標準委是沒有利益傾向的，如果廠家參與，難免或多或少會傾向自己的產品。這也就是為什么等保2.0出臺后，很多廠家均發布了一些基礎版套餐、標準版套餐和豪華版套餐等等文章，讓很多客戶單位慢慢被認為等保測評就是花錢買設備，而國家推行等保測評的初衷卻不甚了解。

（2） 標準制定水平較1.0差，基本要求中，比如光日志審計居然存在3處，安全區域邊界、安全計算環境和安全管理中心中均為日志審計做了要求，其中區域邊界和安全計算環境幾乎一模一樣，筆者作為測評行業“老人”，也沒看懂到底有何重復測評意義，更何況客戶如何看懂。除此之外，數據的完整性、數據的保密性等也是如此。測評要求中，很多測評指標的對應的測評對象明顯無法測評，比如剩余信息保護測評對象是終端和服務器等設備中的操作系統、業務應用系統、數據庫管理系統、中間件和系統管理軟件，操作系統在Windows上都比較清晰可操作，但在Linux上異議很多，但數據庫管理系統、中間件、業務應用系統上如何測評，卻沒有詳細說明，測評要求的測評實施很多都是文義描述，缺少可操作性和實踐性，導致測評過程中，測評實施方法各不相同。目前很多客戶單位也在學習等保2.0系列標準，但是很多標準測評機構都無法解釋，如何給客戶解釋。筆者認為，基本要求可以是概括性、方向性的要求，但是測評要求一定要能可操作可理解，否則，一個專業人員都無法理解的國家標準存在有何意義。

未來

吐槽了許多，筆者認為，等級測評未來發展仍然是比較有市場前景和政策前景，畢竟我國在網絡安全保護方面距離美國等網絡安全強國差距太大，尤其在理論研究上。在一味追求低成本測評和客戶越來越高的要求下，等級測評行業未來3年內可能會迎來一輪洗牌，希望真正將等級測評工作做扎實，這需要眾多測評機構、網安、科研機構等參與，能夠將等級測評體系像ISO27000一樣輸出國外。
責編AJX