0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

探讨分析当前网络安全行业的问题,展望未来网络安全行业的发展趋势

如意 来源:FreeBuf 作者:tc01680 2020-10-10 09:49 次阅读

前言

目前网络安全话题越来越火,网上关于网络安全的话题比比皆是,但大都是从甲方或乙方的角度写的,鲜有从测评机构的角度分析和总结,因此,本文将从一个4年的测评工作角度进行探讨和分析当前网络安全行业的问题,并窃以展望未来网络安全行业的发展趋势。

以下仅为笔者个人意见,不代表任何机构,如果异议,欢迎讨论。

甲方存在的主要问题

这几年做过的甲方的测评项目中,其中主要分布在政府、事业单位,人社、国土、财政、卫生和交通类,私企也有,但不多,一般是金融类私企。

(1) 等保初衷:从各行各业的开展等保来看,基于网络安全的初心开展等保的单位企业少之又少,而绝大都是单位企业都是政策要求,其中具体又可以细分为

行业主管部门要求开展等保,比如电力行业和金融行业,这两个行业都有文件要求开展等保,所以在众多民营企业中不愿意做但是必须需要做等保。

寻找背锅侠,部分政府单位对等保不感冒,但是被等保机构销售忽悠后以为做的等保就可以给自己上一道“保险”,纯粹为了事后找等保机构给自己背锅。

利益关系,部分单位的信息化负责人也想通过项目采购实现利益共同体,这里就不多说了。

(2) 威廉希尔官方网站 能力不强,重设备轻管理,众多甲方单位没有网络安全管理专职岗位,基本都是由负责网络的或者负责服务器的人员兼任,且除了银行、证券等少数单位外,大部分单位的威廉希尔官方网站 人员威廉希尔官方网站 水平其实并不高,很多都是通过外包或者集成商代为运维,这就造成测评过程中,甚至不知道某某设备的所有管理账户和口令,因为外包人员和集成商一般只给一个管理账户或者一般不给审计管理员账户,网而络安全意识培训几乎没有。

(3) 对网络安全理解片面,有些单位威廉希尔官方网站 人员认为网络安全就是渗透,过度吹捧渗透能力,轻视测评,认为测评是走过场,这也有部分是测评机构的原因,下面会单独说。

测评机构的主要问题

目前国内的测评机构有199家,测评机构主要分为以下几类:

(1) 北京地区国字头的测评机构:全国199家测评机构中北京就占了30多家,几乎都是国字头的背景,很多挂着都是行业或者部委的名头,这些测评机构基本不愁业务,也有能力吸引优秀的毕业生,威廉希尔官方网站 能力也较强,能够专心的从事威廉希尔官方网站 ,同时由于面对的客户大都是行业内或部委的单位,测评过程中比较顺利,因此在硬件整改方面,被测单位几乎都很全,比较典型的例子就是,2018年培训时,北京的某某老师说,身份鉴别的双因素认证应该时高危,设备没有就不符合,但是从地方测评机构来看,至少江西和湖北是无法做到,因为双因素认证要求除了一次性采购身份认证平台硬件设备外,还需要UKEY硬件费用,还不算每年的证书续期费用和人工管理成本费用,这费用足够每年做一次等保测评了,毕竟北京和很多二三线地方相比,无论经济实力和思想认识上,差距还是挺大的。

(2) 二三线城市的测评机构,这类测评机构大部分是当地的领头羊,除了测评外,基本还有其他风险评估、软件测试业务,所以,在当地省份和邻近省份还是比较有名的,有的甚至还将业务做到了邻近省份。

(3) 二三线城市和新加入的测评机构,这类测评机构基本都是处于随时会被淘汰边缘,之前有个江苏某家测评机构居然每年连能力验证都不知道也不参加,测评报告全是基本符合,没有不符合,这类很多前身都是集成公司,威廉希尔官方网站 实力较低,把等保测评当作驾校培训,每年被停止营业的大部分就是这类。

目前个人认为,由于上述测评机构性质的原因,测评机构存在的主要问题有如下几个方面:

(1) 恶意竞争。

大部分非国字头或国企背景的测评机构在面对越来越激烈市场竞争时,压力越来越大,尤其今年疫情的原因,很多机构一二季度都无法开展测评,笔者所在的机构在中部某省也算是排名前3 的机构,但是一直到6月才逐渐慢慢恢复业务,非国字头的测评机构如果没有业务就意味着倒闭,毕竟每天的税费、人工成本压力很大,加上近两年,准入门槛降低,新增了一批测评机构,又放宽了异地测评条件,竞争压力更大,因此,恶意低价抢标的事件层出不穷,有些机构甚至3W一个系统,测评费用降低最终导致测评时间短、测评人员威廉希尔官方网站 水平低,测评机构之间相互压价,毕竟,生存下来才是首位的。

(2) 人员流动性大。

目前在一线城市测评师税前工资基本是7000-9000左右,二三线城市就5000-6000左右,说实话,这对于一个网络安全行业的从业人员来说,确实较低,这还是有相关工作经验的,要知道笔者所在的中部某省,系统集成、厂家威廉希尔官方网站 支持、软件测试等岗位的工资都至少6000以上,开发的工作普遍1W,而测评人员项目压力大,经常出差,文档要求高、威廉希尔官方网站 能力要求高,这点工资很难吸引优秀的人员,笔者所在测评机构年前开始一直在招聘,至今入职的才4个人,很多邀请面试的人员压根对测评不感冒,再加上一听工资待遇并不高,根本不来面试,或者约了面试也不打招呼也不来,或者面试通过后要求回去考虑,结果考虑考虑就不来,笔者感觉今年招聘特别难,且在职的很多人员因为疫情期间工资未发放都开始人心浮动,一方面,测评项目费用低逐渐降低,另一方面,测评机构的成本逐渐增加,要减少成本就必须多做项目,减低边际成本,导致形成冲突无可避免,

(3) 测评机构缺少长远发展规划

目前测评机构大部分为非国企,部分国企背景的也是盈亏自负,可能少部分属于事业单位,但是笔者所在的中部省份区域中,测评机构均为私营企业,股东和管理层缺少长远硅规划,这几年测评吃香那就搞测评,未来几年商密吃香就搞商密,感觉就像割韭菜,尤其是盲目扩张业务,但是人员威廉希尔官方网站 能力和管理曾水平却没有得到提升,企业往往更看重做大,却很难做强,缺少明确的发展规划,个人也看不到发展前景。

4)测评机构独立性不足

测评机构为营利性决定了测评机构不可能完全中立,所以很多地方暴露出花钱买报告的情况就习以为常了,而且测评管理办法对测评机构处罚力度比较小,即便吊销推荐证书,原班人马换个公司又可以从头开始。加上客户要求越来越高,测评机构必然的倾向于客户,毕竟,对于绝大部分机构来说,客户就是上帝。

标准体系方面

等吧2.0标准发布以来,笔者认为,等保2.0系列标准既有进步的一方面,同时又存在一些问题。

(1) 标准制定过程中,受安全产品厂家影响较大,笔者粗略看了下,国内大部分行业前10 的厂家基本都参加制定标准,具体厂家名称就不提了,笔者认为,标准的制定应该主要由标准委制定,至少明面上标准委是没有利益倾向的,如果厂家参与,难免或多或少会倾向自己的产品。这也就是为什么等保2.0出台后,很多厂家均发布了一些基础版套餐、标准版套餐和豪华版套餐等等文章,让很多客户单位慢慢被认为等保测评就是花钱买设备,而国家推行等保测评的初衷却不甚了解。

(2) 标准制定水平较1.0差,基本要求中,比如光日志审计居然存在3处,安全区域边界、安全计算环境和安全管理中心中均为日志审计做了要求,其中区域边界和安全计算环境几乎一模一样,笔者作为测评行业“老人”,也没看懂到底有何重复测评意义,更何况客户如何看懂。除此之外,数据的完整性、数据的保密性等也是如此。测评要求中,很多测评指标的对应的测评对象明显无法测评,比如剩余信息保护测评对象是终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件,操作系统在Windows上都比较清晰可操作,但在Linux上异议很多,但数据库管理系统、中间件、业务应用系统上如何测评,却没有详细说明,测评要求的测评实施很多都是文义描述,缺少可操作性和实践性,导致测评过程中,测评实施方法各不相同。目前很多客户单位也在学习等保2.0系列标准,但是很多标准测评机构都无法解释,如何给客户解释。笔者认为,基本要求可以是概括性、方向性的要求,但是测评要求一定要能可操作可理解,否则,一个专业人员都无法理解的国家标准存在有何意义。

未来

吐槽了许多,笔者认为,等级测评未来发展仍然是比较有市场前景和政策前景,毕竟我国在网络安全保护方面距离美国等网络安全强国差距太大,尤其在理论研究上。在一味追求低成本测评和客户越来越高的要求下,等级测评行业未来3年内可能会迎来一轮洗牌,希望真正将等级测评工作做扎实,这需要众多测评机构、网安、科研机构等参与,能够将等级测评体系像ISO27000一样输出国外。
责编AJX

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3155

    浏览量

    59706
  • 网络攻击
    +关注

    关注

    0

    文章

    331

    浏览量

    23444
收藏 人收藏

    评论

    相关推荐

    智能网联汽车网络安全开发解决方案

    经纬恒润网络安全团队密切关注行业发展趋势,致力于为国内外客户提供优质的网络安全咨询服务。在智能网联汽车电子电气架构(EEA)开发阶段,协助客户识别到系统的薄弱点并定义
    的头像 发表于 12-19 17:30 543次阅读
    智能网联汽车<b class='flag-5'>网络安全</b>开发解决方案

    IP地址归属地离线库——网络安全行业的基石

    IP地址因为其在互联网中的必要性与特殊性成为了是网络安全行业的第一道防线。一个IP地址归属地离线库包含大洲、国家、省市、经纬度、邮编等内容,这些信息会帮助网络安全防御判断访问流量的安全性。所以IP
    的头像 发表于 11-19 11:21 231次阅读

    IP风险画像如何维护网络安全

    的重要工具。 什么是IP风险画像? IP风险画像是一种基于大数据分析和机器学习威廉希尔官方网站 的网络安全管理工具。它通过对IP地址的网络行为、流量特征、历史记录等多维度数据进行深入分析,构建出每个
    的头像 发表于 09-04 14:43 295次阅读

    网络安全威廉希尔官方网站 商CrowdStrike与英伟达合作

    Falcon网络安全平台帮助开发人员安全地利用开源基础模型,加速人工智能的创新。同时双方还将开发针对特定行业的定制化网络安全解决方案。 业界认为将NVIDIA加速计算和生成式人工智能
    的头像 发表于 08-28 16:30 1361次阅读

    万里红入选《嘶吼2024网络安全产业图谱》8个细分领域

    反映了网络安全行业的市场规模,深入分析行业热门细分赛道的市场潜力和发展趋势。凭借深厚的威廉希尔官方网站 创新力和全方位安全服务力,万里红2大领域荣膺TO
    的头像 发表于 07-23 14:42 808次阅读
    万里红入选《嘶吼2024<b class='flag-5'>网络安全</b>产业图谱》8个细分领域

    人工智能大模型在工业网络安全领域的应用

    随着人工智能威廉希尔官方网站 的飞速发展,人工智能大模型作为一种具有强大数据处理能力和复杂模式识别能力的深度学习模型,已经在多个领域展现了其独特的优势和广阔的应用前景。在工业网络安全领域,人工智能大模型的应用不
    的头像 发表于 07-10 14:07 743次阅读

    Palo Alto Networks与IBM携手,深化网络安全合作

    网络安全领域的两大巨头Palo Alto Networks和IBM近日宣布建立全面合作伙伴关系,共同推动网络安全领域的创新发展。根据协议,Palo Alto Networks将收购IBM的QRadar SaaS资产及相关知识产权
    的头像 发表于 05-22 09:40 596次阅读

    广电计量入选“汽车网络与数据安全行业全景图”

    近日,备受行业瞩目的“汽车网络与数据安全行业全景图”名单正式揭晓,广电计量凭借在智能汽车安全领域的前瞻性布局及全面的服务体系成功入选,成为该全景图的首批入选单位。 汽车
    的头像 发表于 05-13 09:22 1466次阅读
    广电计量入选“汽车<b class='flag-5'>网络</b>与数据<b class='flag-5'>安全行业</b>全景图”

    银基科技入选国内首个汽车网络与数据安全行业全景图

    近日,国内完全专注于汽车网络数据安全领域的领先平台谈思实验室(Taas Labs)发布国内首个汽车网络与数据安全行业全景图,银基科技成为首批入选该全景图的企业。
    的头像 发表于 05-09 14:06 1162次阅读
    银基科技入选国内首个汽车<b class='flag-5'>网络</b>与数据<b class='flag-5'>安全行业</b>全景图

    专家解读 | NIST网络安全框架(1):框架概览

    本文主要探讨NIST CSF框架的起源目标、内容组成,及其在网络安全风险管理中的关键作用,通过采用该框架,组织能够更有效地实施风险识别、安全保护、威胁检测和事件响应,从而构建更加坚固和弹性的
    的头像 发表于 05-06 10:30 1356次阅读
    专家解读 | NIST<b class='flag-5'>网络安全</b>框架(1):框架概览

    企业网络安全的全方位解决方案

    病毒、挖矿木马等高危风险频繁发生,不仅影响业务的正常运行,还会导致企业遭受巨大的经济损失。因此,如何全面预防、及时发现并快速处置安全风险,已经成为企业的重点关注问题。 一、面临挑战 当前企业网络安全面临的挑战是
    的头像 发表于 04-19 13:57 665次阅读

    万里红入选《网络安全行业全景图(第十一版)》六大一级类别

    近日,国内网络安全权威媒体安全牛正式发布《网络安全行业全景图(第十一版)》(以下简称“全景图”)。
    的头像 发表于 04-16 10:52 543次阅读
    万里红入选《<b class='flag-5'>网络安全行业</b>全景图(第十一版)》六大一级类别

    芯盾时代连续十次入选安全牛《中国网络安全行业全景图》

    近日,国内网络安全权威机构安全牛正式发布《中国网络安全行业全景图(第十一版)》(以下简称“全景图”)。
    的头像 发表于 04-15 17:22 529次阅读

    工业发展不可忽视的安全问题——OT网络安全

    在数字化时代,工业运营威廉希尔官方网站 (OT)的网络安全比以往任何时候都更加重要。DataLocker,作为OT网络安全的守护者,提供了全面的加密和数据管理解决方案,确保关键基础设施免受网络威胁。一、OT
    的头像 发表于 03-09 08:04 2127次阅读
    工业<b class='flag-5'>发展</b>不可忽视的<b class='flag-5'>安全</b>问题——OT<b class='flag-5'>网络安全</b>

    2024年网络安全趋势及企业有效对策

    年的到来,网络安全领域将迎来新的发展趋势。 数字风险管理的重要性增强 随着企业数字化程度的提升,数字风险管理变得尤为关键。企业应该在数字基础设施中整合网络安全措施,制定风险识别、IT漏洞管理、概率评估和弹性策略等方案。这
    的头像 发表于 01-23 15:46 624次阅读