在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

探討分析當前網絡安全行業的問題,展望未來網絡安全行業的發展趨勢

如意 ? 來源:FreeBuf ? 作者:tc01680 ? 2020-10-10 09:49 ? 次閱讀

前言

目前網絡安全話題越來越火,網上關于網絡安全的話題比比皆是,但大都是從甲方或乙方的角度寫的,鮮有從測評機構的角度分析和總結,因此,本文將從一個4年的測評工作角度進行探討和分析當前網絡安全行業的問題,并竊以展望未來網絡安全行業的發展趨勢。

以下僅為筆者個人意見,不代表任何機構,如果異議,歡迎討論。

甲方存在的主要問題

這幾年做過的甲方的測評項目中,其中主要分布在政府、事業單位,人社、國土、財政、衛生和交通類,私企也有,但不多,一般是金融類私企。

(1) 等保初衷:從各行各業的開展等保來看,基于網絡安全的初心開展等保的單位企業少之又少,而絕大都是單位企業都是政策要求,其中具體又可以細分為

行業主管部門要求開展等保,比如電力行業和金融行業,這兩個行業都有文件要求開展等保,所以在眾多民營企業中不愿意做但是必須需要做等保。

尋找背鍋俠,部分政府單位對等保不感冒,但是被等保機構銷售忽悠后以為做的等保就可以給自己上一道“保險”,純粹為了事后找等保機構給自己背鍋。

利益關系,部分單位的信息化負責人也想通過項目采購實現利益共同體,這里就不多說了。

(2) 技術能力不強,重設備輕管理,眾多甲方單位沒有網絡安全管理專職崗位,基本都是由負責網絡的或者負責服務器的人員兼任,且除了銀行、證券等少數單位外,大部分單位的技術人員技術水平其實并不高,很多都是通過外包或者集成商代為運維,這就造成測評過程中,甚至不知道某某設備的所有管理賬戶和口令,因為外包人員和集成商一般只給一個管理賬戶或者一般不給審計管理員賬戶,網而絡安全意識培訓幾乎沒有。

(3) 對網絡安全理解片面,有些單位技術人員認為網絡安全就是滲透,過度吹捧滲透能力,輕視測評,認為測評是走過場,這也有部分是測評機構的原因,下面會單獨說。

測評機構的主要問題

目前國內的測評機構有199家,測評機構主要分為以下幾類:

(1) 北京地區國字頭的測評機構:全國199家測評機構中北京就占了30多家,幾乎都是國字頭的背景,很多掛著都是行業或者部委的名頭,這些測評機構基本不愁業務,也有能力吸引優秀的畢業生,技術能力也較強,能夠專心的從事技術,同時由于面對的客戶大都是行業內或部委的單位,測評過程中比較順利,因此在硬件整改方面,被測單位幾乎都很全,比較典型的例子就是,2018年培訓時,北京的某某老師說,身份鑒別的雙因素認證應該時高危,設備沒有就不符合,但是從地方測評機構來看,至少江西和湖北是無法做到,因為雙因素認證要求除了一次性采購身份認證平臺硬件設備外,還需要UKEY硬件費用,還不算每年的證書續期費用和人工管理成本費用,這費用足夠每年做一次等保測評了,畢竟北京和很多二三線地方相比,無論經濟實力和思想認識上,差距還是挺大的。

(2) 二三線城市的測評機構,這類測評機構大部分是當地的領頭羊,除了測評外,基本還有其他風險評估、軟件測試業務,所以,在當地省份和鄰近省份還是比較有名的,有的甚至還將業務做到了鄰近省份。

(3) 二三線城市和新加入的測評機構,這類測評機構基本都是處于隨時會被淘汰邊緣,之前有個江蘇某家測評機構居然每年連能力驗證都不知道也不參加,測評報告全是基本符合,沒有不符合,這類很多前身都是集成公司,技術實力較低,把等保測評當作駕校培訓,每年被停止營業的大部分就是這類。

目前個人認為,由于上述測評機構性質的原因,測評機構存在的主要問題有如下幾個方面:

(1) 惡意競爭。

大部分非國字頭或國企背景的測評機構在面對越來越激烈市場競爭時,壓力越來越大,尤其今年疫情的原因,很多機構一二季度都無法開展測評,筆者所在的機構在中部某省也算是排名前3 的機構,但是一直到6月才逐漸慢慢恢復業務,非國字頭的測評機構如果沒有業務就意味著倒閉,畢竟每天的稅費、人工成本壓力很大,加上近兩年,準入門檻降低,新增了一批測評機構,又放寬了異地測評條件,競爭壓力更大,因此,惡意低價搶標的事件層出不窮,有些機構甚至3W一個系統,測評費用降低最終導致測評時間短、測評人員技術水平低,測評機構之間相互壓價,畢竟,生存下來才是首位的。

(2) 人員流動性大。

目前在一線城市測評師稅前工資基本是7000-9000左右,二三線城市就5000-6000左右,說實話,這對于一個網絡安全行業的從業人員來說,確實較低,這還是有相關工作經驗的,要知道筆者所在的中部某省,系統集成、廠家技術支持、軟件測試等崗位的工資都至少6000以上,開發的工作普遍1W,而測評人員項目壓力大,經常出差,文檔要求高、技術能力要求高,這點工資很難吸引優秀的人員,筆者所在測評機構年前開始一直在招聘,至今入職的才4個人,很多邀請面試的人員壓根對測評不感冒,再加上一聽工資待遇并不高,根本不來面試,或者約了面試也不打招呼也不來,或者面試通過后要求回去考慮,結果考慮考慮就不來,筆者感覺今年招聘特別難,且在職的很多人員因為疫情期間工資未發放都開始人心浮動,一方面,測評項目費用低逐漸降低,另一方面,測評機構的成本逐漸增加,要減少成本就必須多做項目,減低邊際成本,導致形成沖突無可避免,

(3) 測評機構缺少長遠發展規劃

目前測評機構大部分為非國企,部分國企背景的也是盈虧自負,可能少部分屬于事業單位,但是筆者所在的中部省份區域中,測評機構均為私營企業,股東和管理層缺少長遠硅規劃,這幾年測評吃香那就搞測評,未來幾年商密吃香就搞商密,感覺就像割韭菜,尤其是盲目擴張業務,但是人員技術能力和管理曾水平卻沒有得到提升,企業往往更看重做大,卻很難做強,缺少明確的發展規劃,個人也看不到發展前景。

4)測評機構獨立性不足

測評機構為營利性決定了測評機構不可能完全中立,所以很多地方暴露出花錢買報告的情況就習以為常了,而且測評管理辦法對測評機構處罰力度比較小,即便吊銷推薦證書,原班人馬換個公司又可以從頭開始。加上客戶要求越來越高,測評機構必然的傾向于客戶,畢竟,對于絕大部分機構來說,客戶就是上帝。

標準體系方面

等吧2.0標準發布以來,筆者認為,等保2.0系列標準既有進步的一方面,同時又存在一些問題。

(1) 標準制定過程中,受安全產品廠家影響較大,筆者粗略看了下,國內大部分行業前10 的廠家基本都參加制定標準,具體廠家名稱就不提了,筆者認為,標準的制定應該主要由標準委制定,至少明面上標準委是沒有利益傾向的,如果廠家參與,難免或多或少會傾向自己的產品。這也就是為什么等保2.0出臺后,很多廠家均發布了一些基礎版套餐、標準版套餐和豪華版套餐等等文章,讓很多客戶單位慢慢被認為等保測評就是花錢買設備,而國家推行等保測評的初衷卻不甚了解。

(2) 標準制定水平較1.0差,基本要求中,比如光日志審計居然存在3處,安全區域邊界、安全計算環境和安全管理中心中均為日志審計做了要求,其中區域邊界和安全計算環境幾乎一模一樣,筆者作為測評行業“老人”,也沒看懂到底有何重復測評意義,更何況客戶如何看懂。除此之外,數據的完整性、數據的保密性等也是如此。測評要求中,很多測評指標的對應的測評對象明顯無法測評,比如剩余信息保護測評對象是終端和服務器等設備中的操作系統、業務應用系統、數據庫管理系統、中間件和系統管理軟件,操作系統在Windows上都比較清晰可操作,但在Linux上異議很多,但數據庫管理系統、中間件、業務應用系統上如何測評,卻沒有詳細說明,測評要求的測評實施很多都是文義描述,缺少可操作性和實踐性,導致測評過程中,測評實施方法各不相同。目前很多客戶單位也在學習等保2.0系列標準,但是很多標準測評機構都無法解釋,如何給客戶解釋。筆者認為,基本要求可以是概括性、方向性的要求,但是測評要求一定要能可操作可理解,否則,一個專業人員都無法理解的國家標準存在有何意義。

未來

吐槽了許多,筆者認為,等級測評未來發展仍然是比較有市場前景和政策前景,畢竟我國在網絡安全保護方面距離美國等網絡安全強國差距太大,尤其在理論研究上。在一味追求低成本測評和客戶越來越高的要求下,等級測評行業未來3年內可能會迎來一輪洗牌,希望真正將等級測評工作做扎實,這需要眾多測評機構、網安、科研機構等參與,能夠將等級測評體系像ISO27000一樣輸出國外。
責編AJX

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 網絡安全
    +關注

    關注

    11

    文章

    3303

    瀏覽量

    61148
  • 網絡攻擊
    +關注

    關注

    0

    文章

    331

    瀏覽量

    23784
收藏 人收藏

    評論

    相關推薦
    熱點推薦

    物聯網未來發展趨勢如何?

    ,人們才會更加信任和接受物聯網技術。 綜上所述,物聯網行業未來發展趨勢非常廣闊。智能家居、工業互聯網、智慧城市、醫療保健以及數據安全和隱私保護都將成為物聯網
    發表于 06-09 15:25

    萬里紅入選安全牛第十二版中國網絡安全行業全景圖

    近日,國內網絡安全權威媒體安全牛正式發布《中國網絡安全行業全景圖(第十二版)》(以下簡稱“全景圖”)。萬里紅憑借技術創新硬實力和全方位安全服務力,以及在數字
    的頭像 發表于 05-13 16:53 ?315次閱讀

    芯盾時代連續十一次入選安全牛《中國網絡安全行業全景圖》

    近日,國內知名網絡安全媒體安全牛正式發布《中國網絡安全行業全景圖(第十二版)》(以下簡稱“全景圖”)。芯盾時代連續十一次上榜全景圖,成功入選零信任、終端安全防護、身份認證、IDaaS、
    的頭像 發表于 05-07 10:53 ?1297次閱讀

    工業電機行業現狀及未來發展趨勢分析

    的部分觀點,可能對您的企業規劃有一定的參考價值。點擊附件查看全文*附件:工業電機行業現狀及未來發展趨勢分析.doc 本文系網絡轉載,版權歸原
    發表于 03-31 14:35

    華為網絡安全產品榮獲BSI首批漏洞管理體系認證

    MWC25巴塞羅那期間,華為面向全球網絡安全技術精英、行業客戶、專家學者等舉辦了網絡安全專題研討會(全球),共同研討網絡安全數據治理、安全
    的頭像 發表于 03-11 09:34 ?315次閱讀
    華為<b class='flag-5'>網絡安全</b>產品榮獲BSI首批漏洞管理體系認證

    通信革新與網絡安全重構:開源生態重塑未來格局

    通信與網絡安全行業正處于技術革新與生態重構的關鍵時期。在通信領域,全球網絡基礎設施不斷升級,5G 商用推動工業互聯網和智慧城市等領域的數字化轉型,而 6G 研發進入攻堅階段,有望實現超高速傳輸和超低
    的頭像 發表于 03-03 09:38 ?415次閱讀

    Lansweeper:強化網絡安全與資產管理

    檢測 通過有價值的報告對整個網絡進行即時網絡安全審計。 你無法保護你不知道你有的東西 多年來,Asset Inventory 在大多數行業領先的安全框架(例如 ISO、NIST 和 C
    的頭像 發表于 02-19 13:59 ?347次閱讀

    芯盾時代入選CCSIP 2024中國網絡安全行業全景冊

    近日,FreeBuf咨詢正式發布《CCSIP 2024中國網絡安全行業全景冊(第七版)》,為企業安全建設及產品選型提供參考。
    的頭像 發表于 01-23 11:09 ?1498次閱讀

    中企通信榮登《CCSIP 2024中國網絡安全行業全景冊》

    近日,備受矚目的《CCSIP 2024中國網絡安全行業全景冊(第七版)》(簡稱“全景圖”)正式發布。中企通信憑借在計算機環境安全、身份識別與訪問管理、威脅檢測與捕獲、事件管理及響應、安全服務等五大
    的頭像 發表于 01-22 14:45 ?358次閱讀

    智能網聯汽車網絡安全開發解決方案

    經緯恒潤網絡安全團隊密切關注行業發展趨勢,致力于為國內外客戶提供優質的網絡安全咨詢服務。在智能網聯汽車電子電氣架構(EEA)開發階段,協助客戶識別到系統的薄弱點并定義
    的頭像 發表于 12-19 17:30 ?1053次閱讀
    智能網聯汽車<b class='flag-5'>網絡安全</b>開發解決方案

    IP地址歸屬地離線庫——網絡安全行業的基石

    IP地址因為其在互聯網中的必要性與特殊性成為了是網絡安全行業的第一道防線。一個IP地址歸屬地離線庫包含大洲、國家、省市、經緯度、郵編等內容,這些信息會幫助網絡安全防御判斷訪問流量的安全性。所以IP
    的頭像 發表于 11-19 11:21 ?587次閱讀

    IP風險畫像如何維護網絡安全

    的重要工具。 什么是IP風險畫像? IP風險畫像是一種基于大數據分析和機器學習技術的網絡安全管理工具。它通過對IP地址的網絡行為、流量特征、歷史記錄等多維度數據進行深入分析,構建出每個
    的頭像 發表于 09-04 14:43 ?541次閱讀

    網絡安全技術商CrowdStrike與英偉達合作

    Falcon網絡安全平臺幫助開發人員安全地利用開源基礎模型,加速人工智能的創新。同時雙方還將開發針對特定行業的定制化網絡安全解決方案。 業界認為將NVIDIA加速計算和生成式人工智能
    的頭像 發表于 08-28 16:30 ?1744次閱讀

    萬里紅入選《嘶吼2024網絡安全產業圖譜》8個細分領域

    反映了網絡安全行業的市場規模,深入分析行業熱門細分賽道的市場潛力和發展趨勢。憑借深厚的技術創新力和全方位安全服務力,萬里紅2大領域榮膺TO
    的頭像 發表于 07-23 14:42 ?1454次閱讀
    萬里紅入選《嘶吼2024<b class='flag-5'>網絡安全</b>產業圖譜》8個細分領域

    人工智能大模型在工業網絡安全領域的應用

    隨著人工智能技術的飛速發展,人工智能大模型作為一種具有強大數據處理能力和復雜模式識別能力的深度學習模型,已經在多個領域展現了其獨特的優勢和廣闊的應用前景。在工業網絡安全領域,人工智能大模型的應用不
    的頭像 發表于 07-10 14:07 ?1574次閱讀
    主站蜘蛛池模板: 女人张开腿男人桶 | 欧美一卡2卡三卡4卡5卡免费观看 | 在线视频h | 亚洲国产福利精品一区二区 | 五月婷婷六月丁香 | 天天干天天插天天 | 亚洲最新在线观看 | 最近高清免费观看视频大全 | 欧洲一级鲁丝片免费 | 手机亚洲第一页 | 国产精品嫩草影院一二三区 | 午夜影院黄 | 天天干干干 | bt种子磁力天堂torrent | 天天爽夜夜爽天天做夜夜做 | 又粗又大撑满了好爽 | 国产精品特黄毛片 | 中文天堂最新版资源新版天堂资源 | 成 人 a v黄 色 | 久操视频在线观看免费 | 青草青青视频 | tube69hdxxxx日本 | 日韩加勒比在线 | 激情五月综合综合久久69 | 国产精品欧美激情在线播放 | 丁香六月色婷婷 | 国产播放啪视频免费视频 | 久久黄色影片 | 久久免费精品国产72精品剧情 | 福利区在线观看 | 亚洲色图 第一页 | 35pao免费视频 | 永久看片 | 亚洲成色www久久网站 | 91亚洲免费视频 | 美女黄色一级毛片 | 国产青草| 欧美性猛交xxxx黑人喷水 | 在线免费视频你懂的 | 人人免费操 | 亚色网站 |