等保测评师角度浅谈等保2.0

前言

目前网络安全话题越来越火，网上关于网络安全的话题比比皆是，但大都是从甲方或乙方的角度写的，鲜有从测评机构的角度分析和总结，因此，本文将从一个4年的测评工作角度进行探讨和分析当前网络安全行业的问题，并窃以展望未来网络安全行业的发展趋势。

以下仅为笔者个人意见，不代表任何机构，如果异议，欢迎讨论。

甲方存在的主要问题

这几年做过的甲方的测评项目中，其中主要分布在政府、事业单位，人社、国土、财政、卫生和交通类，私企也有，但不多，一般是金融类私企。

1、等保初衷：从各行各业的开展等保来看，基于网络安全的初心开展等保的单位企业少之又少，而绝大都是单位企业都是政策要求，其中具体又可以细分为

1）行业主管部门要求开展等保，比如电力行业和金融行业，这两个行业都有文件要求开展等保，所以在众多民营企业中不愿意做但是必须需要做等保。

2）寻找背锅侠，部分政府单位对等保不感冒，但是被等保机构销售忽悠后以为做的等保就可以给自己上一道“保险”，纯粹为了事后找等保机构给自己背锅。

3）利益关系，部分单位的信息化负责人也想通过项目采购实现利益共同体，这里就不多说了。

2、技术能力不强，重设备轻管理，众多甲方单位没有网络安全管理专职岗位，基本都是由负责网络的或者负责服务器的人员兼任，且除了银行、证券等少数单位外，大部分单位的技术人员技术水平其实并不高，很多都是通过外包或者集成商代为运维，这就造成测评过程中，甚至不知道某某设备的所有管理账户和口令，因为外包人员和集成商一般只给一个管理账户或者一般不给审计管理员账户，网而络安全意识培训几乎没有。

3、对网络安全理解片面，有些单位技术人员认为网络安全就是渗透，过度吹捧渗透能力，轻视测评，认为测评是走过场，这也有部分是测评机构的原因，下面会单独说。