?1、等級保護制度的發展歷程
早在1994年國務院147號令就首次提出了等級保護制度,2007年是等保1.0,2017年頒布了網絡安全法。2019年實行了等保2.0的新標準。從這個過程來看,我們可以做一個判斷,不做等保就有違國家法律。
這個過程中涉及幾個角色。第一個是運營使用單位,決定了等保的市場有多大,幾乎所有的能夠對外提供服務的網站、系統國家都規定要過等保,大家可以設想一下日常使用的APP和網站有多少。第二個角色是GongAn機關,做監督檢查的角色,除此之外,建設過程中還有兩個角色,大型安全廠商是建設方,提供安全設備和能力,還有測評機構,承接定級咨詢服務,以及做測評,這四個角色構成了等級保護的整體流程。
等級保護制度分為兩個部分:等保有一個技術體系要求,還有一個管理體系要求。技術體系要求有五個組成部分,子項就是一些具體技術點了。管理體系又包括相關的管理制度,安全管理機構,明確安全管理人員,安全建設未來怎么管理,包括出現問題以后怎么運維。
回歸到等保的目的,本身就是強制要求所有的運營單位必須做這個事情。發展到現在大家還會提HW,這個過程中有行業HW,也有國家級HW。為什么有了等保制度還要做HW呢。等級保護制度更加傾向于及格線,所有單位都要過這個東西,但是它只是網絡安全的下限。導致很多小的機構,剛開始不重視網安,也必須要做這個事情。
2、等級保護測評的變化內容
回到第二個議題,等保測評的變化內容。GongAn部在今年6月17號組織了所有等保測評機構做線上培訓,沒有任何發文。等保類似于最基本的考試,等保測評模板改變意味著考試難度在變,它是默默給考場和考官提高難度。修訂的有幾個方面,第一個是技術方面發生了變化,第二個無關緊要是測評文件格式變了,第三個是引入了一個非常有前景的東西,就是數據資產也要列入等級保護的測評對象。
技術范圍修訂是測評得分的邏輯完全發生了改變,公式很復雜。這個東西代表了,之前是加分制,現在是減分制。以前達到六十分,七十分就夠了,現在是扣分。有人說只不過是算法變了,但是這次扣分有個很大的變化,是扣分力度變大了,它定義了一般、重要和關鍵測評指標,如果是關鍵測評指標不滿足,一次性扣三倍,重要指標一次性扣兩倍,所以如果不符合是兩倍三倍的扣,之前是你最多不得這一倍的分。GongAn部自己也做了一個測算,同樣場景下,測出來的結果是啥呢,之前平均拿到八九十分的情況,新標準下只能拿到六七十分,平均差二十分。這個就有了差別了。
它在會議當中還講了為什么要做這次調整,這次調整非常大。因為之前的測評有三個缺陷。第一個缺陷是,按照之前的測評要求來,綜合得分偏高,都在八十分以上,到底誰是優良中差拉不開,它要拉開差距,提高對網安底線的要求。第二個缺陷是,之前大家可能更加重視技術層面,管理層面傾向于有文檔,但是不執行,這次明確說了,技術和管理各占50%,這種情況下,安全管理體系的要求會提升。這也要求大家落實網絡安全工作的時候,不僅僅是設備,要用起來,把發散的問題解決掉。第三個缺陷是無關緊要了——19年的公式計算量比較大,這次計算量小一點。
數據資產也要列入測評對象。包括重要數據,大數據等等,要針對不同類型的數據進行匯總和測評,需要對相應的數據做相應的保護,保證數據完整和保密性。我認為這一條跟前面的數據安全法比較相關。這次標志著數據安全迎來很大的風口,具體多長時間,我覺得一兩年左右數據安全市場會有很大的發展。
3、這次變化有哪些影響?
第一點,測評要求提升了,各個單位對安全投資的力度會加大。如果說之前得分的設備不能過等保了,現在肯定要買一些設備,預算要增加,這個影響是產業層面的增長。
其次是數據安全層面驗證未來會成為很大的熱點。但是這次沒有明確說出怎么來保證,但是我自己推測,數據最根本承載的介質就是數據庫,現在沒有把數據庫作為獨立的測評對象來測評,未來是不是一個數據庫或者一個數據庫集來測評,是否要加數據庫審計,數據庫防火墻,數據庫加密等等產品。
另外關鍵的一句話,國家建立數據安全分類分級保護制度。這個跟當年網絡安全法提到的一句話,國家實行網絡安全等級保護制度類似。未來是否會出現數據安全的等級保護制度,這個出來可能也有很大的市場。總結一下,就是安全市場盤子在變大,第二個是數據安全會成為很大的風口。
Q:什么時候能夠看到需求的提升?
A:今年絕對能夠看到需求變化,因為6月18號必須執行新標準,建設過程中的測評項目要按照新的標準來。中腰部這塊市場會飛速變大,很多測評機構過去讓大家過等保會推薦堡壘機,日志審計,VPN,數據庫審計等基礎產品,這次變化以后按照等保的新標準判斷,達不到的點會扣關鍵分,比如APP檢測,高級威脅檢測,我覺得未來要過等保,態勢感知也得再來一套。如果數據資產也成為單獨的測評對象的話,數據庫的產品也會成為等級保護的增量。按照我的經驗,過等保三級可能會花50萬,加一個態勢感知,業內賣都得三十萬左右,保守估計也是這個幅度。
Q:建設過程中等保測評要按新的來,已經建完的,建設過程中,沒有建設的比例是多少?
A:等級保護制度條例明確規定了,三級系統每年至少做一次復測,二級系統兩年至少做一次,四級系統半年要做一次。復測過程中都要按照新標準進行。頭部的企業也在不斷的增加業務系統,也會有這個需求。
Q:這次等保推進的節奏是先從政府,還是互聯網大廠?
A:沒有順序,國內全部的測評機構都要實行新的方案。
Q:特殊項和關鍵項扣分比較多,他們這些企業肯定非常關注對吧,這些關鍵項對應到網絡安全產品上,有哪些是關鍵項和特殊項?
A:我自己理解現在最大改變的還是態勢感知類的產品,其次是其他的技術點用傳統的堡壘機、日志審計,確實能夠滿足,傾向于拔高。未來可能會有一些更加牛逼的代碼,垃圾郵件或者網關的產品,我覺得短期主要是態勢感知。因為明確說了管理制度要提升,你不僅僅要有這個制度,還要有管理流程,安全服務的能力要提升。而且需要高效的工具來閉環,按照HW的要求,現在處理這些問題還是以態勢感知為核心,發現,分析,處置。
Q:態勢感知是不是針對被監管單位,監管單位本身的態勢感知是否要提升?
A:等保當中不會涉及到監管單位的態勢感知,但是確實像人行這種單位要對下級單位進行監測,它會在總部落地SOC加上態勢感知。
Q:安全產品上,除了數據庫以外,還有哪些產品?
A:數據庫審計,數據庫加密,數據庫脫敏,數據庫防火墻是最基本的四個產品,大家可以搜一下,上市公司涉及的有深信服,奇安信,安恒,綠盟等。一些頭部銀行和金融機構請了IBM做,花了很多錢,用人工方法打標簽,匹配到相應的人員和權限,但是使用效果不是特別好。就引入了一個問題,誰的產品能夠更加高效的幫助大家做分類分級的工作了,未來的數據流轉,交易可能都需要這樣的產品。
Q:我也聊過一些IT采購的下游客戶,他們反映這兩年很多安全政策出來,他們反映會隨著新的政策在新領域投入多一點,在老的領域少投一點,是否就是態勢感知和數據安全產品會比較好,老的防火墻會受損?
A:我覺得不會,您可以再跟一些頭部客戶聊聊,我接觸的頭部客戶都是高投入的。比如頭部的券商,銀行等等。
Q:您剛剛提到了今年就會有比較大的提升,客戶每年都有固定的安全預算,現在等保邏輯發生了變化,額外的錢從哪里來呢?
A:以我的經驗,真正對預算卡得嚴的都是相對來說封閉和保守的行業,比如說頭部金融機構,高校,政府,他們都是預算制的,申報的預算固定了,就得從其他地方找。但是預算每年都會向高了報,會有一部分的富余,大部分的行業未必實行預算制呀,相對來說比較靈活一些。
Q:受益的行業排序來看,大致受益的先后順序怎么看?
A:全面開花,很難排序。
