等保测评升级驱动网安需求大提升

作者：李沐华

1、等级保护制度的发展历程

早在1994年国务院147号令就首次提出了等级保护制度，2007年是等保1.0，2017年颁布了网络安全法。2019年实行了等保2.0的新标准。从这个过程来看，我们可以做一个判断，不做等保就有违国家法律。

这个过程中涉及几个角色。第一个是运营使用单位，决定了等保的市场有多大，几乎所有的能够对外提供服务的网站、系统国家都规定要过等保，大家可以设想一下日常使用的APP和网站有多少。第二个角色是GongAn机关，做监督检查的角色，除此之外，建设过程中还有两个角色，大型安全厂商是建设方，提供安全设备和能力，还有测评机构，承接定级咨询服务，以及做测评，这四个角色构成了等级保护的整体流程。

等级保护制度分为两个部分：等保有一个技术体系要求，还有一个管理体系要求。技术体系要求有五个组成部分，子项就是一些具体技术点了。管理体系又包括相关的管理制度，安全管理机构，明确安全管理人员，安全建设未来怎么管理，包括出现问题以后怎么运维。

回归到等保的目的，本身就是强制要求所有的运营单位必须做这个事情。发展到现在大家还会提HW，这个过程中有行业HW，也有国家级HW。为什么有了等保制度还要做HW呢。等级保护制度更加倾向于及格线，所有单位都要过这个东西，但是它只是网络安全的下限。导致很多小的机构，刚开始不重视网安，也必须要做这个事情。

2、等级保护测评的变化内容

回到第二个议题，等保测评的变化内容。GongAn部在今年6月17号组织了所有等保测评机构做线上培训，没有任何发文。等保类似于最基本的考试，等保测评模板改变意味着考试难度在变，它是默默给考场和考官提高难度。修订的有几个方面，第一个是技术方面发生了变化，第二个无关紧要是测评文件格式变了，第三个是引入了一个非常有前景的东西，就是数据资产也要列入等级保护的测评对象。

技术范围修订是测评得分的逻辑完全发生了改变，公式很复杂。这个东西代表了，之前是加分制，现在是减分制。以前达到六十分，七十分就够了，现在是扣分。有人说只不过是算法变了，但是这次扣分有个很大的变化，是扣分力度变大了，它定义了一般、重要和关键测评指标，如果是关键测评指标不满足，一次性扣三倍，重要指标一次性扣两倍，所以如果不符合是两倍三倍的扣，之前是你最多不得这一倍的分。GongAn部自己也做了一个测算，同样场景下，测出来的结果是啥呢，之前平均拿到八九十分的情况，新标准下只能拿到六七十分，平均差二十分。这个就有了差别了。

它在会议当中还讲了为什么要做这次调整，这次调整非常大。因为之前的测评有三个缺陷。第一个缺陷是，按照之前的测评要求来，综合得分偏高，都在八十分以上，到底谁是优良中差拉不开，它要拉开差距，提高对网安底线的要求。第二个缺陷是，之前大家可能更加重视技术层面，管理层面倾向于有文档，但是不执行，这次明确说了，技术和管理各占50%，这种情况下，安全管理体系的要求会提升。这也要求大家落实网络安全工作的时候，不仅仅是设备，要用起来，把发散的问题解决掉。第三个缺陷是无关紧要了——19年的公式计算量比较大，这次计算量小一点。

数据资产也要列入测评对象。包括重要数据，大数据等等，要针对不同类型的数据进行汇总和测评，需要对相应的数据做相应的保护，保证数据完整和保密性。我认为这一条跟前面的数据安全法比较相关。这次标志着数据安全迎来很大的风口，具体多长时间，我觉得一两年左右数据安全市场会有很大的发展。

3、这次变化有哪些影响？

第一点，测评要求提升了，各个单位对安全投资的力度会加大。如果说之前得分的设备不能过等保了，现在肯定要买一些设备，预算要增加，这个影响是产业层面的增长。

其次是数据安全层面验证未来会成为很大的热点。但是这次没有明确说出怎么来保证，但是我自己推测，数据最根本承载的介质就是数据库，现在没有把数据库作为独立的测评对象来测评，未来是不是一个数据库或者一个数据库集来测评，是否要加数据库审计，数据库防火墙，数据库加密等等产品。

另外关键的一句话，国家建立数据安全分类分级保护制度。这个跟当年网络安全法提到的一句话，国家实行网络安全等级保护制度类似。未来是否会出现数据安全的等级保护制度，这个出来可能也有很大的市场。总结一下，就是安全市场盘子在变大，第二个是数据安全会成为很大的风口。

Q：什么时候能够看到需求的提升？

A：今年绝对能够看到需求变化，因为6月18号必须执行新标准，建设过程中的测评项目要按照新的标准来。中腰部这块市场会飞速变大，很多测评机构过去让大家过等保会推荐堡垒机，日志审计，VPN，数据库审计等基础产品，这次变化以后按照等保的新标准判断，达不到的点会扣关键分，比如APP检测，高级威胁检测，我觉得未来要过等保，态势感知也得再来一套。如果数据资产也成为单独的测评对象的话，数据库的产品也会成为等级保护的增量。按照我的经验，过等保三级可能会花50万，加一个态势感知，业内卖都得三十万左右，保守估计也是这个幅度。

Q：建设过程中等保测评要按新的来，已经建完的，建设过程中，没有建设的比例是多少？

A：等级保护制度条例明确规定了，三级系统每年至少做一次复测，二级系统两年至少做一次，四级系统半年要做一次。复测过程中都要按照新标准进行。头部的企业也在不断的增加业务系统，也会有这个需求。

Q：这次等保推进的节奏是先从政府，还是互联网大厂？

A：没有顺序，国内全部的测评机构都要实行新的方案。

Q：特殊项和关键项扣分比较多，他们这些企业肯定非常关注对吧，这些关键项对应到网络安全产品上，有哪些是关键项和特殊项？

A：我自己理解现在最大改变的还是态势感知类的产品，其次是其他的技术点用传统的堡垒机、日志审计，确实能够满足，倾向于拔高。未来可能会有一些更加牛逼的代码，垃圾邮件或者网关的产品，我觉得短期主要是态势感知。因为明确说了管理制度要提升，你不仅仅要有这个制度，还要有管理流程，安全服务的能力要提升。而且需要高效的工具来闭环，按照HW的要求，现在处理这些问题还是以态势感知为核心，发现，分析，处置。

Q：态势感知是不是针对被监管单位，监管单位本身的态势感知是否要提升？

A：等保当中不会涉及到监管单位的态势感知，但是确实像人行这种单位要对下级单位进行监测，它会在总部落地SOC加上态势感知。

Q：安全产品上，除了数据库以外，还有哪些产品？

A：数据库审计，数据库加密，数据库脱敏，数据库防火墙是最基本的四个产品，大家可以搜一下，上市公司涉及的有深信服，奇安信，安恒，绿盟等。一些头部银行和金融机构请了IBM做，花了很多钱，用人工方法打标签，匹配到相应的人员和权限，但是使用效果不是特别好。就引入了一个问题，谁的产品能够更加高效的帮助大家做分类分级的工作了，未来的数据流转，交易可能都需要这样的产品。

Q：我也聊过一些IT采购的下游客户，他们反映这两年很多安全政策出来，他们反映会随着新的政策在新领域投入多一点，在老的领域少投一点，是否就是态势感知和数据安全产品会比较好，老的防火墙会受损？

A：我觉得不会，您可以再跟一些头部客户聊聊，我接触的头部客户都是高投入的。比如头部的券商，银行等等。

Q：您刚刚提到了今年就会有比较大的提升，客户每年都有固定的安全预算，现在等保逻辑发生了变化，额外的钱从哪里来呢？

A：以我的经验，真正对预算卡得严的都是相对来说封闭和保守的行业，比如说头部金融机构，高校，政府，他们都是预算制的，申报的预算固定了，就得从其他地方找。但是预算每年都会向高了报，会有一部分的富余，大部分的行业未必实行预算制呀，相对来说比较灵活一些。

Q：受益的行业排序来看，大致受益的先后顺序怎么看？

A：全面开花，很难排序。