跟绿盟的人聊完,我终于明白了等保和产品需求之间的关系。为什么二级市场没有一个人能够说清楚等保2.0的新增需求?因为安全公司这些人自己都搞不清楚。我上一篇大白话里面详细测算了新增需求,这是我花了一个周末的时间拉着专家一起捣鼓出来的——按照产品线去拆分,主要逻辑是有些安全产品的重要性提升了,有些安全产品的需求被等保2.0的新要求创造出来了,但依然很主观,只能确定大概的量级。这是我跟天融信还有安恒信息的专家聊完得到的想法。但我前两天跟绿盟的安全服务人员聊完以后得到了一个更加简单粗暴的测算方式。
控制项能否完成直接决定了等保评级的分数,而等保的控制项和产品之间有对应关系。众所周知,等保2.0的要求项相比1.0发生了变化,虽然要求项的数量有所下降,但新增了一些重要的要求,前文已经说过,威胁的事前、事中、事后的防护,审计日志留存六个月,邮件安全防护,流量回溯分析等等。说白了,产品和控制项之间有一一对应关系,有了控制项才需要某个产品。而对于一个等保单位来说,影响它选择产品的重要因素有两个:1、定级高低。2、想达到的分数。
从定级高低来说,以前每个单位都希望尽量把等保级别定低。等保2.0时代,网络安全法加强了定级的重要性。等保定级过程中,一个单位拿两种东西,一个是定级备案,单位自己定,是二级还是三级。公安为了防止定低,拿过来定级备案的时候,还要有专家意见。只要录入系统以后就纳入监管了。网络安全法落地以后,看似行业没有变化,但它实际上是通过等保2.0把法律效力落地的,因为只有等保里面才有监督和检查的流程(定级、备案、安全建设整改、等级测评、监督检查)。
从分数来说,等保1.0中60分及格,等保2.0中75分及格,我觉得这个才是决定新增需求的关键因素。前面说了,控制项完成与否决定了分数高低,而完成控制项需要新增产品。对于一个机构而言,需要多少分数除了单位领导的想法以外,也有一些政策要求,比如P2P网站的评分就要达到90分才给发证。更重要的是,除了防火墙、IDS、日志审计这些必备的东西以外,剩下的分数项怎么拿,就要看成本高低,比如态势感知太贵,我可以主动放弃这部分分数,而去拿更加便宜的分数。所以我觉得请安全公司做安全咨询这笔钱肯定少不了,这是为了在达标前提下控制成本。简单粗暴一点去拍市场空间增长,就按照60分到75分的增长幅度就可以了——25%。2018年中国信息安全市场空间500亿,所以这部分增长125亿,加上安全咨询需求59亿,一共184亿,也接近200亿空间,跟前面按照产品测算的结果差不多。
声明:本文来自蛀书狐狸,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
