今天讨论一下一个话题,为何中国的等级保护实施这么多年一直存在效果不理想的问题,本人作为甲方、乙方和第三方均参与过等级保护工作,在此谈一下我的一个观点,那就是如题目所说:低价中标不能继续搞了。为什么呢?
我们来分析一下目前的现实案例,某单位计划组织xx系统的等级保护测评招标,因为系统分布比较散涉及到大量的人力投入,最后几家单位应标,根据出差情况,人力要求等方面基本上报了一个符合标的的价格,但其中一家单位报价居然低了数倍,价格相差很大(抱歉为了避免联想,能省则省了)。按照目前的招标政策结果很明显,最低价中标。那么执行效果如何。那就是压缩人员,压缩现场,减少测试,远程提交,最后的效果就是出上几个报告,远程看一下草草了事,根本谈不上等级测评。这跟网上传的一个安全服务的例子一样,某单位计划投资n多万搞个安全渗透测试,评来评去,最后找了个实习生花了几千元用免费漏扫了一下,出了个报告就交差了。不同的场景同样的效果,就是敷衍了事,根本没有达到预期的效果,安全问题没有得到发现更谈不上解决。这里的原因是什么呢,难道怪安全服务企业不尽责,人家连饭都吃不饱怎么可能好好干,到处都是精简,实际上该简的没简,不该简的都省掉了。
前面说的是一个例子,那么我来总结一下低价中标为何是等级保护的毒瘤呢?问题的理解主要有以下几个方面:
1、服务不值钱。这是目前的一个普遍屌丝观点,找几个人检测一下,出个报告就收多少钱,一些单位总觉得这种活应该很便宜,是的,可以很便宜,就跟前面的例子一样,找个没毕业的学生用软件扫一下,然后对着模板把内容填一下,可以交差。实际效果是什么的,达到安全检测的目的了么,什么都没有达到,总有一个目标完成了,那就是为单位省了钱,超额完成该项任务。是不是很可笑。
2、做了也没用。有些单位说了这东西就是应付,做了也没用。等保的规范客观的说是目前所有安全标准规范体系中最成体系,最为完善的,真正单位落实该项检查要求,配合测评单位组织检查是能真正提高防护能力且能发现问题的,但是实施过程中由于低价中标,成本原因,测评单位不愿意也不敢投入,被测评单位也不配合,要啥没啥还想通过,且招标要求需要通过,真是逼良为娼,测评单位怎么可能好好搞,结果可想而知。
3、有低价说明有空间。既然有人报低价了,那就说明符合市场规律。其实错了,目前的低价中标市场是一个不成熟的,畸形的市场,每项工作都是有固定成本的,竞争对手恶意竞争,损失的空间不是服务单位的空间,而是被测单位的安全空间,其实是花钱办坏事,明明有问题说没问题,最后拍板子拍在谁身上,还是客户自己身上,因为测评单位有各种理由说不怪他们,后面的道道多着。
4、等保不要技术。这是目前存在的很大问题,众多等保企业为了利润,(根源在哪里就是低价),不敢聘请资深的技术人员,也养不起这些技术人员,有些服务单位找几个刚毕业的学生,按照流程走就算完成测评了,一些深度的问题根本就发现不了,甚至都搞不清这些工作都是什么,这样怎么可能搞好。有些单位说了我要求了什么级别的人员,但都不算算一个真正资深安全服务师动就10万上几十万的年薪,你想让服务单位总共几万元就派上几个蹲守N月,简直是白日做梦。碰见这样的要求,实在是无语。
前面都是我随笔而写比较乱,但是有感而发,其实这样的问题到处存在,只是目前安全问题已经不是企业的问题,现在已经上升到国家的问题了,还这样搞就是在砸锅了。政府天天说落实等保,其实方法很简单,但是都不愿意碰,怕担责,再次无语,其实责任一直在,只是你在雾里面看不见,掩耳盗铃而已。具体措施在此不谈了,有机会再聊聊。