信安危机频发背后：曲折前进的等保服务

1994年4月20日，随着中科院计算机网络信息中心成功收发邮件，标志着中国正式连入国际互联网，开启互联网时代。

同年，《中华人民共和国计算机信息系统安全保护条例》颁布，规定计算机信息系统实行安全等级保护。2003年，国家又明确指出对于关键基础设施需要做等级保护测评，首次明确了等保测评的强制性。

2007年，《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》的相继推出，标志信息安全等级保护制度正式开始实施，也宣告着我国进入等保1.0时代。

而当时的中文互联网在网络安全领域亦亟需“添砖加瓦”。

《2007年网络安全工作报告》显示，2007年国内互联网域名注册和使用数量飞速增长，突破1193万，年增长率接近200%。

与之相对的，2007年国内网络仿冒、网页恶意代码、网站篡改等增长速度亦接近200%，木马主机增长率则更为夸张，达到了惊人的2125%。

时任国家计算机网络应急技术处理协调中心运行管理部主任孙蔚敏当时说：“我国网络安全面临的形势非常严峻”，并表示“当务之急是建立并拥有一套完善的网络安全预警和应急保障体系”。

纵观人类历史，万物的发展都基于马克思哲学原理的辩证法范畴的“否定之否定规律”——事物发展总是螺旋式上升和波浪式前进的，经历曲折是事物发展的必然过程。

这一规律同样适用于国内的等保测评行业。

事实上，虽然国内在2007年明确了“等保1.0”标准，但在2007-2010这三年，国内鲜有企业或单位主动进行等保测评。

究其根本，一方面是相关单位对网络安全的重要性和保护意识不足，一方面也有“等保1.0”强制性较低的原因。导致企业往往出于“开源节流”的考虑和 “多一事不如少一事”的原则，选择性忽视“等保测评”。

此外，彼时等保测评赛道的企业也是“凤毛麟角”，即便到2023年，全国可从事等保测评工作的企业也仅有200余家。

但对于网络安全“这场没有硝烟的战争”来说，“兵马未动粮草先行”是必要的。2013年的斯诺登事件就是最好的例子，没有做好准备的参战方将在“这场没有硝烟的战争中”无声的战败。而我国则在2010年再次发文，仿佛“预知未来”般地明确要求部分单位贯彻执行等级保护工作，自此，等级保护测评开始具备强制性。

同一时间，不少信息安全领域的“技术大拿”们嗅到了商机，相继进入等保测评赛道，十余年的发展后，这些“后起之秀”们甚至吸引了诸多“原大厂员工”。

2016年，等保测评体系再次修订，新《网络安全法》也如期而至，国家明确网络运营者应当按照网络安全等级保护制度的要求，履行安全保护的义务。

至此，等级保护成为一种“强制性要求”，并在2019年正式进入“主动防御”时代。

伴随着网络安全等级保护系列标准（基本要求、设计要求、测评要求）的发布与实施，我国正式进入“等保2.0”时代，较“等保1.0”更关注主动防御能力，这样的改变，既是国家发展的需要，更是时代的选择。

回顾2019年的国内网络安全事件，既有涉及普通人的“2亿简历‘裸奔’事件”，也有涉及政府部门的“黑客勒索病毒事件”。在这个万物互联的时代，信息安全已与我们每个人休戚相关。

《2019年中国互联网网络安全报告》也显示，网络安全攻击领域逐渐由党政机关、科研院所向各重要行业领域渗透；信息系统面临的漏洞威胁形势更加严峻；数据风险监测与预警防护能力提升，但数据安全防护意识依然薄弱，大规模数据泄露事件频发。

同期，海外各国的信息泄露问题也日趋严重。2019年，澳大利亚三万名政府雇员信息遭泄露，美国佛罗里达州因遭勒索攻击导致政府工作被迫停摆两周.....以上种种进一步凸显了网络安全“防患于未然”的意义。

在网络安全环境愈发严峻和政策推进双重影响下，国内网络安全领域的发展也顺势而为地走上了快车道。工信部预测，2023年网络安全产业规模超过2500亿元，年复合率超过15%。

等保测评行业也借此东风，迎来行业春天。

公开资料显示，等保2.0标准推出4年后，国内等级保护测评机构数已达233家，较2019年177家的数量，涨幅明显。

那么，在内外双重刺激下，等保测评行业的未来发展会一帆风顺吗？

答案早在第一部分，就已指出——万物的发展都基于马克思哲学原理的辩证法范畴的“否定之否定规律”——事物发展总是螺旋式上升和波浪式前进的，经历曲折是事物发展的必然过程。

首先，需要强调的是——等保测评在国家愈发重视网络安全的背景下，未来将会拥有更加庞大的市场与更广阔的发展前景。同时亦不可忽视，受限于等保测评行业的特殊性，业内竞争短期内仍将颇为激烈。

原360副总裁谭晓生此前曾表示“行业内恶性竞争罕见地激烈，在招标的时候，大家往往都打到成本价”。如此这般，企业即便中标也难以取得足够利润，进而影响企业乃至整个行业的良性发展。

另一个变化也值得关注，早年更倾向于2G市场的等保测评行业，已开始转向2B2G生意。

可以预见，随着市场的扩大和行业的日趋规范，恶性竞争的问题将在未来得到一定的缓解，最终促使行业形成更加合理的正向循环。

其次，2021年颁布的《数据安全法》，进一步完善了网络空间安全治理的法律体系，明确提出要建立健全数据安全治理体系，提升数据安全保障能力，将极大推动数据安全产业、技术、产品等全面发展。

相关机构分析，等保2.0带来的新增市场需求超过200亿元，这对以政企端为核心的等保测评行业，已是极大的增量市场。

毕竟，无论是在生意场上的“富豪”还是为人民服务的“官员”，都无法承担因数据安全问题所导致的可能出现的意外风险，且在斯诺登事件发生10年后的今天，世界各国频繁加码网络安全的背景下，各类数据泄露事件仍层出不穷。

据报道，2022 年 10 月 30 日，英国前首相利兹・特拉斯（Liz Truss）的私人手机被网络间谍入侵；近期美国联邦调查局（FBI）正在调查一起影响美国众议院议员和工作人员的数据泄露事件。

业内人士表示：如今每个节点都可能成为攻击跳板，随时可以发生造成损失严重的“黑天鹅事件”，尤其是关键基础设施单位必须要重视网络安全防范工作。

出于等保测评行业的特殊性，各单位在进行等保测评时，需要有等保测评机构（或企业）的工程师进行现场操作，这使得等保测评企业在开辟外省市场时，也需承担较高的人力、物力成本，这与目前处于“招投标”竞争下的等保测评“价格战”市场，存在一定程度的互斥关系，在行业内形成了一种天然的“省界屏障”，造就了当下等保测评企业，以省为单位的市场竞争格局。

以省为单位竞争格局，也向需要适用等保测评服务的各单位提出了一个问题：如何在本省仅有的几家等保测评企业中，择优取之（假定不考虑招投标价格）？

一句话即可：资质完善、技术强悍、行业社会认可。

资质完善无需解释，作为一种具备一定强制性的特殊行业，等保测评需要有相关单位确认的资质才可从业，技术强悍则更看重企业的技术实力，如企业技术人员高技术人才或相应证书的比例。行业社会认可，则更关注企业此前是否承接过相应的大型项目以及是否入选过部分业内知名榜单等。

以河南省为例，根据最新的《全国网络安全等级测评与检测评估机构目录》，河南省全省共有5家企业，资质完善这一条5家企业均符合；至于技术和社会、行业认可，五家企业均承接过省内多家政府部门的业务。

此时，企业是否具备“独有的加分项”就显得十分重要了。

作为国家强制性要求的等保测评服务，如果企业有国家层面的荣誉背书，自然是对企业实力的一种“官方认可”。

这也是笔者以河南省为例的原因，河南省就有这样一家企业曾取得过国家级的荣誉背书。

2022年1月，网络安全测评机构工作会议暨第二届第五次全体会员大会，河南省鼎信信息安全成为河南省唯一入选“2021年度网络安全等级保护测评机构工作表现突出单位的”机构。同年3月，黄河科技集团战略控股鼎信信息安全，鼎信成为河南省内唯一一家由国资控股的安全测评机构。

最后，将视线拉回等保测评行业，作为一种强制性要求，等保测评的意义在于发现单位系统内、外部存在的安全风险和脆弱性，通过整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。

可以预见，随着世界网络环境的飞速变化，当下的等保2.0终将在“万物互联”的未来迎来新的“等保3.0标准”，提出更加苛刻要求同时也覆盖更多的企事业单位同时，更好地保护数据安全。

而这样的未来，则必然会对整个等保测评行业提供新的活力。

只是这一切，可能还要等待又一个12年的到来。