低价中标是落实等级保护的毒瘤

     今天讨论一下一个话题，为何中国的等级保护实施这么多年一直存在效果不理想的问题，本人作为甲方、乙方和第三方均参与过等级保护工作，在此谈一下我的一个观点，那就是如题目所说：低价中标不能继续搞了。为什么呢？

      我们来分析一下目前的现实案例，某单位计划组织xx系统的等级保护测评招标，因为系统分布比较散涉及到大量的人力投入，最后几家单位应标，根据出差情况，人力要求等方面基本上报了一个符合标的的价格，但其中一家单位报价居然低了数倍，价格相差很大（抱歉为了避免联想，能省则省了）。按照目前的招标政策结果很明显，最低价中标。那么执行效果如何。那就是压缩人员，压缩现场，减少测试，远程提交，最后的效果就是出上几个报告，远程看一下草草了事，根本谈不上等级测评。这跟网上传的一个安全服务的例子一样，某单位计划投资n多万搞个安全渗透测试，评来评去，最后找了个实习生花了几千元用免费漏扫了一下，出了个报告就交差了。不同的场景同样的效果，就是敷衍了事，根本没有达到预期的效果，安全问题没有得到发现更谈不上解决。这里的原因是什么呢，难道怪安全服务企业不尽责，人家连饭都吃不饱怎么可能好好干，到处都是精简，实际上该简的没简，不该简的都省掉了。

      前面说的是一个例子，那么我来总结一下低价中标为何是等级保护的毒瘤呢？问题的理解主要有以下几个方面：

      1、服务不值钱。这是目前的一个普遍屌丝观点，找几个人检测一下，出个报告就收多少钱，一些单位总觉得这种活应该很便宜，是的，可以很便宜，就跟前面的例子一样，找个没毕业的学生用软件扫一下，然后对着模板把内容填一下，可以交差。实际效果是什么的，达到安全检测的目的了么，什么都没有达到，总有一个目标完成了，那就是为单位省了钱，超额完成该项任务。是不是很可笑。

     2、做了也没用。有些单位说了这东西就是应付，做了也没用。等保的规范客观的说是目前所有安全标准规范体系中最成体系，最为完善的，真正单位落实该项检查要求，配合测评单位组织检查是能真正提高防护能力且能发现问题的，但是实施过程中由于低价中标，成本原因，测评单位不愿意也不敢投入，被测评单位也不配合，要啥没啥还想通过，且招标要求需要通过，真是逼良为娼，测评单位怎么可能好好搞，结果可想而知。

    3、有低价说明有空间。既然有人报低价了，那就说明符合市场规律。其实错了，目前的低价中标市场是一个不成熟的，畸形的市场，每项工作都是有固定成本的，竞争对手恶意竞争，损失的空间不是服务单位的空间，而是被测单位的安全空间，其实是花钱办坏事，明明有问题说没问题，最后拍板子拍在谁身上，还是客户自己身上，因为测评单位有各种理由说不怪他们，后面的道道多着。

   4、等保不要技术。这是目前存在的很大问题，众多等保企业为了利润，（根源在哪里就是低价），不敢聘请资深的技术人员，也养不起这些技术人员，有些服务单位找几个刚毕业的学生，按照流程走就算完成测评了，一些深度的问题根本就发现不了，甚至都搞不清这些工作都是什么，这样怎么可能搞好。有些单位说了我要求了什么级别的人员，但都不算算一个真正资深安全服务师动就10万上几十万的年薪，你想让服务单位总共几万元就派上几个蹲守N月，简直是白日做梦。碰见这样的要求，实在是无语。

    前面都是我随笔而写比较乱，但是有感而发，其实这样的问题到处存在，只是目前安全问题已经不是企业的问题，现在已经上升到国家的问题了，还这样搞就是在砸锅了。政府天天说落实等保，其实方法很简单，但是都不愿意碰，怕担责，再次无语，其实责任一直在，只是你在雾里面看不见，掩耳盗铃而已。具体措施在此不谈了，有机会再聊聊。