这一期主题是体系评估，那么这里其实评估的不仅仅的是安全体系的评估，还有业务的评估、风险的评估、设备的评估、人员的评估等等。而且主要是涉及中层的工作。

评估的意义是什么？

评估是综合分析体系现状，考虑体系发展方向的体现。

评估什么？

我们要对业务进行评估，包括大概产生的利润，需要的成本，后期的运营难度，发展空间，能否打出圈内知名度，影响力等等。

我们要对风险进行评估，包括可能发生的意外，意外的损失，运营的时效性等等。

我们要对选用的设备进行评估，包括使用成本，老化率，使用寿命，国产化，安全等等。

我们要对人员进行评估，包括人力成本，人员知识储备量，带来的价值等等。

由谁来评估？

业务方面应该由业务所有者（项目合作者）来进行评估，也就是由高层进行，评估后如果业务可以实施，交由中层进行业务设计，此时要对风险、选用设备进行评估，同时还要对人员进行评估。

业务评估：

（1）成本/利润把控

一个业务的产生首先最直接的目的就是为了让企业盈利，那么整个业务体系的建设成本把控就现得尤其重要。这里回应第一篇文章中评论所说，WAF都用开源的公司到底有多差？我不知道该怎么说这个问题，但是如果中层一句话，采用项目制，每个参与项目的人进行成本控制，谁控制的越好，谁到最后拿的越多。我想使用开源WAF其实就是每一个人评估后的必然结果，一个长期业务大概10年，10年的商业WAF投入需要多少？至少需要花费10万吧，一年1万算良心价格了，这还只是WAF，堡垒机呢？数据库审计呢？流量清洗呢？日志审计呢？漏扫呢？......很多人说安全是个无底洞，一个业务1000万的投入，就算把1000万都用在安全设备，也不见得能用全，要看这1000万怎么花，比如业务接口，如果是私密对接，走VPN走白名单，其实安全设备投入这块就不需要那么多，如果走公网放开接口，那么安全设备投入就要高得多。

（2）运营难度

业务在搭建好之后其实最重要的就是运营，确实不管是高层还是中层都会关心业务在运行期间不要出现问题，这与成本把控同样有所联系，为了不出问题，需不需要投入成本？如果需要投入成本，这个成本最大预算又该是多少？需不需要在运营期间拿下XXX标准（例如PCI、等保等等）这些都要在评估阶段想清楚。

（3）发展空间

业务的发展空间如果很大，即使前期投入超过预算，甚至还有倒贴的可能，但是运营阶段不需要什么投入，业务能力是一个持续增长的趋势，那么这个业务一样会被执行下去，评估业务发展空间也是高层需要做的。

（4）影响力

评估业务的影响力也是必要的，如果可以通过一个业务来提升知名度，那么成本把控也许会显得不那么重要

整个业务评估阶段的影响因素重视程度是相关联的，并没有统一的标准，没有什么阀值，基于市场变化是评估最大的难度。

风险评估：

（1）意外评估

这里所说的风险评估与等保以及体系管理的风险评估还不是一个概念，风险包括人为风险和物理风险，人为风险可能包括人员的内部数据泄露、人为破坏、黑客入侵等等。物理风险可能包括自然灾害、停电等等。等保与体系管理的风险评估大多是评估这些，而我说的风险评估是业务本身的风险，包括业务被中断、投入变化等等，当然两个风险评估是都要做的。

（2）时效性评估

时效性评估主要评估整个业务体系的持续时间与设备投入时间比较，防止因设备老化产生的问题。

这里整体的风险评估也是与投入资金相关联的，之前我在成本把控中说到要体现如何进行成本控制，其中提到的一点是使用开源安全产品进行成本把控，其实是因为开源安全产品不会比厂商设备差到哪里去，性能的差别无非是硬件的差别，就用WAF举例，开源WAF是一段代码，放到服务器中配合nginx做规则匹配判断，与厂商WAF除了硬件性能上的区别，本质是没有什么区别的，都是匹配，从策略层面上说，厂商WAF的策略也许更加贴合市场，误报率会低一些，开源WAF适配时间会长一些，使用中投入的人力成本会大一些，误报率会高一些，我认为本质没有什么区别，都需要业务的适配调整。那么能控制出来的成本可以用在更需要的地方。比如我把用了10多年的交换机更新一批防止老化、把可用性的投入再增加一些。

一个业务的风险如果用一个量化的视图来体现的话，我认为最可能的视图应该是这样的

要搞清风险的来源，根据风险占比制定有针对性的安全措施比全面的投入要经济有效的多。

设备评估：

这里要分软设备与硬设备，举个例子，负载均衡，用keepalived做虚拟IP，与直接使用F5设备的评估，前者虽然免费，但是其性能却无法与F5相提并论，传统F5设备无法上云，且需要考虑老化率与维护的相关事宜，云上的SLB（阿里云）和ELB（华为云）则在原理上与实现架构上均有自己的适配，这个适配在实际使用时应当评估其最大负载量，与负载时出现的轮询BUG。

人员评估：

这其实是人事在筛选时应当做的事情，不过多涉及，那么我们作为面试过程中的面试官或同事角色，应当如何做好对人员的筛选？

其实我认为重点不是在于面试题目，而应该在于人员的接受度，在面临一个岗位时，是否能完成岗位所需的诸多事宜，是否能高效的优化在岗期间每个事务的工作流程，是否能改进现有的架构去推动升级等等。当然能完成以上的任务必然会涉及到专业知识，要有专业知识，要有实战经验，这不仅仅体现在安全从业者，应当是每位从业者都面临的问题。

最后总结一下评估工作，很多人说评估是没有必要的浪费时间，在行动派眼中评估是空想，但我更想说的是，其实任何行动之前都是要评估的，如果评估结果告诉你这件事情可以不做，总要好过做一半发现他没有意义要更节省时间。每个人的时间都是宝贵的，希望所有人在自己的时间内，掌控时间，做自己时间的主人。

*本文原创作者：煜阳yuyang，本文属于FreeBuf原创奖励计划，未经许可禁止转载