等保测评中的帕累托定律

意大利经济学家‌维尔弗雷多·帕累托提出的帕累托定律核心思想是：在投入与产出、努力与收获、原因和结果之间，普遍存在着不平衡关系。少的投入可以获得多的产出，小的努力可以获得大的成绩。

在等保测评工作中，也可以用帕累托吗？难道不是要每个测评项都均分精力都过一遍吗？

最近作为第三方陪同甲方跟了几组等保测评，发现测评师A很累，每一个测评点细节都会看，从早上9点一直测评到下午5点，我站在那边都快睡着了。测评师B不会看每个细节，只会看重要的细节，从9点半测到下午4点也就收工了。

举个测应用的简单例子：

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

测评师A：

1、先看看登录界面，让操作人员尝试注册一个已有的账号，是否能够注册成功，或者看看数据库中用户ID是否唯一；

2、不登录的情况下，访问功能链接，看看是否能够访问，看看身份鉴别信息是否被绕过；

3、查看口令复杂度模块，看看密码策略是否设置合理；

4、询问密码是否定期更换，多久更换一次；

测评师B：

让系统管理员打开密码复杂度模块界面，扫了几眼，记录了信息，就结束了。

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

测评师A：

1、先询问系统管理员，看看登录失败多少次，锁定多少分钟；

2、然后自己再让系统管理员试试，是不是如描述所示；

3、询问系统管理员，了解用户登录后长时间没有进行操作时系统会话的结束时间；

4、询问系统管理员，系统在等待用户输入登录凭证（如用户名和密码）或完成其他身份验证步骤（如双因素认证）时，如果用户在一定时间内没有响应，系统是否会自动断开连接。

测评师B：

在查密码复杂度的时候，顺便问一下系统管理员登录失败处理功能，小本本记录一下就O了。

一天下来，看到测评师B如此不动声色但迅捷的完成了测评，我忍不住问：“我看你好像没有测身份鉴别唯一性？然后有些机房的测评项好像也没去看。” B师傅回答：“是的，那些没细问的一般都是符合的，比如我测机房，我不会一条条都看，我会重点关注门禁、防盗报警、标识、防火、温湿度、市电和UPS。如果在市区办公大楼里的机房，我不会专门问诸如这些“机房场地所在的的建筑物要具有防震、防风和防雨等能力。”总之，我测的每个项都是挑里面重要的点和一些常见不符合来测的。一些显而易见符合的，就不去一个个问，或者抠死理去要证明材料啦。

B师的回答顿时让我想起了帕累托定律，这个定律我是知道的，但是我却往往不会运用到工作中。如果让我来测评，不知道是之前为了考试拿分带来的烙印还是什么，我感觉我会有一个惯性按照测评师A的方式“严谨认真”的一条条去扣着标准测。我自己累得够呛，也并不会带来各方的满意。我还常常会陷入一些难以评判的测评细节中无法自拔，花费了大量的时间去查证。而这些查证的细节并不是帕累托中那20%重要的东西。

然后，我又联想到自己的其他习惯，学习时，我也喜欢扣知识细节。就拿CISSP学习来说吧，我一般会每一章每个字都看，慢慢的就在字的海洋中迷失了方向，每天看着读了很多字，但是能力提升却很缓慢。

希望以后的工作和生活，时时能想到帕累托，加强这个意识去评估做事的投入度。

大家觉得等保测评中，是帕累托好还是不帕累托好呢？请留言，如果希望进一步讨论，可以加群。

关注微信公众号，就能看到加群方式啦。

原文始发于微信公众号（透明魔方）：等保测评中的帕累托定律