通过几年甲方安全工作经验，初步总结了几个从局外人视角快速评估甲方安全体系能力，个人会从以下几个方面快速评估甲方安全能力。

1 应用系统

（1）登录接口爆破、验证码刷新问题、无验证码、短信炸弹、邮件炸弹

反映问题：缺少上线流程管控/SDLC流程存在缺陷/安全话语权较低/漏洞发现能力不足。

（2）敏感系统登录无双因素

反映问题：安全话语权较低/安全意识不足。

（3）管理后台对外

反映问题：缺少上线流程管控/SDLC流程存在缺陷/安全话语权较低。

（4）陈旧RCE漏洞未修复

反映问题：缺少漏洞检测和扫描设备/缺少日常渗透测试工作/资产台账不清晰/安全人员意识薄弱。

2 安全建设

（1）waf覆盖率较低

反映问题：安全话语权较低/能力、人员缺失。

（2）waf规则无法识拦截近期POC

反映问题：安全话语权较低/能力、人员缺失。

（3）测试环境互联网暴露

反映问题：安全话语权较低。

（4）漏洞相应速度较慢

反映问题：安全话语权较低/能力、人员缺失。

（5）证书过期

反映问题：安全话语权较低/资产台账不清晰/能力、人员缺失。

3 访问控制

(1)高危端口对外暴露

反映问题：缺少对应流程管控。

(2)内网系统暴露公网

反映问题：缺少对应流程管控。

4 安全意识

(1)弱口令

反映问题：缺少对应流程管控/安全话语权较低。

(2)敏感信息泄露，Github、百度网盘等

反映问题：缺少对应流程管控/缺少安全意识培训。

最后

金融行业以保障业务连续性和稳定性，这里特指券商行业。任何升级和漏洞修复工作可能会破坏连续性和稳定性，变更会导致操作风险，不变更则会出现安全风险。在弱监管时代，安全从业者可能无作为或重汇报，导致整体安全基础能力较弱，实现不通报则不整改，安全风险和操作风险和谐相处。

然而某项重大活动会打破上述平衡，当安全话语权较低时，上述问题很难整改，自下而上推动安全工作是痛苦的也是艰辛的。

无法容忍的习惯改变，登录方式调整，双因素认证，关闭互联网访问的业务系统、密码复杂度的改变，上述变更都会受到业务部门极大的阻力。

无法接受的操作风险，漏洞修复和待升级的补丁较多，如何保证业务连续性和稳定性，对漏洞的理解，补丁的升级、操作系统迁移、高危组件的关停。

无法推动的架构调整，网络架构调整、设备覆盖、waf覆盖、ip封禁，上述变更也会出现极大的业务中断风险。

最后，甲方需要的是解决上述问题的人，而不是提出上述的问题人，如何将变更风险降到最低都是需要技术的沉淀及对IT系统整体的认知，以及最重要的上层领导的支持。技术在日常甲方工作中没有那么重要，只有出了问题的时候才知道技术的必要。时刻保持敬畏之心，负责且审慎尚可苟且。