信息安全呼唤配套的专业服务

      信息安全

  越来越成为保障企业网络的稳定运行的重要元素。信息安全产业经过多年的实践和摸索,已经初具规模,在技术上、产品方面取得了很大的成就,但随着企业面临的安全威胁不断变化,单纯地靠产品来解决各类信息安全问题已经不能满足用户的实际安全需求。人们已经意识到,从根本上解决目前企业所面临的信息安全难题,只靠技术和产品是不够的,服务将直接影响到解决各类安全问题的效果。

  因此,安全服务是一个完整安全体系中不可或缺的部分,安全服务和各种安全产品和技术的融和使用,才能真正的保障一个大型网络的动态和持续安全。所以,构建完善的信息安全防护体系,获取个性化安全服务已是众多企业级用户迫在眉睫的急切需求。

  安全服务的机遇与挑战

  安全服务的理念从2004年就不断被提出,当初用户接受程度并不高,导致很多安全服务提供商难以为继,单一的安全服务并没有成气候,逐渐退居成为产品销售的筹码。一直以来,企业单位一般简单进行一下设备选型,就上马安全项目的作法比较普遍。据统计,国内企业在IT安全服务与产品方面的投资比为1:9,而全球的平均比例为1:1。IDC中国跨产品小组的市场分析员指出:“这表明中国大陆的企业在投资建立必要的安全基建架构时,尚未把增加IT安全服务纳入企业的核心安全策略中。”以上数据说明,目前我国用户在安全服务的投入相对网络和业务应用建设相对较少。

  可喜的是,随着信息服务的不断发展和企业信息安全理念的日趋成熟,现在绝大多数客户对安全投资变得更加谨慎和理性。用户在采购产品的时候更清楚自己想要什么,想通过部署安全产品达到什么样的效果。更为关键的是,客户安全需求更多的是针对自己的业务安全保障,信息安全市场正在逐渐由简单设备采购转变为整体安全保障。

  与此同时,国家相关部门对于信息安全给予了相当的重视,2006年正式实施的《信息安全等级保护管理办法》,以国家法规的形式规定了不同类型企事业单位的信息安全等级要求,更为安全服务市场提供了指路的明灯。在这一系列新形势下,安全服务的价值愈加凸显。对用户而言,专业的安全评估、技术分析、应对措施、策略制定都将成为安全服务的新亮点。

  厂商:成为合格的服务提供商

  企业信息安全问题并不是简单靠信息安全产品的堆砌就能解决的,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。对信息安全状态进行评估,找出企业网络的安全缺陷,实施安全审计和操作,从而保障大型和复杂网络环境的信息安全。

  随着信息安全市场转向以客户为中心的买方市场,用户在选择服务时更加注重自身业务的安全。同时,随着黑客、病毒等技术发展,对安全服务人员技术要求就会变得更高。

  因此,一个合格的安全服务厂家必须具备如下条件:首先,拥有一定的有经验和能力的安全服务人员;其次,拥有一定技术的储备,具备技术延续和发展能力;再次,拥有快速响应的服务支持体系;第四,具有良好的服务意识和保密制度;第五,具有快速的市场反应能力,能够根据市场需要及时调整服务内容。

  安全服务同样也存在风险,只是不同的服务有不同的风险系数,因此,在安全服务中服务人员的技术能力和经验尤为重要。在安全服务前期需要能够和用户进行良好沟通,了解用户的各种环境和应用的重要性,在安全服务时做好相关的备份和预防措施。

  用户:正确认识和购买安全服务

  任何信息安全产品都不能保证100%的安全,安全服务体系所提供的一个更好的保障。但是长期以来,用户普遍的认为服务跟产品应该是一体的,购买产品的同时就应该得到附带的服务。其实这个观点是不正确的,它将产品售后服务与安全服务混为一谈。产品售后服务是厂商为了保证用户对产品的使用效果而提供的基本服务项目,而安全服务是一种更加高端的附加服务项目,是一种增值服务。因此,在购买安全服务的时候,首先要扭转这种认识上的误区。

  目前有许多信息安全厂商和独立的安全服务商都在开展安全服务。信息安全厂商在给用户提供安全产品的同时也提供产品之外的安全服务,有些厂家还单独设立了安全服务部门。面对令人眼花缭乱的安全服务市场,用户应当如何做出选择?我们知道,安全服务是个技术含量较高的技术服务,需要安全服务厂家具备一定的技术、人员储备,同时,安全服务对用户来说也是一个长久的工作。

  所以在选择安全服务的时候要注意以下几个方面:首先要选择一定实力和知名的安全服务厂家;其次要根据自身的实际需要选择安全服务内容;第三一定要与安全服务厂家签订好服务内容和保密协议。

  立足于产品的安全服务

  技术是产品的基础,只有拥有良好的技术才能创造出性价比超高的安全产品;产品将技术予以细致表现,用户可以通过产品更好的享受技术所带来的优越性能;而服务则是为技术和产品予以更加完善,使用户在使用技术创造的产品上更无后顾之忧。服务的使命是解决产品无法解决的难题。

  在整个安全体系中,服务架构于产品之上,具体分析并解决各类复杂的安全问题,为整个安全防护体系提供最可靠的保障。安全服务是一种技术服务。我们在这里作个比喻,如果我们到医院体检,医生要借助各种医疗设备进行分析,并在检查中结合自己的经验得出最终的诊断结果。

  安全服务从某种意义上说就像医生和就诊者的关系,安全服务人员必须通过与各种技术产品相结合对用户的网络、主机环境进行分析,对一些可疑现象利用自己的经验给出结果和处理方式。安全服务是为用户提供问题预防和紧急处理的服务方式,就好像用户的私人医生,通过定期体检,找到和发现可能出现的问题,并加强自身安全系数,一旦出现问题是,可以迅速处理。

  同时,安全服务也是建立在安全产品基础上的服务方式,只有更好的安全产品才能提供更好的安全服务保障,这两方面是相辅相成的。借用上面举的医生和就诊者的关系,安全产品就好像医生开的医疗或保健品,医生需要知道你在使用这些医疗或保健品后有什么反应和问题,并提供新的预防和处理方法。

  安全服务的核心是帮助用户建立和维护一套健康的信息安全运行体系,保证用户业务的正常运行,协助用户建立“预防为主、快速响应、迅速处理”的安全保障体系。在当前情况下,安全服务厂商应该更多地从用户的角度和需求考虑,帮助用户分析当前存在的问题,给用户提供切实可行的安全服务方案。