引言
随着Internet的进一步普及和发展,企业和机构所面临的威胁也越来越多。由于黑客攻击手法层出不穷和技术水平的不断提高。许多企业和机构拥有了先进而昂贵的信息安全设备,传统的老三样“防火墙”“防病毒”“IDS”,各种新贵“反垃圾邮件防火墙”“WEB应用防火墙”以及“上网行为管理”等等,但安全事件依旧频发。究竟是产品不给力还是忽略了什么,才会有这么多安全隐患?
“人”与“设备”的缝隙
信息安全是一个动态的过程,依靠固定的安全设备是很难解决全部问题的,“人”才是信息安全过程的关键。只有“人”充分把握每一个不安全因素,才可能把安全设备之间的缝隙填平,在各种安全隐患发作之前把它们一网打尽。但在这当中“人”的专业信息安全水平和技术力量往往成为最大的限制因素。所以,许多企业尽管拥有了先进而昂贵的信息安全设备,但“设备”和“人”往往无法配合,容易造成安全隐患,等于在安全体系埋下了一枚随时可能被引爆的“炸弹”。
信息安全体系的建立,不是仅仅依靠几种安全设备的堆砌就能够实现的,还要涉及管理制度、人员素质和意识、操作流程和规范、组织结构的健全性等众多方面。所以,信息安全建设需要:人+产品+管理+维护。
当一个组织的信息建设达到一定程度和规模后,在规避安全风险、控制安全成本及保障业务持续性的需求压力下,这个组织必然开始寻求更加专业的安全服务提供商来协助规划、制订符合自身情况的安全策略并通过有效的安全管理来消解这些压力。
近日,就安全服务的这个话题,记者采访了东软网络安全营销中心安全服务部部长席斐。
新服务架构 构建动态防御体系
据了解,2010年,东软安全再次发力完善和梳理安全服务业务线,将专业信息安全服务、用户应用系统安全整体解决方案服务、安全产品服务及深厚的服务支撑体系相融合,组建东软NetEye最新的安全服务架构,为用户提供更优秀的安全服务。
无论是厂商还是用户,对信息安全服务的理解,已经不再局限于单一的定义,比如安全服务即是咨询、安全服务即是售前/售后服务、安全服务即是系统建设等,而是综合考虑了信息安全咨询、信息安全建设、信息安全维护等各方面因素的、全面的、多层次的、组件化的安全防御体系构建的大服务概念。该体系不是各个安全组件的简单叠加,而是组件之间相互协同,实现安全资源的集中管理、统一审计和信息共享的动态防御体系。
当然,在这些服务中,专业安全服务是其中技术含量最高的。席斐向记者介绍,东软拥有十几年的专业信息安全服务经验,已经形成了比较完整的专业信息安全服务体系,包括风险评估、等保服务、渗透测试、安全加固、应急响应、现场值守、认证培训和通告预警服务等。
席斐表示,信息安全产业是一个攻防战役,黑客的攻击方式的日新月异,因此,在信息安全领域,没有一款静态的产品,或者一套解决方案可以让用户安枕无忧,需要保持高度的警惕和强大的实力,以应对新的攻击和威胁,更需要高质量的“服务”来帮助用户构建动态防御体系。
其实安全服务,有一个很好的比喻。将用户比作学生,安全设备比作书本。学生可以通过书本学习知识,但是学生为什么还要听老师讲课呢?因为老师不仅懂得因材施教,还懂得授人以渔。这里的老师就是安全服务中的专家。
一方面由安全专家对用户的网络进行风险评估,渗透测试等,帮助用户的网络系统进行安全加固。另一方面,安全专家为企业和机构制定合适的安全管理方法以及对相关的IT人员进行必要的培训,提高用户自身的信息安全防护能力。
信任机制为“地基”
由于信息安全的特殊性和具有很强的专业性,引进第三方专业的安全服务团队,不仅可以解决自身的“设备”和“人”之间的问题,而且还能提升自身的信息安全管理水平。但据记者平时中的了解,在安全服务的项目实施过程中,往往会有一个信任问题。专业的安全服务和用户之间,信任机制就像打地基,地基不牢,楼建得再高,也会轰然倒塌。
在记者问到东软NetEye专业安全服务团队在项目中是如何打消用户的疑虑的时候。席斐介绍说,东软NetEye安全服务在一些项目中也同样遇到了类似的问题。
在项目的实施前,公司与用户之间,还有个人与用户之间会签订一系列的详细的保密协议作为保障。然而即使签订了保密协议,有的用户还是有担心自身的重要业务被泄露。此时,东软NetEye专业安全服务团队会加大双方沟通的力度。让用户了解到,东软NetEye团队在安全服务的具体工作中,经常要接触到大量的用户信息,为了保障用户信息的隐私性以及项目的连续性,稳定的安全服务队伍至关重要。东软多年来保持专业人才的持续稳定。在东软,工作10年以上的员工比比皆是,工作5年以上的员工更是数不胜数,也正是这种持续性的稳定保障,让用户愿意选择东软作为可以信赖的长期合作伙伴。十几年来,东软没有出现过一起因项目组成员泄密而引发的法律纠纷。
席斐表示,专业的安全服务团队,首先要有丰富的行业经验,其次有超强的技术实力,然后是能够与用户沟通默契。
记者手记:除了信任,阻碍安全服务发展进程的就是如何去评估服务的标准。从2003年,“安全服务”就被众多的安全厂商看作新的生机和商机,然而8年过去了,统一的标准相关部门仍在积极的探讨中。但可以看到国家已经意识到安全服务统一标准制定的重要性,并由相关部门从国家监管的角度已经开始出台和制定了一些相关标准。记者在采访中了解到,东软从一开始就参与到了一些国家标准的制定工作中,同时在实际项目中的操作和运用中不断地积累经验,形成了东软NetEye对行业信息安全服务项目建设的独到见解。
东软在信息安全服务领域已有14年的项目建设经验,在中国,东软第一家通过了ISO9000和CMM5及CMMI5全球最高级别质量认证、第一批通过国家级计算机信息系统集成一级资质和涉密信息系统集成甲级资质、首批入选国家级计算机网络应急服务支撑单位、在中国最早通过ISO27001信息安全管理体系国际认证及ISO20000 IT服务管理体系国际认证,拥有信息系统集成一级资质、专业稳定、经验丰富的技术团队,为各行业用户提供切实可行的信息安全整体解决方案,并能够针对用户的个性化需求进行定制开发,这都为东软有信心成功实践信息安全新服务架构提供了良好的保证。