信息安全产业是一个攻防战役时刻都在上演的战场,如此就注定它自诞生的那一刻起,就将是一个永远需要变化的动态产业。攻击方式日新月异、防御手段紧随其后,因此,在信息安全领域,没有一款静态的产品,或者一套解决方案可以让你安枕无忧,我们需要保持高度的警惕和强大的实力,以应对新的攻击和威胁。这期间,无疑需要高质量的“服务”来保障这一终极目标——用户的信息安全。
2003年,“安全服务”就被众多的安全厂商看作新的生机和商机,然而8年过去了,中国的信息安全服务产业发展究竟怎样呢?全球IT服务随着IT业的发展大致由最初的“产品阶段”到“解决方案”阶段,最后才到“IT服务”阶段,信息安全服务也是如此。曾几何时,中科院高能物理研究所许榕生教授在接受采访时谈到,我国信息安全服务存在的种种弊端:投入力度小,说的比做的多;服务供应商有“卖思想”、“卖技术”和“卖体力”之分,尤以“卖体力”最多;专业化程度不高,不仅表现在服务形式上,更体现在服务意识、服务速度和细节感受等多个方面;“有效性”低,重视服务网点的数量,忽视了更重要的服务网络的有效性和智能性;“追风”现象严重,在不景气的市场大背景下,把服务当成一根救命稻草,又缺乏做实的能力和品质。
虽然许教授的话是多年之前的见解,然而放在当日,似乎依然是真知灼见,可见多年过去,中国的信息安全服务产业依然没有找到适合中国特色的发展之路。不过,也不是没有进步,至少,无论是厂商还是用户,对信息安全服务的理解,已经不再局限于单一的定义,比如安全服务即是咨询、安全服务即是售前/售后服务、安全服务即是系统建设等等;其正确的理解是:基于信息安全系统本身的特性——涉及网络核心、网络传输、网络边界、基础设施、各种业务应用和桌面系统等多个层次,涵盖路由器、交换机、防火墙、接入服务器、操作系统、数据库、DNS、WWW、MAIL以及其它一些关键应用系统。因此,静态的安全产品不可能解决动态的安全问题,应该构建一个综合考虑了信息安全咨询、信息安全建设、信息安全维护等各方面因素的、全面的、多层次的、组件化的安全防御体系。该体系不是各个安全组件的简单叠加,而是组件之间相互协同,实现安全资源的集中管理、统一审计和信息共享的动态防御体系。这些工作的总和,统称为安全服务。
2000年,东软NetEye开始配合国家相关部门进行漏洞挖掘、信息安全标准研究、重大安全事件追查处理等高端技术支持,东软NetEye曾协助国家公安机关完成中国第一起现场捕获DDoS分布式拒绝服务攻击者案例。那时东软安全就嗅到了安全服务未来潜在的巨大市场空间,于是开始励精图治,为厚积薄发做准备。2004年,东软成为首批国家级信息安全技术支持单位。2006年,东软NetEye发布“安全魔方”整体安全解决方案,同时在信息安全服务方面,东软提出了安全大服务的创新构想。此服务理念与东软集团董事长兼CEO刘积仁先生的大服务理念相一致,即面向软件、面向系统的安全支撑体系建设和运维管理平台的整体搭建。2008年,东软获得国家发改委同年唯一审批通过的信息安全服务领域产业扶持资金。2009年,东软成为国家级漏洞库CNVD的首批技术合作支撑单位,并于国家信息安全漏洞共享平台2010年春季工作会议中,因在信息安全漏洞库共建工作中表现杰出被授予突出贡献奖。凭借多年的技术研究与项目经验积累,东软将自身技术成果转化为面向各行业用户的优质、全面的专业信息安全服务,在各行业领域积累了众多安全服务项目的成功案例,赢得了用户的信任和好评。
2010年东软安全再次发力,完善、梳理安全服务业务线,9月2日发布东软NetEye信息安全服务新架构。东软集团副总裁兼安全业务线总经理贾彦生表示,东软安全将专业信息安全服务、用户应用系统安全整体解决方案服务、安全产品服务及深厚的服务支撑体系相融合,组建东软NetEye最新的安全服务架构,主要是考虑面向日益成熟的安全服务市场需求,同时可以提高质量,为用户提供更优秀的安全服务。
东软专业信息安全服务包括风险评估、等保服务、渗透测试、安全加固、应急响应、现场值守、认证培训和通告预警服务等。以东软NetEye信息安全风险评估服务为例,东软是信息安全风险评估国家标准的制定者之一,通过开展严谨细致的信息安全风险评估,用户能够客观真实地了解自身信息系统的安全现状,合理规划安全建设,提高运维效率,避免投资浪费。另外, 东软参照国际权威的信息系统安全配置指南,结合用户业务系统的实际安全需求,为之提供量身定制的安全加固及配置优化服务,从而搭建起一套良好的动态安全保障基线。对于当下安全服务的重要内容之一,东软是信息安全等级保护的倡导者,能够协助用户更好地了解和把握国家最新等级保护政策动态,评估现有安全措施与相关定级要求的合规程度,合理引导用户制定后续的落实及改善策略,在合规基础上实现高效。
东软NetEye解决方案服务的主要内容是针对行业大型用户应用系统整体安全需求进行方案咨询、安全集成、系统调优和服务外包等服务。凭借14年专业信息安全项目建设经验,东软为各行业用户提供个性化的信息安全整体解决方案。同时,东软拥有信息系统集成一级资质、专业稳定、经验丰富的技术团队以及可以针对用户的个性化需求进行定制开发的雄厚研发实力。东软曾多次成功实施部署大规模、复杂程度高的信息安全系统集成工程,更关注从用户核心业务发展角度来看待安全,让信息安全建设更具执行力和生命力。
东软NetEye信息安全产品服务主要体现在产品的定制与开发、测试与租赁、安装与维修、升级与更新、技术与培训、巡检与回访等几个方面。
信息安全服务是一项复杂的系统工程,在具体工作中涉及的领域非常广,从网络到主机、从业务应用到软件设计开发、从IT系统集成到日常运行维护、从对国际安全管理体系的理解力到具体策略的实际落地执行,可以说是对安全公司各方面综合能力的考验。东软一直非常重视自身全方位能力的提升,也创造了国内信息安全公司的许多第一,比如中国第一家通过ISO9000和CMM5及CMMI5全球最高级别质量认证、第一批通过国家级计算机信息系统集成一级资质和涉密信息系统集成甲级资质、首批入选国家级计算机网络应急服务支撑单位和中国最早通过ISO27001信息安全管理体系国际认证及ISO20000 IT服务管理体系国际认证的信息安全公司。
在安全服务的具体工作中,经常要接触到大量的用户信息,为了保障用户信息的隐私性以及项目的连续性,稳定的安全服务队伍至关重要。东软凭借其优秀的企业文化,多年来保持专业人才的持续稳定。在东软,工作10年以上的员工比比皆是,工作5年以上的员工更是数不胜数,也正是这种持续性的稳定保障,让用户愿意选择东软作为可以信赖的长期合作伙伴。
东软是中国最大的软件企业之一,旗下的IT业务板块非常之多,几乎涵盖了国内各个行业的全部核心业务领域。19年来,东软参与了社保、金融、运营商、电力、交通、医疗等众多国家基础行业关键业务系统的开发和承建工作,期间所积累的行业经验让东软NetEye对各行业领域业务应用和网络系统的特点有更全面和深入的理解,也正是如此,东软开展的信息安全服务更能够抓住用户需求的关键点,并能将信息安全服务建设成果切实融入到用户的实际业务应用中。
在未来的2-3年里,东软NetEye将继续加强前沿信息安全技术的跟踪与研究,时刻为用户提供最前沿的安全技术指引,同时突破传统信息安全服务的局限,以基于业务全局的视角看待信息安全,协助用户以安全建设推动企业运营风险管理,促进安全服务产业的规范性、全局性发展。