网络安全
2008-05-29 14:03    文章来源:网界网

安全服务:专访联想集团

作者:未知

安全服务的理念从2004年就不断被提出,当初客户接受的意识并不高,导致很多安全服务提供商难以为继,单一的安全服务并没有成气候,并逐渐成为产品销售的筹码之一。

但进入2008年以来,安全市场的形势出现了新的变化:新技术在不断推出,安全威胁的手段与变化呈现多样性与复杂性,与信息安全相关的法规不断出台,在一系列“利好”的形势下,安全服务的价值重新被提上了日程,对客户而言,专业的安全评估、技术分析、应对措施、策略制定都将成为安全服务的新亮点。

1. 贵厂商如何看待安全服务的价值?与以往相比,当前安全服务的内涵是否有所变化?

不管是安全产品还是安全服务,都不能直接给客户创造价值,但是不管是安全产品还是安全服务,都是保证客户价值不贬值甚至增值的重要因素。其中,安全服务是主要依赖发挥专业技术人才技能,弥补安全产品不能智能处理安全事件的缺陷,是安全体系建设的关键。

国内安全服务理念从树立到推广,经历了8年多的时间。安全服务从早期的独立操作,到与安全产品相互结合运行,说明了安全服务理念本身经受市场锤炼之后,变得日益成熟。安全服务与产品相互独立,而又密不可分,才使得安全体系建设更加日臻完善,才可以真正为客户解决实际需求。

2. 贵厂商认可的安全服务内容包括哪些方面(技术、服务)?最核心的是哪些?

联想网御是国内最早组建安全服务团队,形成先进安全服务理念的专业公司之一,开展了丰富的安全服务业务,并在各行业具有了众多安全服务案例。在业务发展实践过程中,常规安全评估、监控、政策标准符合性咨询、认证咨询等服务,大都是国内专业安全企业提供的安全服务内容。

安全服务最核心的并不是服务业务模块本身,而是实施安全服务公司品牌和技术团队,知名的公司品牌并具有雄厚经验的技术力量,才是保证安全服务品质得以市场认可的关键。

3. 目前来看,安全服务面临的主要挑战有哪些?

安全服务面临的主要挑战主要有两个,一是来自安全服务提供商间存在的低价低品质的无序竞争;另一个是客户高层领导或相关计划财务部门对项目成果的不认可。其实这些问题也是信息安全产业化过程中存在的主要问题,如果政府不能引起足够的重视,正规的国内安全企业将会面临艰难的生存压力。

国内安全服务市场经过8年多的商业运作,在高端市场遭受外企的压力,中低端市场受小公司或其他非正规公司的竞争,经常出现低价甚至低于公司实际成本竞标现象。表面上看,这种现象有利于节省客户的投资,其实相应的,任何公司都有其运营成本的压力,低价竞标的后果就必然会导致服务效果的低品质,造成安全服务效果不理想。

来自客户层面的技术人员对安全服务认知和认可度都很高。但是相关层面的高管及计划财务部门由于不能清晰的识别安全服务项目成果,或者从资产采购角度去看待安全服务,认为安全服务成果不如购买设备形成有形资产来的实在,所以安全服务在推广和接受上还需要政府相关部门或客户高层提高认识,正确看待安全服务所带来的实际价值。

虽然政策环境等因素有很多不尽如人意的地方,但是,联想网御作为中国的信息安全骨干企业还是会承担起应有的社会责任,让用户对中国的信息安全企业有信心,这样才能让中国的企业健康、有序地发展。反过来,这样也能保护中国用户的信息安全。

4. 对客户而言,安全服务是否可有可无?在花费上如何平衡?如何说服客户选择安全服务?

安全服务包括风险评估、风险管理、安全运维、安全监控等内容,其中风险评估和风险管理是切实发现客户信息系统中存在的风险,并确定形成相关风险处置的针对性建议,是安全体系建设的重要依据和基础。在安全体系搭建完成之后,必然还需要投入资源来保障安全体系发挥其防护作用,就需要安全运维、安全监控等服务做持续的跟踪服务。

在国际标准、国内标准及行业规范里面,安全服务都是不可或缺的内容一部分,同样在客户的实际环境中,单纯的依赖安全产品搭建的安全体系肯定不能达到实际的防范效果。

安全服务是安全体系建设的一部分,分为体系前的服务和体系后的服务,安全体系前的服务花费是非常必要的,可以有目标有针对性的搭建安全体系;安全体系后的服务花费是比较重要的,如果客户自己有专业的安全组织和技术人员,可以考虑完成体系建设后由自己实施持续的安全运维及监控等工作,相反情况下,就需要考虑由专业的安全服务厂商进行服务代维工作。

客户对安全防护保障工作的理解与需求,是决定是否需要安全服务的关键。单纯依靠游说来让客户的接受安全服务方式,这不是我们所建议的。联想网御会帮助分析客户可能存在的安全隐患、政策要求等,从为客户切实解决问题出发,定制不同行业群、不同业务需求客户的安全服务内容,让客户认知安全服务不只是一种安全体系建设上的花费,更重要的是一种发现具体问题并有针对性、有目标的去解决问题的一种必要的方式。

5. 安全服务是否需要与某些技术或产品相结合?对客户是否有好处?

    安全服务过程绝大部分依赖有经验的专业技术专家进行实施,简单来说,安全服务几乎是完全依赖人来完成,而不是设备产品来完成的专业工作。在实施过程中,专业技术专家凭借实践经验,会总结开发一些自动工具(数据采集脚本等),这些开发的自动工具只是为安全服务收集数据,而不会对被服务对象产生负面影响,当然这些工具也不能自动的去完成安全服务工作。另外,安全服务还可能需要一些安全产品做辅助,开发的自动工具与安全产品,在安全服务过程中,会极大的提高安全服务效率,缩短安全服务周期,同时也可以降低客户的投资。

6. 安全服务对安全厂商是否有要求?如何保证服务的公信力和安全可控?

安全服务是一项专业性和技术性很强的工作,并不是随便一个安全厂商就有能力提供的,它需要安全厂商具有深厚的行业研究能力、专业的技术分析能力、充足的专业人才和有经验的项目经理等重要因素。

现在安全市场上,出现了一些小的安全公司来提供安全服务,他们凭借低廉的公司运营成本,以极低的价格与专业的安全大公司竞争。如果客户不能很好的区分两者提供的安全服务实际价值,很可能会选择报低价的小公司,但是低价格导致的服务低品质就迷惑了客户对安全服务的正确认知,形成对安全服务的片面理解。因此保证安全服务的公信力和可控性是非常必要的,就需要对提供安全服务的厂商进行严格的资质审查、其从业人员的培训认证和工作经验审查。另外,为了保证安全服务品质,建议客户选择专业的、大型的安全厂商所提供的安全服务也是很必要的。

7. 目前阶段,安全服务能否独立运营?是否还需要依靠销售产品来支撑?

国内安全服务市场是从2000年起步的,也可以理解为安全服务是从2000年正式开始商业化运作的。到目前为止,由于国内信息安全产业结构不合理,安全服务在国内市场磕磕绊绊的运行了8年多,高端市场遭受外企的强烈竞争,中低端市场里面的安全厂商良莠不齐,所以安全服务市场相对还是相对混乱的。就给大家形成提供单一安全服务的公司可以独立运营的错觉。

虽然安全服务过程绝大部分依赖人去完成,但是安全服务的目的是为客户发现隐患、提供管理风险建议进而去解决问题的过程,单纯依赖人去完成所有安全保障工作,不可能高效率的从海量数据中去分析发现安全隐患,任何一个安全厂商也不可能不计成本的大量、长期投入人力服务于一个客户,更不可能完全依赖人力资源去解决问题。在整个安全体系建设中,还是需要安全产品来搭建主动或被动的防线,依靠安全服务手段补充安全产品的不足,并把安全产品的防护功效充分的发挥出来,进而才可能去真正解决问题。

8. 能否提供一个应用安全服务与安全技术的成功案例?

某部委是联想网御多年合作的客户,前期通过安全服务,发现了其信息系统中存在的安全隐患,经过有针对性的风险应对策略,完善了曾搭建的安全体系。

发现安全隐患,除了常规的风险评估之外,还在为该部委信息系统做日常安全巡检过程中找到了诸多影响信息安全的隐患。在风险应对策略中,通过采用访问控制技术、主动监控技术、威胁过滤技术等手段搭建了主动和被动相结合的安全技术防线,并通过设计相关安全管理策略和制度,从技术、管理、人员组织等多层次多角度,建立立体安全防护体系。

经过专业的安全服务,该部位机关多年来一直能保证信息系统的健康稳定运行,经受住了一次次重大活动的考验。

9. 客户在选择安全服务与配套的安全技术的时候,有哪些经验可以分享?

安全服务与相关安全技术并不冲突,二者是相互协调统一的。

如果客户不能很明确自己的实际需求,就应该通过专业的安全公司用安全服务手段去发现自身的隐患,切实找到相关需求,进而再去选择安全技术手段,实际花费和达到的效果将是最优的。另外,即使科学的选择了相关安全技术,还是需要专业的安全服务把具体安全技术真正的应用起来,充分发挥安全技术防护能力,才能充分发挥安全防护体系作用。

安全服务与安全技术手段,都应该是以解决客户面临的实际问题为出发点,相互配合相互作用,才可以达到防护客户信息系统的安全需求。

因此,建议客户在选择安全技术之前,充分、科学并合理的评价安全服务带来的实际效果。虽然安全服务的采用会给客户带来一定的花销,但是总比盲目选择安全技术而浪费其使用价值、甚至不明确自身需求而盲目选用安全技术手段的花销要小得多。

文章来源:联想集团

责任编辑:袁源

文章评论

发表评论
查看全部
评论加载中...请稍后

精彩专题