安全服务:专访浪潮集团

1． 贵厂商如何看待安全服务的价值？与以往相比，当前安全服务的内涵是否有所变化？

1）服务可以分为运维、评估、咨询等，是贯穿整个IT和IT安全的生命周期的；不用PDCA这个惯用描述，用今天流行的股票用语来描述，上升阶段（IT投资增加，安全事件量增加，风险增加）、下降阶段（安全投入增加，安全事件量下降）、频繁波动阶段（当下降到一定波段，即企业所能够接受的安全基线，为了维持这个基线，需要长期的维护运营）；
产品与技术创新信息IT和IT安全发展的源动力，好比汽车的发动机，那么服务就是车轮和地盘，人和方向盘是应用。

2）对安全服务的理解，在范围和内容上没有发生变化，但是在深度上却有不同，这个深度体现在三个方面：一、最终效果。换位思考，从客户角度看服务的最终效果，是否真正达到客户满意？是否达到我们合同签署前的承诺？无论是事故总量的下降，还是重大事故发生次数的下降以及造成的影响有所降低；这里能够比较和体现出公司在服务方面的技术和管理方面的积累，比如处理重大、复杂事件的能力，资源调度能力等。二、深度。现在90%的病毒都具备驱动层+自我保护+反杀毒软件的特点，其中又不乏高水平的内核层的木马，如果说定期的安全评估比作是体检，，现在就需要专业的专科医生进行深入调查。三、广度。（狭义中的广义）同样是安全评估，评估的范围从一般意义的安全扩展到了广义的安全，如环境安全开始真正考虑了；咨询也一样，ISO27001中，以前最薄弱的环节就是灾备环节，主要原因是设计到环境设备太多，范围也不好界定。到了运维阶段，同样，对环境安全的运维能力和意识、对扩厂商的安全产品和IT产品的技术支持能力、对客户应用的了解程度都摆在我们面前。

2． 贵厂商认可的安全服务内容包括哪些方面（技术、服务）？最核心的是哪些？

浪潮在安全服务的内容方面没有太多创新，但是在上面谈到的三个方面，即效果、深度和广度方面进行踏踏实实的实践。

安全运维是浪潮安全服务的核心。在技术上，1）跨厂商产品维护能力。我们踏踏实实地培养工程师的安全和IT产品的配置实施维护能力，实现跨厂商的产品维护能力，所以我们现在对国内外主流安全产品、主流网络设备、主流的操作系统/服务器/小型机、主流数据库和中间件等都有比较充分的人才。2）提高应急响应能力。在运维过程中不可能没有事故发生，我们扎扎实实提高应急响应能力，3年下来打了十几场大型“战役”，即大型信息系统发生的信息安全事件，如省一级电信运营商计费网瘫痪，几十场中型“战役”，对各种病毒和攻击事件的综合诊断、相关技术资源的配合、事故影响的降低方面都有了相当的经验。在管理上，1）成本控制上；2）服务管理上，通过ISO20000认证规范化。

3． 目前来看，安全服务面临的主要挑战有哪些？（从哪个角度看？）

从市场角度，当前安全服务已经普遍被用户所接受，但也正因此，安全服务的真正效果的和服务创新就成为新的问题。效果问题已经谈过。

4． 对用户而言，安全服务是否可有可无？在花费上如何平衡？如何说服用户选择安全服务？

企业进行安全建设，目的是安全管理水平与企业真正的安全需求相当，然而仅仅通过建设投入是达不到的，这里面有专业程度和专注、以及客户内部组织架构等多方面因素导致。而安全服务好比板凳，只有踩着这个板凳，才能达到一个与自身IT水平相当的安全水平。

对于安全服务的资金投入，每个企业都有不同，这与其IT建设和应用状况有密切的关系。国内有些行业IT建设较早，IT系统基本架构趋于稳定，大规模的系统建设已基本结束，在未来几年内的主要任务将是在保证基本架构不变的已有业务正常开展的前提下，持续进行系统的优化、完善和整合，在此过程中开发和运维的联系将越发紧密，界限将越来越模糊。有些客户已经将IT建设全部改为运维，分为日常性维护、适应性维护、完善性运维等。这类客户在安全服务上的投入比例非常高。

5． 安全服务是否需要与某些技术或产品相结合？对用户是否有好处？

安全服务是由方法、工具、人（经验）等共同构成的。这里面，产品和技术就是工具。

6． 安全服务对安全厂商是否有要求？如何保证服务的公信力和安全可控？

这个问题更多地是从客户的角度来看，也就是如何选择安全服务供应商。主要从如下几个角度来看：厂商的专业度、服务质量、经验、公司和服务团队的稳定性、服务的范围能否涵盖客户的需求、地理覆盖区域、公司运营管理体系，成功案例。

7． 目前阶段，安全服务能否独立运营？是否还需要依靠销售产品来支撑？

目前应该还是比较难。而且，服务本身与产品就是密不可分的，且产品研发能力与服务水平是有直接关联的。

8． 能否提供一个应用安全服务与安全技术的成功案例？

案例很多，不想说了，有点王婆卖瓜的感觉。

而且没有征得客户同意也不方便说，这也是对我们所服务的客户的信息保护。

9． 用户在选择安全服务与配套的安全技术的时候，有哪些经验可以分享？

我觉得现在客户考虑安全建设或安全服务，可以从纯IT中的安全风险、所在行业的相关法律环境，以及自身业务特点的风险三个角度来分析。其中IT安全风险要从三个方面去解决，1）技术；2）管理；3）运维；