网络安全
2008-05-29 14:11    文章来源:网界网

安全服务:专访卫士通

作者:未知

1.贵厂商如何看待安全服务的价值?与以往相比,当前安全服务的内涵是否有所变化?

我们是这样认识安全服务的价值的:

安全服务是IT环境成熟度的一个衡量指标,当IT基础设施建设到一定程度后,在规避安全风险,控制安全成本、业务连续性保障等需求的压力下,需要考虑如何制订符合自身的安全策略并使之与业务结合,由此可见,安全服务市场是在用户有强烈需求的基础上产生的,随着信息化的进展,信息安全产业也发生着明显的变化,这种变化导致仅仅为用户提供安全产品已经不能满足用户的安全需要。安全服务的范畴几乎包括了整个信息化所涉及的所有产品和系统,也包括了许多现代的高新技术,安全服务的综合性、复杂性和高技术性是显而易见的。

当前的信息安全服务内涵发生了很大变化,核心需要从以下三个方面入手:

全生命周期的安全服务
深入应用的安全服务
实现安全纵深防御的服务

2.贵厂商认可的安全服务内容包括哪些方面(技术、服务)?最核心的是哪些?

安全服务的内容依赖于信息化本身。而一个完整的信息系统的生命周期包括了规划阶段、确定需求阶段、设计阶段、实施阶段、支持阶段和废弃阶段,每一个阶段都会有相应的安全服务活动。安全服务根据信息系统安全工程过程分为三个彼此联系的安全服务过程,分别是安全工程服务、安全保障服务和安全风险服务。

安全风险服务识别资产或信息系统面临的风险,并对这些风险进行优先级排序;针对风险问题,安全工程服务阶段要确定和实施安全解决方案;而安全保障服务则负责建立安全解决方案的可信性,并向用户转达安全的可信性。

上述安全活动中,最核心的安全服务内容是:

专家咨询服务
风险评估服务
信息安全保障体系设计服务
安全策略实施服务
安全加固服务
安全集成服务

3.目前来看,安全服务面临的主要挑战有哪些?

挑战1:国内信息安全市场经过多年的发展,目前处于一个转折变化时期,一个明显的特点是攻防的不对称性越发突出;即攻击变得更加容易,而防御更加困难,可以从网络上随意下载许多自动化的攻击工具发起攻击,病毒、木马、蠕虫等等攻击让人防不胜防。这对企业的应急响应能力、分析处理能力提出了极大挑战。

挑战2:用户现在迫切需要一种全方面的、立体的安全服务。目前大家普遍认为信息安全不单纯是一种产品,而是一种技术、管理和运行的多维一体,以前把安全简单当成“商品”的概念有很大的局限性;这对安全企业提出了很大挑战,他们必须具备相当强的技术整合能力,能够从风险分析、需求确定、安全保障等层面全面提供咨询,在全生命周期内提供服务。但是目前国内的信息安全企业很难面对如此高的挑战。

挑战3:中国的信息市场极大,无论在上网人数还是带宽条件都进入了发达国家行列,但是中国的信息安全工业却及其稚嫩,这导致安全需求的量身定制与工业化产品的标准化问题经常产生冲突,安全需要贴身服务与安全服务的人力投入存在极大矛盾,经常造成的这样的结果:信息安全在客户需求的量化特性上和人力资源投入上的边界效益偏低,信息安全的微观经济收益小,“免费的服务”和“产品服务”大行其道。这导致从总体上看,企业做安全服务的收益不高。

4.对用户而言,安全服务是否可有可无?在花费上如何平衡?如何说服用户选择安全服务?

用户目前迫切需要安全服务,这是由于安全产品与一般IT产品不同,一般IT产品(如交换机)只要不出问题,一年、半年可以不动;但是安全产品更多地依赖策略,因此每周甚至每天维护都是常事,从本质上讲,安全服务实质是对事件的处理。而这种处理所需的专业知识和技能相当高,不是每个用户都具备这样的能力,因此安全服务市场必然大量存在。

目前许多用户还停留在信息安全就是采购产品这样的思路上,更多地停留在系统安全建设阶段,从而导致 “免费的服务”大行其道,造成信息安全服务的边际收益偏低,反过来又影响了服务的质量。

这些问题不是一天两天就能解决的,也不是仅仅靠说服用户就能取得成效,这依赖于整个中国大的安全服务市场。随着信息安全市场的逐步成熟,这些问题以后逐步得到解决。

5.安全服务是否需要与某些技术或产品相结合?对用户是否有好处?

安全服务必须和一定的技术和产品相结合,这是显然的,比如在进行安全评估服务过程中结合漏洞扫描,才会更快更好地发现系统存在的漏洞和问题。比如对事件的处理,更多地结合入侵检测或入侵防护系统的检测报警情况。

有效的产品或技术与安全服务相结合能够更容易的找到和发现并解决问题,对用户的好处是显而易见的。

6.安全服务对安全厂商是否有要求?如何保证服务的公信力和安全可控?

从事信息安全服务的安全厂商必须在业务上真正做到专业化,基于风险评估、策略开发、安装、测试和更新管理等方面的深层次和专业化,而且必须能够适应用户的业务流程。更重要的是,从事安全服务的企业应该具备用户至上的理念,在市场的角度就是要有一定的风险保障协议。

信息安全市场是一个比较特殊的市场,企业应该提高自身的安全信念,企业本身要有“值得可信”这样的文化奋斗目标,否则最终会被市场抛弃,当然国家有关部门也要作好某些行业的安全服务准入制度,规范市场。

7.目前阶段,安全服务能否独立运营?是否还需要依靠销售产品来支撑?

 目前国内信息安全服务市场处于开发阶段,企业很难依赖安全服务保证持续发展,因此还必须依赖产品,真正的安全服务外包公司并未出现。

8.能否提供一个应用安全服务与安全技术的成功案例?

卫士通根据目前国内的信息安全市场特点和信息安全服务的技术发展规律,提出了“深度服务 深度安全”的理念,即通过深度的服务来达到深度的安全。

深度的服务包括了

1、全生命周期的安全服务;
2、深入应用的安全服务;
3、纵深的安全防御服务;

通过深度服务能够达到深度安全,体现在:

1、显性的安全;

显性的安全是指这样一种安全效果:用户能够最为明显地看到安全的效果,比如:桌面计算机安装的防病毒软件,如果安装并起到作用,当其它计算机遭受病毒危害而你的计算机安然无恙时,安全的效果立刻体现出来。又比如防火墙系统,它能直观呈现出何时有谁对你的计算机进行了尝试性的攻击,并试图对你的文件进行读取。再如入侵检测,它更是一种显性的安全,它能直观呈现出攻击的来临并进行预警。

隐性的安全

隐性的安全指得又是另外一种安全效果,这种安全效果不是轻易能够判别的,没有一定的安全知识是无从判断的,比如加密机,它的部署是透明的,对个人用户没有任何影响,它阻挡了数据在网络传输中可能被泄密的风险,但是数据究竟在传输过程中是否被窃听、修改你如何又能知晓?此外,包括监控系统,审计系统,也具备隐性安全的性质。

通过深度服务,信息安全达到一种至高的安全境界,也只有达到了显性和隐性双重安全,我们的信息系统才可能在根本上达到安全!

在海南省电子政务外网中,我们采用了上述理念,完美地完成了海南省电子政务外网的信息安全工程设计安全服务项目。

9.用户在选择安全服务与配套的安全技术的时候,有哪些经验可以分享?

用户在选择安全服务时,最重要的一点是选择企业。信息安全是个特殊的行业,企业是惟利是图还是具备相当的职业操守是服务能否成功的关键。用户必须对企业进行选择,从资质、人才、案例甚至企业文化等方面进行考评。

其次是选择人才。任何企业其资源必然有效,即使知名度大的企业也未必会在某个具体的项目中投入足够的人力和物力。用户要做到心中有数,不能一味要求所谓的“高手”和“全天候服务”,一定要根据项目本身的规模和重要程度对企业实施实事求是的要求,最终才能保障项目的成功。

文章来源:卫士通

责任编辑:袁源

文章评论

发表评论
查看全部
评论加载中...请稍后

精彩专题