| 出版日期:2003-01-13 总期号:1184 本年期号:03 |
|
 |
2003年的安全服务我们还缺点啥
赵粮 安全是个非常宽广的概念,它涉及到网络管理、业务提供、信息共享、建设规划等许多方面,同时也牵扯到所有的信息技术。安全服务也同样如此。一个企业如何判断它是否需要安全服务?需要什么样的服务?目前,市场上有哪些安全服务可以选择?如何享受到最好的安全服务?专业公司的专业性到底体现在哪里?本文试图在以上几个方面为您提一点建议。 安全服务给企业带来三大收益 一般来说,安全服务可以分为三大类。第一类是安全产品服务,它属于传统的服务类型,这类服务通常需要和原厂家有密切的合作关系;第二类是顾问安全服务(CSS),它强调策略、管理、组织、规范和标准性;第三类我们称为专业安全服务(PSS),这是最新的一类,也是大家最容易想到的一类,它强调动手、对抗和实战。 企业用户购买安全服务,实质上是购买服务公司的专业知识和技能,由此带来的收益可以分为下面几种: 节约时间,提高并减小机会成本(Opportunity Cost)损失;节省投资,选择最适当的产品,最适当的保护对象,减小管理和组织开销,提高安全产品的实际效果和投资效益;提高安全水平和应急能力。 主流的安全服务商 目前,国内的安全服务商有国际和本土之分,他们有三种不同的表现形式。国际安全服务商以Cisco、IBM、CA、Symantec、HP等为代表,它们目前主要是提供与自己产品相关的服务,在国内大多是通过渠道和合作伙伴来完成具体的安全服务实施工作。宏观上来看,本土的安全服务商数量很多,但是能够有实力独立实施一些大型服务项目的厂商数量可能只有十家上下。 安氏公司:从各种统计数据来看,它是国内专业安全服务公司的佼佼者,所提供的解决方案包括集成的安全产品和服务。产品包括自有品牌的防火墙和入侵检测等各类安全产品。服务则具体涵盖了上面提到的三种服务类型,并在最近两年实施了从中国电信总部、移动总部到华为等规模宏大的安全服务项目。其队伍实力均衡,配置完整,引领了国内安全业界的许多理念模型。 启明星辰:同样非常有特点的安全公司,以国内较早的一套安全图书开拓自己的市场,积累提升自己的入侵检测和扫描器产品,同时也引进了国外的某些产品来丰富自己的产品线。与政府机构保持有密切关系,承担了多项国家安全课题。 从过去两年的发展势头来看,2003年服务势必将成为安全厂商们努力一博的一年。对于安全公司们,服务也不再是销售产品的一种铺垫或陪衬,而是可以直接带来收益的业务。 2003年安全服务还有哪些漏洞 安全服务虽然发展势头很猛,但是,我们也可以看到,目前安全服务从形式到效果上都存在着许多问题,这些问题都在很大程度上影响着安全服务的更好发展。例如: 工程规范性不够。很多公司的安全服务人员并没有经过事先严格的专业训练和知识转移,很多人往往只凭从网上积累的一些黑客技巧进行工作。这种人才的缺陷在小项目中,也许看不出多大毛病,但是,一旦工程规模增大时,就会导致整个项目质量的下降,严重损害客户和服务商自己的利益。缺乏从客户到服务商的共同行业认识。目前安全服务商与用户双方在对安全服务的内容、形式、价格、成果等许多方面的认识都存在很大的差距。例如,有些客户反映:为什么加固一台主机就要我付几千元?一个高级顾问每天的收费标准竟然高达数千元甚至上万元!实际上,当前服务公司盈利的还不多,为了保证服务效果,通常需要付出很大的代价,这其中的辛苦是客户无法直接体会得到的。 从业人员的职业道德约束不够。有些素质不高的从业人员无法做到严守客户的商业机密,有的甚至采取私下降低服务水平等恶劣手段,这从整体上看会降低客户对服务商的信任度,会影响整个安全服务行业的发展。 要解决以上问题,需要一把钥匙开一把锁。第一个问题实际上是安全服务商自身的修炼问题。领先的安全公司之所以能做到领先,很大程度上就是因为他们在工程规范性上面做到了高积累、严要求。公司可以招来并且留住高手,还能保证这些专家的经验传递给整个团队,同时将这些经验、方法规范下来,严格执行下去。另一方面,这些领先的公司都借鉴了大量的国际先进理论(如BS7799等)和其他成熟行业的工程管理实施经验。第二个问题是整个行业的问题,需要整个行业一起推动。第三个问题同样是个行业问题,当前许多国际组织都提出了自己的安全道德观,例如影响最大的专业安全认证CISSP,就要求认证者严格保护客户利益,坚决不做影响他人合理使用网络的事情。 |
||||||||||||||||||||||||||
