《信息安全服务12》.docVIP

信息安全服务 信息安全服务是指适应整个安全管理的需要，为企业或政府提供全面或者部分信息安全解决方案的服务。信息安全服务提供包括从高端的全面安全体系到细节的技术解决措施。 信息安全服务的作用 目前国内政府和企业中信息安全建设多处在较初级的阶段，缺乏信息安全的合理规划，也普遍缺乏相应的安全管理机制，这些问题受到整体管理水平和信息化水平的限制，在短期内很难根本改变。当前国内的信息安全服务商纷纷提出了自己的安全服务体系，一般都包括信息安全评估、加固、运维、教育、风险管理等。这些西方背景的先进的理念在吸引用户的同时，给用户造成了很大的迷茫，很多用户购买安全服务的直接动机是应付当前的安全事件、满足管理层的意志或减轻来自内外的舆论压力，服务形式内容和现实需求之间存在较大落差。 必须承认当前信息安全服务对用户的帮助主要在技术方面，对管理的影响是有限的。用户普遍遇到的最大问题是自身资源不足，实际是安全管理员的缺位，其次是对基本管理体系探索的需求。从用户的角度来看，信息安全服务能带来的实际好处包括：弥补用户人力的不足，弥补用户技术的不足，弥补用户信息的不足，弥补用户管理思想的不足。这些服务内容主要通过服务团队特别是一线人员传递到用户的手中，服务人员的技术技能和态度将直接决定用户的收益。 谨慎选择厂商和服务内容 用户在选择服务商的时候，遇到的困惑之一是厂商服务内容的同质化，市场排名或成本因素往往成了选择的主要标准，这是不理性的。真正重要因素是服务商的安全现状和安全目标的理解认可程度，能否针对性地提出合理的服务内容和方案；服务人员的技能考察非常重要，取得安全服务资格的厂商并不一定能具有真正的服务能力，用户方的负责人员和实际服务人员的深入交流一般会提供鉴别的依据服务商的服务管理能力和信用等也是考察的要点。 引导与监控安全服务进程 在安全服务的实施过程中，需要用户的积极参与。虽然在服务签订时，双方已经初步确定了服务的内容和目标，但这些内容和目标往往是抽象的，高素质的服务人员会主动发现问题，提供合理的建议，普通服务人员常常不具备这种能力。用户的引导和监控是必要的，服务商对用户的信息系统的认识程度是有限的，能够介入的范围也很狭窄，用户应当用需求或目标来引导和监控服务的实施，甩手掌柜式的用户会导致安全服务的效力无法发挥和自身能力的停滞。 善于放大安全服务的效力 信息安全服务是一项借用外脑的活动，一般用户更情愿在软硬件系统的购买上投入资金，却对安全服务比较质疑，原因是认为服务既是无形的，又不创造经济效益。其实，用户是可以将安全服务的效力放大的，如果仅把安全服务看作是仅对部门的服务，那效力就仅限于一个部门，如果为更大的范围服务，就会取得更大的效力，如安全预警。另外创造性的服务也可带来经济上的效益，一个合理的安全建设方案可能会带来实际的成本的节约，一个安全管理的认可，可能会带来企业形象的提升，甚至一项安全增值业务可能会带来直接的收益。 信息安全的特点决定了对信息安全服务商有较高的要求，我们将之分为管理要求、技术要求和高级要求，其中管理原则和技术原则主要基于实践应急反应层面，高级要求主要针对安全管理、安全策略和发展层面。 管理要求 建立针对不同攻击的行动方案； 保证及时、快速反应； 对自身和客户，提供规范、详细的培训； 贴近被服务体系和对客户的零干扰。 技术要求 监控设备不影响已有安全设备和软件的正常使用，不会引入新的安全隐患； 监控设备具有升级能力，能够进行方便的升级； 具有监控数据分析和处理的技术； 具有知识库或者专家库支持应急事件决策技术； 具有系统容灾和恢复的技术。 高级要求 掌握国内信息安全标准、政策并提现到服务系统中； 掌握最新的信息安全实践技术和防范技术，遇到突发情况有专家解决问题； 团队游明确分工和侧重点，基本人员全部掌握一般的服务方法，能够解决普遍性问题。即先进、全面、高手、团队四个原则。 信息安全服务商的面临的问题 国内每个信息服务商都有自己的生存方式，站在用户的角度考虑，认为有两个问题不能回避： 服务能力建设 安全服务的根本意义在于帮助用户以较低的成本实现高效的信息安全体系。缺乏具有合格技能和创造性的队伍，这是信息安全服务面临的最大问题。虽然安全服务这个市场的坚冰已经撬动，但对安全服务的评价仍在进行中。大量的服务项目在照搬概念、教条式地开展，服务人员不能发现、解决用户的实际问题，更不说为用户提供个性化的服务。在安全服务行业刚刚萌芽之际，遭遇用户的集体遗弃将会是致命的。 观念更新 信息安全服务商如果要赢得用户的认可，就必须具备两个基本观念：一个是信息安全是为信息化服务的，不能离开对用户信息化脉搏的把握。从“安全就是防火墙”，到“安全三大件”，到“三分技术七分管理”用户和服务商都在思索信息安全建设的途径。因为“提升安全管理水平”似乎在中国实行困难后，