理性面对信息安全服务.docxVIP

PAGE 1 PAGE 1 理性面对信息安全服务  什么样的安全服务能最大程度的帮助企业提升信息安全水平？这对服务商和用户都是一个考验。  1999到2004年，信息安全服务由一个概念到发展成为一个产业，目前，国内取得安全服务资格的厂商超过了30家，知名的安全服务厂商也达到近10家，在政府和金融、电信等行业领域用户群体在快速扩大。健康的市场需要成熟的服务商和成熟的用户，信息安全服务行业是服务商新概念竞技场，这些层出不穷的新概念对服务商是一件吸引人的时尚外衣，对多数用户而言意味着很难透过云雾看到安全服务的庐山真面目。信息安全服务对用户的帮助是无可非议的，关键的问题是什么样的安全服务能最大程度的帮助企业提升信息安全水平？这对服务商和用户都是一个考验。  第一个问题：是否要引入安全服务？  是否引入安全服务应依靠于用户的信息安全现状和信息安全建设目标。  由于对信息安全熟悉的神奇化和片面化，多数用户不能客观的估计自身的信息安全状况。如何看待信息安全状况呢？要熟悉到信息安全是为信息化建设服务，信息安全水平应和信息化建设的进度相协调，信息安全是否成为信息化的瓶颈或是否某些方面带动信息化的发展？这里的信息化不仅指系统的建设，更是指管理体系的建设。一个用户假如对IT系统的依靠程度强、IT系统的开放性较强，而且已经有了初步的管理体系，基本可以说明具有信息安全建设的需求，符合引入安全服务的基本条件之一。  另一方面，用户需要明确自身信息安全建设目标，现实中最直接需求往往来自用户无法应付的病毒、蠕虫等带来的危害，或来自舆论的心理压力。在评价是否需要引入安全服务时，用户要谨慎考虑自身信息安全建设目标，建议分别考虑最低目标和抱负目标，假如自身不具备完成最低目标的能力，那么引入安全服务是必要的，假如自身能力能满意最低目标，不能满意抱负目标，应当依据成本等因素来考虑引入安全服务的必要性，假如自身能力能够完成抱负的目标，没有引入安全服务的必要。  第二个问题：信息安全服务能做什么？  目前，国内政府和企业中信息安全建设多处在较初级的阶段，缺乏信息安全的合理规划，也普遍缺乏相应的安全管理机制，这些问题受到整体管理水平和信息化水平的限制，在短期内很难根本转变。当前国内的信息安全服务商纷纷提出了自己的安全服务体系，一般都包括信息安全评估、加固、运维、教育、风险管理等。这些西方背景的先进的理念在吸引用户的同时，给用户造成了很大的迷茫，许多用户购买安全服务的直接动机是应付当前的安全事件、满意管理层的意志或减轻来自内外的舆论压力，服务形式内容和现实需求之间存在较大落差。  必需承认当前信息安全服务对用户的帮助主要在技术方面，对管理的影响是有限的。用户普遍遇到的最大问题是自身资源不足，实际是“安全管理员”的缺位，其次是对基本管理体系探索的需求。从用户的角度来看，信息安全服务能带来的实际好处包括：弥补用户人力的不足，弥补用户技术的不足，弥补用户信息的不足，弥补用户管理思想的不足。这些服务内容主要通过服务团队特殊是一线人员传递到用户的手中，服务人员的技术技能和态度将直接打算用户的收益。  有统计数据显示，企业的信息化建设实施在中国的失败率很高，信息安全服务的效果缺乏明确的数据，最终的评判标准就是用户获得的信息安全服务的直接和间接收益是否大于付出的信息安全服务成本？相信也有很大一部分服务项目没有取得预期的成果，假如这个不等式长期普遍不成立，信息安全服务就将不可能作为产业再生存下去。  第三个问题：用户如何利用信息安全服务？  一个理性的用户应清楚熟悉信息安全现状，并明信息安全服务的目标，并主动的参与到安全服务过程中，想通过安全服务转移责任或者全盘托付都是不合理的想法，下面是一些基本的法则：  1、谨慎选择厂商和服务内容  用户在选择服务商的时候，遇到的困惑之一是服务厂商的服务内容的同质化，市场排名或成本因素往往成了选择的主要标准，这是不理性的。真正重要因素是服务商的安全现状和安全目标的理解和认可程度，并能否针对性地提出合理的服务内容和方案；服务人员的技能考察特别重要，取得安全服务资格的厂商并不一定能具有真正的服务能力，用户方的负责人员和实际服务人员的深入交流一般会供应鉴别的依据；服务商的服务管理能力和信用等也是考察的要点。  2、引导与监控安全服务进程  在安全服务的实施过程中，需要用户的积极参与。虽然在服务契约签订时，双方已经初步确定了服务的内容和目标，但这些内容和目标往往是抽象的，高素养的服务人员会依此主动发觉问题，供应合理的建议，平凡服务人员常常不具备这种能力。但无论哪种状况，用户的引导和监控都是必要的，服务商对用户的信息系统的熟