在线工博会

理性面对信息安全服务
中国联通信息中心 刘海舟
1999到2004年,信息安全服务由一个概念到发展成为一个产业,目前,国内取得安全服务资格的厂商超过了30家,知名的安全服务厂商也达到近10家,在政府和金融、电信等行业领域用户群体在迅速扩大。健康的市场需要成熟的服务商和成熟的用户,信息安全服务行业是服务商新概念竞技场,这些层出不穷的新概念对服务商是一件吸引人的时尚外衣,对多数用户而言意味着很难透过云雾看到安全服务的庐山真面目。信息安全服务对用户的帮助是无可非议的,关键的问题是什么样的安全服务能最大程度的帮助企业提升信息安全水平?这对服务商和用户都是一个考验。
第一个问题:是否要引入安全服务?
是否引入安全服务应依赖于用户的信息安全现状和信息安全建设目标。
由于对信息安全认识的神秘化和片面化,多数用户不能客观的估计自身的信息安全状况。如何看待信息安全状况呢?要认识到信息安全是为信息化建设服务,信息安全水平应和信息化建设的进度相协调,信息安全是否成为信息化的瓶颈或是否某些方面带动信息化的发展?这里的信息化不仅指系统的建设,更是指管理体系的建设。一个用户如果对IT系统的依赖程度强、IT系统的开放性较强,而且已经有了初步的管理体系,基本可以说明具有信息安全建设的需求,符合引入安全服务的基本条件之一。
另一方面,用户需要明确自身信息安全建设目标,现实中最直接需求往往来自用户无法应付的病毒、蠕虫等带来的危害,或来自舆论的心理压力。在评价是否需要引入安全服务时,用户要谨慎考虑自身信息安全建设目标,建议分别考虑最低目标和理想目标,如果自身不具备完成最低目标的能力,那么引入安全服务是必要的,如果自身能力能满足最低目标,不能满足理想目标,应当根据成本等因素来考虑引入安全服务的必要性,如果自身能力能够完成理想的目标,没有引入安全服务的必要。
第二个问题:信息安全服务能做什么?
目前,国内政府和企业中信息安全建设多处在较初级的阶段,缺乏信息安全的合理规划,也普遍缺乏相应的安全管理机制,这些问题受到整体管理水平和信息化水平的限制,在短期内很难根本改变。当前国内的信息安全服务商纷纷提出了自己的安全服务体系,一般都包括信息安全评估、加固、运维、教育、风险管理等。这些西方背景的先进的理念在吸引用户的同时,给用户造成了很大的迷茫,很多用户购买安全服务的直接动机是应付当前的安全事件、满足管理层的意志或减轻来自内外的舆论压力,服务形式内容和现实需求之间存在较大落差。
必须承认当前信息安全服务对用户的帮助主要在技术方面,对管理的影响是有限的。用户普遍遇到的最大问题是自身资源不足,实际是“安全管理员”的缺位,其次是对基本管理体系探索的需求。从用户的角度来看,信息安全服务能带来的实际好处包括:弥补用户人力的不足,弥补用户技术的不足,弥补用户信息的不足,弥补用户管理思想的不足。这些服务内容主要通过服务团队特别是一线人员传递到用户的手中,服务人员的技术技能和态度将直接决定用户的收益。
有统计数据显示,企业的信息化建设实施在中国的失败率很高,信息安全服务的效果缺乏明确的数据,最终的评判标准就是用户获得的信息安全服务的直接和间接收益是否大于付出的信息安全服务成本?相信也有很大一部分服务项目没有取得预期的成果,如果这个不等式长期普遍不成立,信息安全服务就将不可能作为产业再生存下去。
第三个问题:用户如何利用信息安全服务?
一个理性的用户应清晰认识信息安全现状,并明信息安全服务的目标,并主动的参与到安全服务过程中,想通过安全服务转移责任或者全盘托付都是不合理的想法,下面是一些基本的法则:
1、 谨慎选择厂商和服务内容
用户在选择服务商的时候,遇到的困惑之一是服务厂商的服务内容的同质化,市场排名或成本因素往往成了选择的主要标准,这是不理性的。真正重要因素是服务商的安全现状和安全目标的理解和认可程度,并能否针对性地提出合理的服务内容和方案;服务人员的技能考察非常重要,取得安全服务资格的厂商并不一定能具有真正的服务能力,用户方的负责人员和实际服务人员的深入交流一般会提供鉴别的依据;服务商的服务管理能力和信用等也是考察的要点。
2、 引导与监控安全服务进程
在安全服务的实施过程中,需要用户的积极参与。虽然在服务契约签订时,双方已经初步确定了服务的内容和目标,但这些内容和目标往往是抽象的,高素质的服务人员会依此主动发现问题,提供合理的建议,普通服务人员常常不具备这种能力。但无论哪种情况,用户的引导和监控都是必要的,服务商对用户的信息系统的认识程度是有限的,能够介入的范围也很狭窄,用户应当用需求或目标来引导和监控服务的实施,甩手掌柜式的用户会导致安全服务的效力无法发挥和自身能力的停滞。
3、 善于放大安全服务的效力
信息安全服务是一项借用外脑的活动,一般用户更情愿在软硬件系统的购买上投入资金,却对安全服务比较质疑,原因是认为服务既是无形的,又不创造经济效益。其实,用户是可以将安全服务的效力放大的,如果仅把安全服务看作是仅对IT部门的服务,那效力就仅限于一个部门,如果为更大的范围服务,就会取得更大的效力,如安全预警。另外创造性的服务也可带来经济上的效益,一个合理的安全建设方案可能会带来实际的成本的节约,一个安全管理的认可,可能会带来企业形象的提升,甚至一项安全增值业务可能会带来直接的收益。
第四个问题:信息安全服务商的面临的问题是什么?
国内每个信息服务商都有自己的生存方式,站在用户的角度考虑,认为有两个问题不能回避:
1、服务能力建设。安全服务的根本意义在于帮助用户以较低的成本实现高效的信息安全体系。缺乏具有合格技能和创造性的队伍,这是信息安全服务面临的最大问题。虽然安全服务这个市场的坚冰已经撬动,但对安全服务的评价仍在进行中。大量的服务项目在照搬概念、教条式地开展,服务人员不能发现、解决用户的实际问题,更不说为用户提供个性化的服务。在安全服务行业刚刚萌芽之际,遭遇用户的集体遗弃将会是致命的。
2、观念更新。信息安全服务商如果要赢得用户的认可,就必须具备两个基本观念:一个是信息安全是为信息化服务的,不能离开对用户信息化脉搏的把握。从“安全就是防火墙”,到“安全三大件”,到“三分技术七分管理”用户和服务商都在思索信息安全建设的途径。因为“提升安全管理水平”似乎在中国实行困难后,安全服务惨淡的困守在网络安全、主机安全这两个孤岛上,随着信息化基础设施的渐入尾声,这两个领域能为用户带来的价值日渐式微。应用的安全日益成为用户关注的重点,身份认证、信息防扩散、电子签章、电子交易等成为一个个热点领域,安全服务商需要革新观念,将服务进一步专业化和细化,才能在有所作为,打破目前安全服务市场的同质化局面。另一个基本观念是每个用户的安全需求是个性化的,没有放之四海皆准的定律,经验的积累和再利用是必要的,但必须创造性地使用。
上面探讨了信息安全服务当前的几个问题,用户和安全服务商是安全服务的两个主体,必须促成一种共赢的服务模式才可能使这个产业长期健康发展下去。在这个过程中服务提供商的责任更重,切实地为用户创造价值,而不要杀鸡取卵是最重要的问题;用户也要理性的看待安全服务,不盲目跟风,也不要盲目抵制,客观务实地推进信息安全建设。
1/18/2005


电脑版 客户端 关于我们
佳工机电网 - 机电行业首选网站