信息安全服务:完美安全的必备要素
发布时间:2012-11-06   录入:启明星辰

摘要:启明星辰公司副总裁王健斌认为,很多安全问题不是用信息安全产品就能解决的,因此,要想寻求更好的安全保障,就必须引入信息安全服务。信息安全产品和信息安全服务是互补的关系。

 

信息安全产品看得见、摸得着,放在网络里就能发挥作用,保护网络的安全。相比于有形的信息安全产品,信息安全服务显得有些飘渺和神秘,想要把它认识清楚,也更加不容易。近日,记者采访了启明星辰公司副总裁王健斌,请这位信息安全服务领域的资深人士谈一谈他对信息安全服务的一些看法。

 

药引子

 

王健斌说:“给客户推荐一些信息安全产品、解决方案比较容易些,而让客户花钱购买信息安全服务,就比较难。”为什么会这样?他举了一个生动的例子:安全服务就像是“药引子”,药引子有引药归经,增强疗效之功用,而信息安全产品、解决方案就好比是药。很多时候,“药”能够解决基本信息安全问题,如果再加上药引子,才能对症下药,药效会更好。当然对某些部分用户而言,“药引子”仅是一个锦上添花的东西,所以有些用户在保证了基本信息安全之后,不愿意再投入经费购买信息安全服务。

 

但是,信息安全产业有其特殊性,因为归根到底,这是人与人之间智慧的较量,是防御者和攻击者之间的对抗,而且是永不停止的、不断升级的对抗,信息安全产品、解决方案只是这种对抗过程中所需要的工具之一。所以,客户仅仅将信息安全产品部署在网络中是远远不够的,有一些其他原因(例如:应用程序的源代码编程不够严谨或有缺陷,系统架构的设计存在漏洞,源代码中存在恶意代码等)所导致的安全问题不是用信息安全产品就能解决的,因此,要想寻求更好的安全保障,就必须引入信息安全服务,借助人工的力量来查漏补缺。信息安全产品和信息安全服务是互补的关系。

 

个性化和服务产品化

 

行业大客户是信息安全服务的主要购买者。大客户在安全服务方面的需求有很多,例如安全咨询规划、风险评估、应用业务系统的安全测试、网站安全检测、 IT安全监控、IT安全审计等等。大客户经常会提出个性化的需求,对于这些需求,需要提供个性化的服务。而这些个性化需求在经过一段时间实践和应用之后,可能会成为行业内的普遍需求。

 

具体到服务形式方面,一般分为远程服务和现场服务。一个大型的客户,可能有大量的互联网应用,还有企业内网。对于和互联网相连的互联网应用部分,客户可以选择远程和现场相结合的安全服务,而企业内网部分,出于内部数据防泄密的考虑,客户通常会选择现场服务。

 

对于中小型客户,一些标准化、规范化及行业化的安全服务更符合他们的需求。通过把服务产品化和行业化,可以更加规范服务项目,更好地保证信息安全服务的质量。


 很长一段时间以来,专业安全托管服务一直被业内看好,但王健斌坦言,做安全托管服务并不是一件容易的事,难点就在于SLA(服务水平协议)确定。在一个数据中心里,电源、空调、网络发生故障,都很容易界定,但是对于安全服务,很难用一个标准化的SLA来界定。在安全托管服务方面,启明星辰仍在继续进行探索创新和尝试。

 

优选专业安全服务提供商

 

目前,市场上有很多企业都可以提供信息安全服务,客户该如何从这些企业中筛选出可靠、可信的信息安全服务提供商呢?王健斌建议,客户可以从品牌知名度、资质、安全产品平台工具、行业知识积累、服务队伍、专业服务经验等方面进行考察和评估。


信息安全服务是很专业的技术,所以很多客户希望由专业的安全公司来做专业的事情。客户需要考察服务提供商的安全服务资质是否健全,是否有丰富的安全产品线和完善的安全服务支撑平台及工具,并且能够根据客户的实际网络环境不断进行更新、优化。


具体到安全服务经验,客户应该选择实施经验丰富、操作规范的供应商。以启明星辰为例,启明星辰是北京奥组委独家中标的核心信息安全产品、服务及解决方案提供商,青岛奥帆委唯一信息安全服务供应商。在电信领域,启明星辰为三大运营商提供安全服务和解决方案。另外,启明星辰在2011年10月成为“金税三期工程安全策略项目(第一包)”中标方,该项目正在实施中,内容涵盖金税三期工程信息安全策略开发服务,旨在为税务系统的信息安全建设提供全方位、全生命周期的综合服务,从而实现金税三期工程相关安全体系建设目标,以及金税三期工程信息安全总集成服务。


最后,王健斌总结说,信息安全服务是一个动态的过程,同一个客户在信息化建设生命周期的不同阶段,也会有不同的信息安全服务需求。比如在整个信息化建设过程中,会先做一个安全咨询服务,或者是信息安全规划。等建设完毕之后,会做风险评估,评估以后购买了一些安全产品或平台工具,就会需要现场值守。信息安全服务总是在随着客户信息系统、应用业务系统的发展变化而变化着,而信息安全服务提供商的责任就是帮助客户在信息安全方面做的越来越专业规范,保障其应用业务系统越来越安全。

 

伴随着客户的信息化进程逐渐加快,新一代的信息技术和应用正在迅速涌现,随之而来的是对信息安全的需求不断增加。信息安全服务将与安全产品、安全解决方案遥相呼应,相辅相成,快速滚动发展,迎来一个崭新的信息安全服务高速发展阶段。


背景知识

 

启明星辰安全服务分类:

 

1. 风险评估。包括:渗透、风险评估等。

 

2. 安全优化加固

 

3. 源代码安全性检测

 

4. 安全咨询服务,包括:

 

规划咨询服务,包括:新应用业务安全、信息安全管理体系建设、安全风险监控体系建设、安全管理制度建设、分级保护建设、等保建设等等。

 

合规咨询服务,包括:ISO 27001认证咨询服务、等保合规咨询服务、分保合规咨询服务、萨班斯法案合规安全审计,还有不同的行规建设的咨询服务。

 

5. 安全远程监控和网站安全监测及定期巡检

 

6. 现场安全值守/代维服务

 

7. 应急响应服务

 

8. 安全培训。包括:启明星辰安全认证工程师的培训、CISM和CISP认证培训服务、CISSP认证培训服务、NSACE认证培训、ISO 27001认证培训等等。

 

9. 个性化安全服务

 

10. 安全服务研究。例如:云计算安全、工控系统安全、物联网安全等服务。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号