正在阅读：详尽了解安全服务的方方面面详尽了解安全服务的方方面面

　　需要指出的是，不管是安全产品还是安全服务，都不能直接给用户创造价值，但是不管是安全产品还是安全服务，都是保证客户价值不贬值甚至增值的重要因素。对此，联想网御安全服务经理门嘉平解释说，安全服务主要强调发挥专业技术人才技能，弥补安全产品不能智能处理安全事件的缺陷，是安全体系建设的关键。

　　来自用户的看法是：安全服务是企业IT计算环境成熟度的一个衡量指标。海南电子政务外网技术工程师张琪认为，当IT基础设施建设到一定程度后，企业在规避安全风险、控制安全成本、业务连续性保障等需求的压力下，需要考虑如何制订符合自身的安全策略并使之与业务结合，其中服务将是关键的一环。

　　不难看出，安全服务市场是在用户有强烈需求的基础上产生的，而且近两年出现了技术融合的趋势。就此话题，记者曾经专门与卫士通安全服务总监吴鸿钟探讨过，他表示随着信息化的不断发展，信息安全产业也发生着明显的变化。当前安全服务的范畴几乎包括了整个信息化所涉及的所有产品和系统，也包括了许多最新的高端技术，安全服务的综合性、复杂性和高技术性是显而易见的。

　　变化：技术更迭与组合

　　安全服务的技术依赖于信息化本身。而一个完整的信息系统的生命周期包括了规划阶段、确定需求阶段、设计阶段、实施阶段、支持阶段和废弃阶段，每一个阶段都会有相应的安全服务内容。对此吴鸿钟表示，安全服务根据信息系统安全工程过程分为三个彼此联系的安全服务技术过程，分别是安全工程服务、安全保障服务和安全风险服务。

　　安全风险服务技术识别资产或信息系统面临的风险，并对这些风险进行优先级排序。从技术上看，具体包括了风险分析、应急响应、系统加固、漏洞扫描、数据恢复、灾难恢复、安全评估等措施。

　　针对风险问题，安全工程服务技术要确定和实施安全解决方案。其中，安全规划设计、需求分析、安全方案设计、系统集成、操作规范设计、安全管理设计、安全策略部署都是主要的技术工具。

　　而安全保障服务技术则负责建立安全解决方案的可信性，并向用户转达安全的可信性。其主要内容涵盖了安全状态分析、安全设备监控、安全培训、数据备份、策略调整、日志分析等技术措施。

　　在上述安全活动中，最核心的安全服务技术内容是：专家咨询服务、风险评估服务、信息安全保障体系设计服务、安全策略实施服务、安全加固服务、安全集成服务。

　　需要指出的是，不同的阶段决定了安全技术的深度与广度的不同。对此，浪潮安全的安全服务总监赵东生举例说，现在90%的病毒都具备驱动层+自我保护+反杀毒软件的特点，其中又不乏高水平的内核层木马，如果把定期的安全评估比作是体检，现在就需要专业的专科医生进行深入调查。同时，现在进行安全评估的时候，评估的范围从一般意义的安全扩展到了广义的安全，如环境安全也开始真正考虑了。而安全咨询也一样，在ISO27001中，以前最薄弱的环节就是灾备环节，主要原因是设计到环境设备太多，范围也不好界定。到了运维阶段，对环境安全的运维能力和意识、对大量安全产品和IT产品的技术支持能力、对用户应用的了解程度都摆在了安全服务提供商的面前。