正在阅读：详尽了解安全服务的方方面面详尽了解安全服务的方方面面

　　安全服务的理念从2004年就不断被提出，当初用户接受的意识并不高，导致很多安全服务提供商难以为继，单一的安全服务并没有成气候，并逐渐成为产品销售的筹码之一。

　　进入2008年以来，安全市场的形势出现了新的变化：新技术在不断推出，安全威胁的手段与变化呈现多样性与复杂性，与信息安全相关的法规不断出台，在一系列“利好”的形势下，安全服务的价值重新被提上了日程。对用户而言，专业的安全评估、技术分析、应对措施、策略制定都将成为安全服务的新亮点。

　　价值：服务的本源

　　当今网络安全，越来越成为保障企业网络的稳定运行的重要元素。无论是反病毒、防火墙、入侵防御、网络准入控制、Web安全网关、安全管理平台等各个领域经过多年的实践和摸索，已经初具规模，在技术上、产品方面取得了很大的成就。

　　但随着安全威胁的日益复杂化，单纯地靠产品来解决各类安全问题已经不能满足用户的实际安全需求。此前新华人寿的IT经理杜大军就曾一针见血地指出，从根本上减少安全威胁对企业业务的破坏和影响，只靠技术和产品是不够的，专业的安全服务直接影响到安全体验的获取与效果。

　　现实情况是，基本的安全产品支持服务已经不能满足进一步构架和完善企业网络安全防护体系，提高网络安全防护能力的要求。甚至个别厂商由卖产品而附带的基本服务因在服务响应时间、服务态度、服务效果等方面都存在很多的问题和弊病，而不能及时有效地解决用户遇到的各种安全问题。

　　对此瑞星公司技术总监熊敏指出，技术是产品的基础，只有拥有良好的技术才能创造出优秀的安全产品；产品将技术予以细致表现，用户可以通过产品更好的享受技术所带来的优越性能；而服务则是为技术和产品予以更加完善，使用户在使用技术创造的产品上更无后顾之忧。在整个安全体系中，服务扮演的是解决产品不能解决的问题，分析并解决在变化多端的安全环境中的事件，服务可以为企业整个安全防护体系提供可靠的保障。

　　以反病毒领域为例，可以看到大部分企业都已经配置了相关产品，但由于现在的Web威胁已经越来越表现出“逐利性”，以窃取企业机密信息为目的，攻击手法越来越隐蔽，等到企业的IT人员发现了明显病毒现象之后再开始收集样本并提交制作解药已经来不及了。对此趋势科技资深安全顾问刘政平表示，当前大量企业用户都在探寻一种新的防御思路：既可以快速响应，及时应对未知和变种病毒，保障企业的网络安全，又能以专业化的服务降低企业的日常维护成本。不难看出，单一的安全产品不能全面解决这些需求，需要配合专家级的安全服务加以补充。

　　需要指出的是，不管是安全产品还是安全服务，都不能直接给用户创造价值，但是不管是安全产品还是安全服务，都是保证客户价值不贬值甚至增值的重要因素。对此，联想网御安全服务经理门嘉平解释说，安全服务主要强调发挥专业技术人才技能，弥补安全产品不能智能处理安全事件的缺陷，是安全体系建设的关键。

　　来自用户的看法是：安全服务是企业IT计算环境成熟度的一个衡量指标。海南电子政务外网技术工程师张琪认为，当IT基础设施建设到一定程度后，企业在规避安全风险、控制安全成本、业务连续性保障等需求的压力下，需要考虑如何制订符合自身的安全策略并使之与业务结合，其中服务将是关键的一环。

　　不难看出，安全服务市场是在用户有强烈需求的基础上产生的，而且近两年出现了技术融合的趋势。就此话题，记者曾经专门与卫士通安全服务总监吴鸿钟探讨过，他表示随着信息化的不断发展，信息安全产业也发生着明显的变化。当前安全服务的范畴几乎包括了整个信息化所涉及的所有产品和系统，也包括了许多最新的高端技术，安全服务的综合性、复杂性和高技术性是显而易见的。

　　变化：技术更迭与组合

　　安全服务的技术依赖于信息化本身。而一个完整的信息系统的生命周期包括了规划阶段、确定需求阶段、设计阶段、实施阶段、支持阶段和废弃阶段，每一个阶段都会有相应的安全服务内容。对此吴鸿钟表示，安全服务根据信息系统安全工程过程分为三个彼此联系的安全服务技术过程，分别是安全工程服务、安全保障服务和安全风险服务。

　　安全风险服务技术识别资产或信息系统面临的风险，并对这些风险进行优先级排序。从技术上看，具体包括了风险分析、应急响应、系统加固、漏洞扫描、数据恢复、灾难恢复、安全评估等措施。

　　针对风险问题，安全工程服务技术要确定和实施安全解决方案。其中，安全规划设计、需求分析、安全方案设计、系统集成、操作规范设计、安全管理设计、安全策略部署都是主要的技术工具。

　　而安全保障服务技术则负责建立安全解决方案的可信性，并向用户转达安全的可信性。其主要内容涵盖了安全状态分析、安全设备监控、安全培训、数据备份、策略调整、日志分析等技术措施。

　　在上述安全活动中，最核心的安全服务技术内容是：专家咨询服务、风险评估服务、信息安全保障体系设计服务、安全策略实施服务、安全加固服务、安全集成服务。

　　需要指出的是，不同的阶段决定了安全技术的深度与广度的不同。对此，浪潮安全的安全服务总监赵东生举例说，现在90%的病毒都具备驱动层+自我保护+反杀毒软件的特点，其中又不乏高水平的内核层木马，如果把定期的安全评估比作是体检，现在就需要专业的专科医生进行深入调查。同时，现在进行安全评估的时候，评估的范围从一般意义的安全扩展到了广义的安全，如环境安全也开始真正考虑了。而安全咨询也一样，在ISO27001中，以前最薄弱的环节就是灾备环节，主要原因是设计到环境设备太多，范围也不好界定。到了运维阶段，对环境安全的运维能力和意识、对大量安全产品和IT产品的技术支持能力、对用户应用的了解程度都摆在了安全服务提供商的面前。

　　对此，Hillstone市场总监赵彦利表示说：“从技术上分析，标准的安全服务提供商至少要具备三个能力：第一，跨厂商产品维护能力。第二，高速应急响应能力；第三，对大型系统发生安全事件的综合诊断与处理能力。”

　　对此，熊敏持相同的看法，他认为安全服务是一个完整安全技术体系中不可或缺的一部分，安全服务和各种安全产品、技术的融和使用，才能真正保障一个大型网络的动态和持续安全。以瑞星的安全专业服务RSPS为例，将安全通告、上门巡检、应急响应、维护服务、系统检查和加固、安全培训等服务打包在一起，为的是帮助用户建立和维护一套健康的网络运行系统，建立“预防为主、快速响应、迅速处理”的安全保障体系。其技术理念是强调简单的网络安全产品堆砌无法解决安全问题，而是需要合适的安全体系和合理的安全产品组合，需要根据网络及网络用户的情况和需求规划、设计和实施一定的技术服务与审计策略，从而保障大型和复杂网络环境的安全。

　　另外，针对当前Web威胁泛滥的情况，针对Web威胁的定制安全服务技术也逐渐流行。对此，刘政平表示，他们已经推出专家主动式服务TMES，针对中型企业抵御风险的承受能力，实现企业安全风险、损失和成本平缓可控，并提供不间断远程及现场服务。具体技术包括了：快速病毒响应及处理、7*24专家在线值守、紧急上门问题处理以及日常报表服务。换句话说，TMES是把平时幕后的工程师组织起来参与解决企业面临的复合网络安全问题。

　　一家总部位于北京的基金公司的安全工程师表示：“对于金融企业来说，应对威胁时的响应时间是网络安全的关键，采用完善的安全服务技术可以确保企业的网络系统始终安全、稳定运行。此外，选择适合的服务可以降低用于日常维护的人力和资金成本，企业的IT人员不再是整天忙于四处‘救火’，而是可以投入更多的时间，把内部交易系统建设得更加完善。”

　　挑战：技术与理念的博弈

　　安全服务发展到现在，其走过的路决不是一番风顺的。目前看来，安全服务无论从技术上还是理念上，都充满了挑战。

　　对此赵彦利解释说：“从技术的层面看，国内信息安全市场经过多年的发展，目前处于一个转折变化时期，一个明显的特点是攻防的不对称性越发突出：即攻击变得更加容易，而防御更加困难。”此前惠州大学网络中心老师也表示，随着互联网的发展，当前大量的内网用户可以从网络上随意下载许多自动化的攻击工具发起攻击，病毒、木马、蠕虫等攻击让企事业单位防不胜防。这对用户的应急响应能力、分析处理能力提出了极大挑战。

　　在这种基础上，大量企业用户现在迫切需要一种全方面的、立体的安全服务。对此吴鸿钟表示说：“目前用户普遍认为信息安全不单纯是一种产品，也不再是一种简单商品，而是一种技术、管理和运行的多维一体。这对安全企业提出了很大挑战，他们必须具备相当强的技术整合能力，能够从风险分析、需求确定、安全保障等层面全面提供咨询，在全生命周期内提供服务。但是目前很多国内的信息安全企业很难面对如此高的挑战。”

　　另外，他也认为中国的信息市场极大，无论上网人数还是带宽条件都进入了发达国家行列，但是中国的信息安全工业却及其稚嫩，这导致安全需求的量身定制与工业化产品的标准化问题经常产生冲突。换句话说，安全需要贴身服务与安全服务的投入存在极大矛盾，经常造成的这样的结果：信息安全在客户需求的量化特性上和人力资源投入上的边界效益偏低，信息安全的微观经济收益过小，“免费的服务”和“产品服务”大行其道。这导致从总体上看，企业做安全服务的收益不高。

　　作为国外安全企业的代表，Symantec大中国区总裁吴锡源在接受本报独家专访时表示，安全服务的转折点在于技术创新与理念培育。他说：“在2008年，安全企业为客户提供的不再是一个单一产品，而是有附加价值的技术方案和服务。换句话说，企业提供的是一个平台。透过平台才能跟用户建立长期的合作关系，透过平台才能帮用户解决问题。Symantec从过去卖杀毒软件、备份产品，到今天卖安全方案、数据标准化、存储管理平台，为得就是通过服务理念的培养，协助用户建立全新的安全应用模式。”

　　说到服务理念的建立与培养，记者看到，国内安全服务市场经过八年多的商业运作，在高端市场遭受外企的压力，中低端市场受小公司或其他非正规公司的竞争，经常出现低价甚至低于公司实际成本竞标现象。低价竞标的后果就必然会导致服务效果的低品质，造成安全服务效果不理想。

　　来自用户层面的技术人员对安全服务认可度普遍较高。但是相关层面的高管及计划财务部门由于不能清晰的识别安全服务项目成果，或者认为安全服务成果不如购买设备形成有形资产来的实在，所以安全服务在推广和接受上还需努力。

　　应用：收获安全体验

　　安全服务的本质是技术，其应用需要与产品相结合。举例来看，如果某人到医院体检，医生要通过各种医疗设备，如：核磁共振、B超、听诊器等各种设备进行分析，并在检查中依据自己的经验做出最终的检验结果，安全服务从某种意义上说就像医生和就诊者的关系，安全服务人员必须通过各种技术产品相结合对用户的网络、主机环境进行分析，对一些可疑现象利用自己的经验给出结果和处理方式。

　　“安全服务是为用户提供一个预防和紧急处理的服务方式，就好像用户请了个私人医生，通过定期体检，找到和发现可能出现的问题，并加强自身安全系数，一旦出现问题是，可以迅速处理。”熊敏如是说。

　　以光大银行为例，从他们部署的实际情况看，安全服务过程绝大部分依赖有经验的专业技术专家进行实施。简单来说，安全服务几乎是完全依赖人来完成，而不是设备产品来完成的专业工作。在实施过程中，专业技术专家凭借实践经验，会总结开发一些自动工具（数据采集脚本等），这些开发的自动工具只是为安全服务收集数据，而不会对被服务对象产生负面影响。

　　对此门嘉平解释说，安全服务与相关安全技术是相互协调统一的。如果企业用户不能明确自己的实际需求，就应该通过专业的安全公司用安全服务手段去发现自身的隐患，切实找到相关需求，进而再去选择安全技术手段，这样其实际花费和达到的效果将是最优的。

　　需要指出的是，即使选择了相关安全技术，还是需要专业的安全服务把具体安全技术真正的应用起来，充分发挥安全技术防护能力，才能充分发挥安全防护体系作用。安全服务与安全技术手段，都应该是以解决客户面临的实际问题为出发点，相互配合相互作用，才可以达到防护客户信息系统的安全需求。不难看出，用户在选择安全技术之前，需要充分、科学并合理的评价安全服务带来的实际效果。

　　从技术应用上看，发现安全隐患，除了常规的风险评估手段之外，还需要对信息系统做日常安全巡检。在风险应对策略中，企业只有通过采用访问控制技术、主动监控技术、威胁过滤技术等手段搭建主动和被动相结合的安全技术防线，并通过设计相关安全管理策略和制度，才能从技术、管理、人员组织等多层次多角度建立安全防护体系。

　　有意思的是，微软的安全技术专家尹川和吴鸿钟在评价安全服务应用时都提出了分层服务、深度安全的理念。

　　具体来看，通过深度服务能够达到深度安全，体现在显性与隐性两种安全体验的获取上。显性的安全是指：用户能够最为明显地看到安全的效果，比如桌面计算机安装的防病毒软件，如果安装并起到作用，当其它计算机遭受病毒危害而用户的计算机安然无恙时，安全的效果立刻体现出来。又比如防火墙系统，它能直观呈现出何时有谁对用户的计算机进行了尝试性的攻击，并试图对用户的文件进行读取。再如入侵检测，它更是一种显性的安全，它能直观呈现出攻击的来临并进行预警。

　　隐性的安全指得又是另外一种安全效果，这种安全效果不是轻易能够判别的，没有一定的安全知识是无从判断的。比如加密机，它的部署是透明的，对个人用户没有任何影响，它阻挡了数据在网络传输中可能被泄密的风险，但是数据究竟在传输过程中是否被窃听、修改用户很难知晓。此外，各种监控系统、审计系统，也具备隐性安全的性质。

　　通过深度服务，信息安全达到一种至高的安全境界，也只有达到了显性和隐性双重安全，企业的信息系统才可能在根本上达到安全！

　　安全服务的门槛

　　安全服务地位、职责均非常重要，在记者看来，从事信息安全服务的安全厂商必须在业务上真正做到专业化，基于风险评估、策略开发、安装、测试和更新管理等方面的深层次和专业化，而且必须能够适应用户的业务流程。更重要的是，从事安全服务的企业应该具备用户至上的理念，在市场的角度就是要有一定的风险保障协议。

　　信息安全市场是一个比较特殊的市场，企业应该提高自身的安全信念，企业本身要有“值得可信”这样的文化奋斗目标，否则最终会被市场抛弃，当然国家有关部门也要作好某些行业的安全服务准入制度，规范市场。

　　安全服务同样也存在风险，只是不同的服务有不同的风险系数，因此，在安全服务中安全服务人员的技术能力和经验尤为重要，在安全服务前期一定要和用户进行良好沟通，了解用户的各种环境和应用的重要性，在安全服务时做好相关的备份和预防措施。