隨著信息化的不斷發(fā)展，信息安全工作的整體態(tài)勢(shì)也正在日新月異的變化，隨著技術(shù)的不斷進(jìn)步，信息安全也不斷的發(fā)展出受制于技術(shù)積累的細(xì)分領(lǐng)域，從而對(duì)各級(jí)信息安全工作人員提出了更高的需求。

　　一、信息安全工作現(xiàn)狀的痛點(diǎn)

　　在大多數(shù)企業(yè)中，受制于資金、環(huán)境、人員等條件，信息安全工作均依賴(lài)于專(zhuān)業(yè)廠商提供的產(chǎn)品與服務(wù)。在此前提下，信息安全工作的現(xiàn)狀便產(chǎn)生了許多亟待解決的問(wèn)題。

　　（一）非大規(guī)模企業(yè)，無(wú)法配備專(zhuān)業(yè)專(zhuān)職信息安全管理人員。

　　在不以互聯(lián)網(wǎng)為主要業(yè)務(wù)平臺(tái)的各企業(yè)中，往往只會(huì)配備較少的信息化管理人員，而幾乎不會(huì)配備專(zhuān)業(yè)專(zhuān)職的信息安全管理人員。這不僅僅是業(yè)務(wù)重心的問(wèn)題，企業(yè)的性質(zhì)也決定了這樣的資源配比，顯然為了喝自來(lái)水自己建一個(gè)水廠并不必要。但是隨之而來(lái)的問(wèn)題也很明顯，不具備信息安全知識(shí)背景或僅具備初級(jí)信息安全知識(shí)的人員，無(wú)法準(zhǔn)確的把握信息安全技術(shù)的變化，無(wú)法及時(shí)準(zhǔn)確掌握政策、法律法規(guī)、標(biāo)準(zhǔn)變化帶來(lái)的管理標(biāo)準(zhǔn)變化，導(dǎo)致企業(yè)的安全工作往往只能流于表面，無(wú)法應(yīng)對(duì)真正的安全風(fēng)險(xiǎn)。

　　（二）安全廠商提供產(chǎn)品較多，提供管理與服務(wù)較少。

　　近年來(lái)，信息安全產(chǎn)業(yè)發(fā)展較快，專(zhuān)業(yè)的安全廠商也得到了長(zhǎng)足的發(fā)展，但安全廠商的盈利點(diǎn)還是以設(shè)備銷(xiāo)售為主，設(shè)備的管理與使用，還是要依托于用戶的信息安全管理人員。俗話說(shuō)，信息安全工作是三分技術(shù)七分管理，廠商協(xié)助安裝了再多的設(shè)備，設(shè)備的功能再多樣，也無(wú)法代替不夠?qū)I(yè)的管理人員，往往導(dǎo)致設(shè)備無(wú)法起到應(yīng)有的作用。

　　（三）安全產(chǎn)品品牌、類(lèi)別較多，實(shí)現(xiàn)安全管理十分復(fù)雜。

　　在設(shè)備的更新?lián)Q代中，想要確保單一的廠商是很困難的一件事，在各級(jí)設(shè)備交叉管理的領(lǐng)域，遇到設(shè)備策略重配、整體策略調(diào)整時(shí)，需要的操作繁多，效率低下。如定義了用戶組的設(shè)備中，遇到用戶權(quán)限、部門(mén)變更時(shí)，需要對(duì)所有設(shè)備所有的策略進(jìn)行更新；又比如定義一條全局策略時(shí)，需要在所有設(shè)備上進(jìn)行配置，確保其行之有效。

　　（四）特性化、有針對(duì)性的安全策略無(wú)法實(shí)現(xiàn)。

　　當(dāng)信息安全突然爆發(fā)較大風(fēng)險(xiǎn)時(shí)如出現(xiàn)高危病毒、高危漏洞、黑客攻擊、政策變更時(shí)，安全設(shè)備若無(wú)法及時(shí)更新數(shù)據(jù)庫(kù)、補(bǔ)丁，依托于設(shè)備的安全管理就無(wú)法起效。

　　二、問(wèn)題的解決思路

　　將用戶的安全需求建立標(biāo)準(zhǔn)模型，讓安全廠商更加了解用戶，依托于模型中的標(biāo)準(zhǔn)參數(shù)提供更加有效的服務(wù)，降低對(duì)用戶知識(shí)的需求。

　　（一）標(biāo)準(zhǔn)安全需求調(diào)研問(wèn)卷確認(rèn)需求

　　在安全服務(wù)協(xié)定簽訂前，安全廠商可依托于過(guò)往經(jīng)驗(yàn)，對(duì)用戶的信息安全需求進(jìn)行詳盡分析，主要包括用戶網(wǎng)絡(luò)構(gòu)成、用戶安全目標(biāo)、重點(diǎn)防護(hù)區(qū)域、風(fēng)險(xiǎn)控制水平等，由售前工程師依照標(biāo)準(zhǔn)的模板，以用戶較容易理解的方式進(jìn)行售前溝通，確認(rèn)用戶的需求。

　　（二）以確保結(jié)果為導(dǎo)向的安全整體服務(wù)承諾

　　將整體信息安全保障服務(wù)，細(xì)化為對(duì)整體安全的保障。大多數(shù)時(shí)間，用戶對(duì)信息安全的技術(shù)細(xì)節(jié)是模糊的，但對(duì)信息安全工作的整體目標(biāo)是明確的，即確保各信息化設(shè)備、系統(tǒng)的無(wú)故障運(yùn)行，能應(yīng)對(duì)信息化系統(tǒng)運(yùn)行時(shí)面臨的各種風(fēng)險(xiǎn)。在此前提下，購(gòu)買(mǎi)的設(shè)備、服務(wù)，制定的方針、制度、規(guī)章，實(shí)踐的管理、制定的策略，統(tǒng)統(tǒng)是實(shí)現(xiàn)目標(biāo)的手段。若信息安全廠商無(wú)法提供確保目標(biāo)實(shí)現(xiàn)的整體服務(wù)承諾，必然會(huì)將壓力轉(zhuǎn)嫁到用戶頭上，進(jìn)而產(chǎn)生對(duì)產(chǎn)品的不信任感。

　　（三）應(yīng)對(duì)新技術(shù)、新文件要求、個(gè)性化需求的靈活安全策略

　　在簽訂了整體安全服務(wù)合同后，信息安全廠商需要根據(jù)用戶的需求，在各重要環(huán)節(jié)布置必要的設(shè)備，配置合理的策略，同時(shí)協(xié)助用戶進(jìn)行管理制度的修訂，控制關(guān)鍵的審批環(huán)節(jié)。當(dāng)有變更發(fā)生時(shí)，可以靈活的進(jìn)行設(shè)備替換、有專(zhuān)業(yè)人員進(jìn)行策略的變更，第一時(shí)間進(jìn)行整體調(diào)整，確保實(shí)施的整體效率。

　　（四）滲透入日常監(jiān)管、控制的安全管理

　　對(duì)于信息安全專(zhuān)業(yè)人員十分匱乏的用戶，安全廠商可以選擇派駐駐點(diǎn)人員的方式，將日常安全審計(jì)、安全監(jiān)管、安全控制的工作接管，通過(guò)定期提供管理報(bào)告的方式，向用戶提供精確嚴(yán)格、確保結(jié)果的專(zhuān)業(yè)日常管理

　　（五）以風(fēng)險(xiǎn)評(píng)級(jí)為依據(jù)的模塊化服務(wù)

　　安全服務(wù)可以做細(xì)，也可以在要求不那么高的地方降低標(biāo)準(zhǔn)。通過(guò)對(duì)于用戶的整體需求、現(xiàn)狀的分析，給予用戶模塊化的服務(wù)選項(xiàng)，由用戶參照實(shí)際需求選擇服務(wù)模塊，體現(xiàn)出價(jià)格與需求的最明確關(guān)聯(lián)，提升整體安全服務(wù)的性價(jià)比。

　　（六）協(xié)助用戶建立對(duì)于人力和知識(shí)要求最低的管理方法

　　通過(guò)建立標(biāo)準(zhǔn)的安全服務(wù)模型，用戶可以對(duì)自身信息安全管理實(shí)現(xiàn)更深入的了解。不依托于大量的具體管理方式和大量的安全知識(shí)學(xué)習(xí)，用戶也可以對(duì)信息安全進(jìn)行準(zhǔn)確的把握與調(diào)整。通過(guò)將信息安全中最依賴(lài)于技術(shù)與經(jīng)驗(yàn)的設(shè)備選型、策略配備、制度管控、風(fēng)險(xiǎn)評(píng)估、應(yīng)急處置等打包起來(lái)由專(zhuān)業(yè)人員來(lái)提供，從而給予用戶最佳的信息安全保障。

　　三、信息安全服務(wù)模型帶來(lái)的改變

　　（一）模塊化服務(wù)直接連接問(wèn)題與結(jié)果

　　通過(guò)建立信息安全的服務(wù)模型，用戶面對(duì)的問(wèn)題不再是“我應(yīng)該選用哪款設(shè)備、配置什么策略來(lái)解決我這個(gè)需求”，而是“我應(yīng)該如何向我的服務(wù)商提清楚我的需求”，看到的結(jié)果是很直觀的“問(wèn)題已解決”或“問(wèn)題未解決”，將問(wèn)題與結(jié)果用最直觀的方式展現(xiàn)，解決用戶的實(shí)際需求。

　　（二）不再以產(chǎn)品銷(xiāo)售為贏利點(diǎn)的信息安全生態(tài)

　　信息安全的現(xiàn)狀的商業(yè)生態(tài)，大部分依托于產(chǎn)品銷(xiāo)售及售后服務(wù)帶來(lái)的利潤(rùn)，這樣就會(huì)對(duì)用戶產(chǎn)生很大的困擾，不知道廠商更換設(shè)備究竟是出于賺錢(qián)的目的還是出于解決實(shí)際問(wèn)題。通過(guò)整體的服務(wù)模型建設(shè)，可以將廠商與用戶的目的趨向于一致，將每年的安全支出控制在一個(gè)合理的值，得到性價(jià)比最高的安全服務(wù)。

　　（三）更加可信的安全保障

　　信息安全廠商對(duì)于用戶更加了解的前提下，可以專(zhuān)心的對(duì)用戶的需求進(jìn)行剖析，迅速找到癥結(jié)與應(yīng)對(duì)手段，安全保障能力不再局限于設(shè)備，使得信息安全更加可信。

　　結(jié)論

　　在信息安全技術(shù)層出不窮，不斷推陳出新時(shí)，作為安全產(chǎn)品與服務(wù)的用戶，一方面需要進(jìn)行必要的安全技術(shù)學(xué)習(xí)，但另一方面更需要剖析自身需求，找準(zhǔn)自身痛點(diǎn)，將自身從信息安全工作中解放出來(lái)。在社會(huì)分工日趨精確明細(xì)的大環(huán)境下，找專(zhuān)業(yè)的人做專(zhuān)業(yè)的事，向?qū)I(yè)的商家買(mǎi)專(zhuān)業(yè)的服務(wù)，成為了最有效的解決方案。找對(duì)痛點(diǎn)，找準(zhǔn)癥結(jié)，明確需求，在信息安全工作領(lǐng)域取得進(jìn)一步的提高，才能應(yīng)對(duì)好日后更加復(fù)雜的信息安全環(huán)境，保障信息化業(yè)務(wù)的順利運(yùn)行。