隨著信息化的不斷發(fā)展,信息安全工作的整體態(tài)勢也正在日新月異的變化,隨著技術的不斷進步,信息安全也不斷的發(fā)展出受制于技術積累的細分領域,從而對各級信息安全工作人員提出了更高的需求����。
一���、信息安全工作現(xiàn)狀的痛點
在大多數(shù)企業(yè)中,受制于資金、環(huán)境�、人員等條件,信息安全工作均依賴于專業(yè)廠商提供的產品與服務。在此前提下,信息安全工作的現(xiàn)狀便產生了許多亟待解決的問題。
(一)非大規(guī)模企業(yè),無法配備專業(yè)專職信息安全管理人員�����。
在不以互聯(lián)網為主要業(yè)務平臺的各企業(yè)中,往往只會配備較少的信息化管理人員,而幾乎不會配備專業(yè)專職的信息安全管理人員����。這不僅僅是業(yè)務重心的問題,企業(yè)的性質也決定了這樣的資源配比,顯然為了喝自來水自己建一個水廠并不必要。但是隨之而來的問題也很明顯,不具備信息安全知識背景或僅具備初級信息安全知識的人員,無法準確的把握信息安全技術的變化,無法及時準確掌握政策�����、法律法規(guī)�、標準變化帶來的管理標準變化,導致企業(yè)的安全工作往往只能流于表面,無法應對真正的安全風險。
(二)安全廠商提供產品較多,提供管理與服務較少��。
近年來,信息安全產業(yè)發(fā)展較快,專業(yè)的安全廠商也得到了長足的發(fā)展,但安全廠商的盈利點還是以設備銷售為主,設備的管理與使用,還是要依托于用戶的信息安全管理人員�。俗話說,信息安全工作是三分技術七分管理,廠商協(xié)助安裝了再多的設備,設備的功能再多樣,也無法代替不夠專業(yè)的管理人員,往往導致設備無法起到應有的作用。
(三)安全產品品牌��、類別較多,實現(xiàn)安全管理十分復雜�����。
在設備的更新?lián)Q代中,想要確保單一的廠商是很困難的一件事,在各級設備交叉管理的領域,遇到設備策略重配����、整體策略調整時,需要的操作繁多,效率低下��。如定義了用戶組的設備中,遇到用戶權限�、部門變更時,需要對所有設備所有的策略進行更新;又比如定義一條全局策略時,需要在所有設備上進行配置,確保其行之有效�。
(四)特性化、有針對性的安全策略無法實現(xiàn)����。
當信息安全突然爆發(fā)較大風險時如出現(xiàn)高危病毒、高危漏洞����、黑客攻擊、政策變更時,安全設備若無法及時更新數(shù)據(jù)庫�、補丁,依托于設備的安全管理就無法起效�。
二、問題的解決思路
將用戶的安全需求建立標準模型,讓安全廠商更加了解用戶,依托于模型中的標準參數(shù)提供更加有效的服務,降低對用戶知識的需求���。
(一)標準安全需求調研問卷確認需求
在安全服務協(xié)定簽訂前,安全廠商可依托于過往經驗,對用戶的信息安全需求進行詳盡分析,主要包括用戶網絡構成�、用戶安全目標���、重點防護區(qū)域�、風險控制水平等,由售前工程師依照標準的模板,以用戶較容易理解的方式進行售前溝通,確認用戶的需求。
(二)以確保結果為導向的安全整體服務承諾
將整體信息安全保障服務,細化為對整體安全的保障�。大多數(shù)時間,用戶對信息安全的技術細節(jié)是模糊的,但對信息安全工作的整體目標是明確的,即確保各信息化設備、系統(tǒng)的無故障運行,能應對信息化系統(tǒng)運行時面臨的各種風險��。在此前提下,購買的設備�、服務,制定的方針、制度���、規(guī)章,實踐的管理��、制定的策略,統(tǒng)統(tǒng)是實現(xiàn)目標的手段��。若信息安全廠商無法提供確保目標實現(xiàn)的整體服務承諾,必然會將壓力轉嫁到用戶頭上,進而產生對產品的不信任感���。
(三)應對新技術、新文件要求�����、個性化需求的靈活安全策略
在簽訂了整體安全服務合同后,信息安全廠商需要根據(jù)用戶的需求,在各重要環(huán)節(jié)布置必要的設備,配置合理的策略,同時協(xié)助用戶進行管理制度的修訂,控制關鍵的審批環(huán)節(jié)���。當有變更發(fā)生時,可以靈活的進行設備替換�、有專業(yè)人員進行策略的變更,第一時間進行整體調整,確保實施的整體效率����。
(四)滲透入日常監(jiān)管�����、控制的安全管理
對于信息安全專業(yè)人員十分匱乏的用戶,安全廠商可以選擇派駐駐點人員的方式,將日常安全審計����、安全監(jiān)管���、安全控制的工作接管,通過定期提供管理報告的方式,向用戶提供精確嚴格����、確保結果的專業(yè)日常管理
(五)以風險評級為依據(jù)的模塊化服務
安全服務可以做細,也可以在要求不那么高的地方降低標準���。通過對于用戶的整體需求��、現(xiàn)狀的分析,給予用戶模塊化的服務選項,由用戶參照實際需求選擇服務模塊,體現(xiàn)出價格與需求的最明確關聯(lián),提升整體安全服務的性價比����。
(六)協(xié)助用戶建立對于人力和知識要求最低的管理方法
通過建立標準的安全服務模型,用戶可以對自身信息安全管理實現(xiàn)更深入的了解��。不依托于大量的具體管理方式和大量的安全知識學習,用戶也可以對信息安全進行準確的把握與調整���。通過將信息安全中最依賴于技術與經驗的設備選型��、策略配備�、制度管控�����、風險評估���、應急處置等打包起來由專業(yè)人員來提供,從而給予用戶最佳的信息安全保障��。
三��、信息安全服務模型帶來的改變
(一)模塊化服務直接連接問題與結果
通過建立信息安全的服務模型,用戶面對的問題不再是“我應該選用哪款設備�、配置什么策略來解決我這個需求”,而是“我應該如何向我的服務商提清楚我的需求”,看到的結果是很直觀的“問題已解決”或“問題未解決”,將問題與結果用最直觀的方式展現(xiàn),解決用戶的實際需求�����。
(二)不再以產品銷售為贏利點的信息安全生態(tài)
信息安全的現(xiàn)狀的商業(yè)生態(tài),大部分依托于產品銷售及售后服務帶來的利潤,這樣就會對用戶產生很大的困擾,不知道廠商更換設備究竟是出于賺錢的目的還是出于解決實際問題���。通過整體的服務模型建設,可以將廠商與用戶的目的趨向于一致,將每年的安全支出控制在一個合理的值,得到性價比最高的安全服務�。
(三)更加可信的安全保障
信息安全廠商對于用戶更加了解的前提下,可以專心的對用戶的需求進行剖析,迅速找到癥結與應對手段,安全保障能力不再局限于設備,使得信息安全更加可信����。
結論
在信息安全技術層出不窮,不斷推陳出新時,作為安全產品與服務的用戶,一方面需要進行必要的安全技術學習,但另一方面更需要剖析自身需求,找準自身痛點,將自身從信息安全工作中解放出來�。在社會分工日趨精確明細的大環(huán)境下,找專業(yè)的人做專業(yè)的事,向專業(yè)的商家買專業(yè)的服務,成為了最有效的解決方案�。找對痛點,找準癥結,明確需求,在信息安全工作領域取得進一步的提高,才能應對好日后更加復雜的信息安全環(huán)境,保障信息化業(yè)務的順利運行。
