随着信息化的不断发展,信息安全工作的整体态势也正在日新月异的变化,随着技术的不断进步,信息安全也不断的发展出受制于技术积累的细分领域,从而对各级信息安全工作人员提出了更高的需求。
一、信息安全工作现状的痛点
在大多数企业中,受制于资金、环境、人员等条件,信息安全工作均依赖于专业厂商提供的产品与服务。在此前提下,信息安全工作的现状便产生了许多亟待解决的问题。
(一)非大规模企业,无法配备专业专职信息安全管理人员。
在不以互联网为主要业务平台的各企业中,往往只会配备较少的信息化管理人员,而几乎不会配备专业专职的信息安全管理人员。这不仅仅是业务重心的问题,企业的性质也决定了这样的资源配比,显然为了喝自来水自己建一个水厂并不必要。但是随之而来的问题也很明显,不具备信息安全知识背景或仅具备初级信息安全知识的人员,无法准确的把握信息安全技术的变化,无法及时准确掌握政策、法律法规、标准变化带来的管理标准变化,导致企业的安全工作往往只能流于表面,无法应对真正的安全风险。
(二)安全厂商提供产品较多,提供管理与服务较少。
近年来,信息安全产业发展较快,专业的安全厂商也得到了长足的发展,但安全厂商的盈利点还是以设备销售为主,设备的管理与使用,还是要依托于用户的信息安全管理人员。俗话说,信息安全工作是三分技术七分管理,厂商协助安装了再多的设备,设备的功能再多样,也无法代替不够专业的管理人员,往往导致设备无法起到应有的作用。
(三)安全产品品牌、类别较多,实现安全管理十分复杂。
在设备的更新换代中,想要确保单一的厂商是很困难的一件事,在各级设备交叉管理的领域,遇到设备策略重配、整体策略调整时,需要的操作繁多,效率低下。如定义了用户组的设备中,遇到用户权限、部门变更时,需要对所有设备所有的策略进行更新;又比如定义一条全局策略时,需要在所有设备上进行配置,确保其行之有效。
(四)特性化、有针对性的安全策略无法实现。
当信息安全突然爆发较大风险时如出现高危病毒、高危漏洞、黑客攻击、政策变更时,安全设备若无法及时更新数据库、补丁,依托于设备的安全管理就无法起效。
二、问题的解决思路
将用户的安全需求建立标准模型,让安全厂商更加了解用户,依托于模型中的标准参数提供更加有效的服务,降低对用户知识的需求。
(一)标准安全需求调研问卷确认需求
在安全服务协定签订前,安全厂商可依托于过往经验,对用户的信息安全需求进行详尽分析,主要包括用户网络构成、用户安全目标、重点防护区域、风险控制水平等,由售前工程师依照标准的模板,以用户较容易理解的方式进行售前沟通,确认用户的需求。
(二)以确保结果为导向的安全整体服务承诺
将整体信息安全保障服务,细化为对整体安全的保障。大多数时间,用户对信息安全的技术细节是模糊的,但对信息安全工作的整体目标是明确的,即确保各信息化设备、系统的无故障运行,能应对信息化系统运行时面临的各种风险。在此前提下,购买的设备、服务,制定的方针、制度、规章,实践的管理、制定的策略,统统是实现目标的手段。若信息安全厂商无法提供确保目标实现的整体服务承诺,必然会将压力转嫁到用户头上,进而产生对产品的不信任感。
(三)应对新技术、新文件要求、个性化需求的灵活安全策略
在签订了整体安全服务合同后,信息安全厂商需要根据用户的需求,在各重要环节布置必要的设备,配置合理的策略,同时协助用户进行管理制度的修订,控制关键的审批环节。当有变更发生时,可以灵活的进行设备替换、有专业人员进行策略的变更,第一时间进行整体调整,确保实施的整体效率。
(四)渗透入日常监管、控制的安全管理
对于信息安全专业人员十分匮乏的用户,安全厂商可以选择派驻驻点人员的方式,将日常安全审计、安全监管、安全控制的工作接管,通过定期提供管理报告的方式,向用户提供精确严格、确保结果的专业日常管理
(五)以风险评级为依据的模块化服务
安全服务可以做细,也可以在要求不那么高的地方降低标准。通过对于用户的整体需求、现状的分析,给予用户模块化的服务选项,由用户参照实际需求选择服务模块,体现出价格与需求的最明确关联,提升整体安全服务的性价比。
(六)协助用户建立对于人力和知识要求最低的管理方法
通过建立标准的安全服务模型,用户可以对自身信息安全管理实现更深入的了解。不依托于大量的具体管理方式和大量的安全知识学习,用户也可以对信息安全进行准确的把握与调整。通过将信息安全中最依赖于技术与经验的设备选型、策略配备、制度管控、风险评估、应急处置等打包起来由专业人员来提供,从而给予用户最佳的信息安全保障。
三、信息安全服务模型带来的改变
(一)模块化服务直接连接问题与结果
通过建立信息安全的服务模型,用户面对的问题不再是“我应该选用哪款设备、配置什么策略来解决我这个需求”,而是“我应该如何向我的服务商提清楚我的需求”,看到的结果是很直观的“问题已解决”或“问题未解决”,将问题与结果用最直观的方式展现,解决用户的实际需求。
(二)不再以产品销售为赢利点的信息安全生态
信息安全的现状的商业生态,大部分依托于产品销售及售后服务带来的利润,这样就会对用户产生很大的困扰,不知道厂商更换设备究竟是出于赚钱的目的还是出于解决实际问题。通过整体的服务模型建设,可以将厂商与用户的目的趋向于一致,将每年的安全支出控制在一个合理的值,得到性价比最高的安全服务。
(三)更加可信的安全保障
信息安全厂商对于用户更加了解的前提下,可以专心的对用户的需求进行剖析,迅速找到症结与应对手段,安全保障能力不再局限于设备,使得信息安全更加可信。
结论
在信息安全技术层出不穷,不断推陈出新时,作为安全产品与服务的用户,一方面需要进行必要的安全技术学习,但另一方面更需要剖析自身需求,找准自身痛点,将自身从信息安全工作中解放出来。在社会分工日趋精确明细的大环境下,找专业的人做专业的事,向专业的商家买专业的服务,成为了最有效的解决方案。找对痛点,找准症结,明确需求,在信息安全工作领域取得进一步的提高,才能应对好日后更加复杂的信息安全环境,保障信息化业务的顺利运行。