在"内网安全 十年十辩"系列的第九篇中,各方专家从不同的视角探讨了关于"信息防泄漏的新挑战"的问题,面对日益多样化的安全威胁,仅靠企业自身的力量越来越难以完成信息防泄漏的艰巨任务,企业需要强有力的盟友共同对抗安全威胁。内网安全产品供应商除了提供产品外,是否还可以提供内网安全的咨询或外包服务?是否可以向安全服务提供商转型?企业是否需要单纯安全产品之外的服务在"内网安全 十年之辩"系列的最后一篇中,让我们共同来探讨关于内网安全扩展服务方面的问题。
武汉凡谷电子技术股份有限公司信息部经理朱烔哲
内网安全是新兴行业,对大多数企业而言,都没有明确的概念,在真正需要的时候也无法立刻找到合适的能在企业内部掌控项目并合适的定位产品的人员。从这个角度看,安全咨询和服务是很重要的。但是,和IT服务外包不一样,内网安全维护的外包不能替代企业自身的安全管理,这两者很难截然分开。
对于厂商来说,提供咨询和外包服务需要强大的技术实力和实施团队,而仅提供产品的风险较小,因此国内还提供安全咨询和外包的安全厂商还不多,如何提供安全服务,企业对安全服务如何选用,个人认为还需要一段时间才能成熟。
青岛中集冷藏箱制造有限公司信息主任耿峰
企业更需要的是安全规划、安全评估、全面的安全管理咨询,简单的基于产品的咨询是不够的。
杭州汽轮机股份有限公司所长黄梁:
因为企业信息化部门毕竟不是专业做内网安全的,对一些威胁或者潜在的威胁,有可能会忽视,对内网安全体系还存在的一些漏洞,可能也没有及时的注意到,这就需要专业的内网安全公司进行一次全面的风险评估,这样的评估,可以定时、定期的进行。还可以开展一些培训,现在社会上的一些网络安全培训,针对性不强,时效性则更差,内网安全产品供应商则可以利用他们的资源和实施案例、新出现的风险,进行针对性的专业培训,以提高企业信息化人员的风险应对能力。
三一重工股份有限公司研究总院信息化经理谭俊峰
1.全心全意的做好售前、售中、售后服务;
2.为顾客提供整体、完善、合适的解决方案;
3.深入企业进行现场业务需求调研,把握行业市场动向,为未来发展进行各方面储备。
游侠安全网站长张百川:
厂商应当为企业提供一些安全服务。比如:针对员工的安全意识培训、针对企业管理员的安全技术培训以及安全咨询、整体安全解决方案设计、应急服务等。
信息安全专家李洋博士:
厂商为企业提供一些咨询服务是必要的。其实,现在安全产品供应商应该顺承一个趋势,就是从device provider逐步地过渡到solution provider,没有哪一家厂商可以说自己的产品包罗万象,可以满足用户的所有需求。用户目前更关注的是解决方案,其次才是实施的产品。没有方案,何谈产品。光卖产品的时代已经过去了,产品供应商们应该意识到这一点。企业用户在产品选择时也要更多地关注产品供应商的解决方案是不是合适,高效。
溢信科技产品总监黄凯:
作为最早进入内网安全行业,并服务于行业客户长达10年的企业,溢信科技积累了丰富的经验,在遇到新客户时,往往能提供一些可行性建议。以此为例,内网安全厂商可以开发更多的服务性业务,可能有:
1.内网安全状态的整体评估;
2.内网安全培训;
3.内网安全整体方案的咨询与制定等
制造业信息化专家黄培博士:
内网安全产品供应商仅仅为客户提供产品是不够的,仅仅是买卖关系对双方都不利,更应该形成真正的合作伙伴的关系。供应商拥有宝贵的实施经验,可以帮助企业规划适合自身需求的安全体系,企业在应用中遇到的问题,反馈给供应商可以帮助其更好的改进产品。所以保持长期的合作伙伴的关系是必要的。从具体的服务上来看,供应商可以为企业提供咨询、风险评估、培训、技术支持等服务。
总结:
从参与本次讨论的专家们的观点来看,企业自身对技术和威胁的敏感性较差,需要安全厂商为他们提供咨询、评估、培训、技术支持等服务;厂商对技术和安全威胁的发展变化极为敏感,了解最新的变化,而且在多年的运营中也积累了大量的实践经验,有能力为企业提供相关的扩展服务。现在要解决的问题,或许是厂商如何抛弃急功近利的心态,将客户当成真正的伙伴,踏踏实实的为企业提供服务。
从9月16日至今,已有近一个月的时间。在这段时间里,我们共同探讨了内网安全方面的十个问题。我们梳理了内网安全的十年发展史,也从内网安全的"十年争议"、"当下之惑"、"未来去向"三个层面进行了探讨,尽管许多方面尚不够深入,但亦希望"内网安全 十年之辩"系列能为读者带来启发,为企业的内网安全建设提供帮助,减少泄密事件的发生,助企业信息安全建设更上层楼。