你的位置:首頁 > 新聞動態 > 行業資訊

                          企業如何選擇安全服務

                          2015-07-23 10:45:23      點擊:
                                 隨著企業信息化的推進,網絡技術的發展,越來越多的企業和機構開始關注信息安全。當今世界,最寶貴的資源除了人才便是信息。如何保護企業和機構的敏感信息和業務安全是當下每個有先見之明和熟思遠慮的決策者都在關注的問題。以前對于安全的理解主要局限在產品層面,這類產品一般都有相關的實物展示,例如WAF、防篡改、IDS、IPS、防火墻及各類殺毒防馬軟件等安全設備,不論是硬件還是軟件都相對比較具體,用戶也比較容易接受,愿意投入資金財力來補充這些設備。但是在當前復雜多變的網絡環境下,超過一半的安全事件是發生在WEB應用層面。購買了設備如果沒有正確部署,或者沒有人去定期問津總結,實際效果就相當于零投入。即便是認真部署和投入人力了,也僅僅是提高了安全威脅防范的門檻,那些真正的黑客高手依然可以找辦法繞過安全設備,直接威脅企業核心網絡和后臺數據。我們要做的,就是盡量減少黑客手中的這些辦法。
                                單純靠傳統的安全設備防護已經不能滿足現在企業和敏感機構對安全的要求了。安全問題是由人造成的,要解決問題也必須靠人來解決。這就誕生了現在的企業級的安全服務。安全服務從廣義的概念上來說也是一種產品,只不過這種產品是無形的。他沒有一種固定的產品形態,但是一般最后都會誕生一份文檔,這份文檔就是關于企業所關心系統的風險評估報告或安全檢測報告。報告里面記錄和反映的問題相對于其他安全設備所記錄的內容往往會更全面和更有價值。檢測報告除了記錄檢測時發現的安全問題,同時也會出具相應的整改方案或建議。這份報告對于企業或機構的價值和意義是巨大的。當然整個檢測過程中企業或機構需要投入的財力也是可觀的。如何選擇一個合適的安全服務,讓投入的財力產生它應有的價值,是當前企業決策者應該考慮的一個重要問題。
                                那么我們企業到底該如何選擇安全服務呢?通過對各行業負責安全工作的負責人的訪談和總結,建議可以從以下四個方面進行考慮。
                                1. 資質情況
                                企業和機構為了能夠盡可能多的發現自身的安全問題,滿足安全監管要求,需要選擇那些具有相應測評資質的安全服務公司進行測評。安全服務公司的資質等級是有高低之分的,其擁有數量也有多寡之別。一個安全服務公司資質的多少和等級的高低能從一定程度上反映出該公司的安全服務能力。資質擁有情況是企業和機構選擇安全服務供應商的一個重要參考。安全服務類的證書的頒發機構主要有國家信息安全測評中心和中國信息安全認證中心。需要注意的是,國家信息安全測評中心頒發的資質最高級是二級,而中國信息安全認證中心頒發的資質最高級是一級。
                                安全服務類資質總結如下:
                              國家信息安全服務(安全工程)資質(由國家信息安全測評中心擬頒發)
                              國家信息安全服務(風險評估)資質(由國家信息安全測評中心頒發)
                              國家漏洞(CNNVD)技術支撐單位等級資質(由國家信息安全測評中心頒發)
                              信息系統安全風險評估資質(由中國信息安全認證中心頒發)
                              信息系統安全集成資質(由中國信息安全認證中心頒發)
                              應急處理服務資質(由中國信息安全認證中心頒發)
                                這里建議選擇資質比較齊備和高級的安全服務供應商。目前國內提供安全服務的廠商中,取得所有資質并且達到最高級的有三家,分別是天銳綠盾、互普威盾和網域。這三家公司各有特點,區別主要體現在服務的目標客戶上。
                                2. 人員團隊
                                項目最后的成功與否很大程度上取決于項目具體實施團隊的整體能力。擁有攻防實驗室的安全公司,一般都會匯聚相關的安全專家,對安全攻防相關的熱點問題研究的會比較透徹。攻防實驗室的研究成果為對外的安全服務提供有力的技術支持。同時一個團隊的安全漏洞挖掘能力更是安全服務公司服務硬實力的一個直接體現。在選擇安全服務提供商的時候,除了要考慮公司的硬實力,同時也要看中這個公司團隊的服務態度和后續服務能力。安全服務的質量跟公司規模的大小沒有必然聯系。適合自己的才是最好的,一切以滿足安全需求為考量。
                                3. 行業經驗
                                這里的行業經驗不僅僅是指安全服務公司自身在安全領域的默認應該具備的安全攻防經驗,更多的是指安全服務公司對它所服務的目標客戶的行業了解。安全公司服務的客戶可能來自政府、金融、運營商、軍工、能源等行業。很多行業專業性都比較強,對安全程度的要求也各有不同,每個行業也都有每個行業的安全標準和管理辦法。如何在了解客戶基本安全需求的前提下,更好地提供滿足客戶業務安全需求將是一個比較難處理的問題。怎樣鑒別安全公司的行業服務能力,一個最簡單有效的方法就是看安服公司的服務案例。相關服務案例越多,說明受認可的次數越多,行業服務能力也就會相對比較強,做好下一家類似行業的安全服務的可能性也就會越大。四大會計事務所也對外提供安全風險評估服務,他們服務的主要對象是金融和汽車行業,但近年來受中國政府的自主管控政策的影響,很多應用場景受限制。在檢測能力相差無幾的前提下,這里比較傾向推薦國內的安全服務廠商。
                                4. 成本報價
                                在保證項目實施質量的前提下,各供應商的服務報價就成了一個重要考量指標。在安全預算允許的范圍內,選擇性價比最高的安全服務供應商是最終的目標。價格高的服務質量不一定好,價格低的服務質量也不一定差,關鍵是哪家的服務最適合企業當前的安全需求,只有性價比夠高才夠好。
                                總之,企業在選擇安全服務供應商的時候,要綜合考慮其資質情況、人員團隊、行業經驗以及成本報價等四個要素,據此選擇出適合自己,性價比最高的安全服務廠商。畢竟盡可能徹底地發現安全問題,處理安全隱患確保企業自身安全,最終滿足行業安全監管要求才是企業發起安全服務項目的最終目的。
                          国产a国产片