乙方的安全服務路在何方?

    [多云 March 21, 2010 23:02 | by !4p47hy ]
今天看了大風写的关于现在甲方互联网公司的安全团队的现状,详细请见:http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html,然后又看了 Ben 等人总结的一些:http://bbs.cisps.org/viewtopic.php?t=22406&postdays=0&postorder=asc&start=0

感想比较多,晚上和职业欠钱又聊了下,不禁引发思考,乙方安全服务的路在何方?是否还有存在的必要?仔细思考一番,发现乙方安全服务自有它存在的道理,具体的原因如下几点:

1、首先要明确一点,民营企业的安全做的比国企等事业单位要好。道理很简单,民营企业是由个人来创办的,每一笔钱花出去,老板都希望花在实处,而不是像国企那样,很多都是浮于表面。另外一方面就是民营企业和国企的工作氛围不一样。民营企业的安全团队相当于国企来说更好管理,而国企更多是勾心斗角,争权夺利。就算有一个雄心壮志的人到国企想要大干一番的时候,也会受到束缚,这里有上级的不支持,其他部门的抵制和不配合等等,所以安全工作很难真正的落到实处,效果必然很差。所以事业单位的安全目前来说很多都是外包给第三方的,而像阿里巴巴、腾讯这样的民营企业安全一般都是自己来做,他们有自己的安全团队,也比第三方更加了解自身的业务流程,所以做出来的效果也比第三方做的要好。但个人觉得对于民营企业,乙方安全公司的机会应该会落在管理上面,譬如管理体系的建设,因为很多时候,安全团队还是要借助第三方的手,来将一些制度真正执行起来。还有就是帮助他们过相应的认证等等,现在很多民营企业的安全团队的技术力量比较强,但是在管理体系如 ISO 27001 、ISO 20000 方面可能会比较薄弱,可能要依靠第三方来做,不知道我说的对不对啊,纯属个人猜测。

2、其二、不得不承认一点的就是,随着信息安全逐渐被企业所重视,大大小小的安全公司也随之成立,但现在国内的安全服务的提供商的参差不齐,随便成立个公司,招几个人就号称能做安全服务了。从近段时间的投标情况来看,会遇到各种各样的公司,打超低价,并附送各种增值服务,可想而知,服务的质量是怎么样的了。目前国内安全服务市场这一块比较乱,除了以启明、绿盟为首的一线安全服务提供商外,还有更多的二线三线的小安全公司在里面,所以这个市场很乱。时间做的久了,甲方就会渐渐认为,安全服务就是忽悠,对公司来说,帮助并不是很大。

从上面的分析,结合 大风和Ben等人文章,做乙方的应该反思什么呢?我想应该会有以下几点:

1、目前乙方的安全服务还是仅仅停留在系统扫描、人工评估、渗透测试这些层面,项目做完后,给出解决方案,建议甲方买一堆产品,但是这个解决方案是否能够被执行?乙方是没有去跟踪和实施的。而且乙方的解决方案很多时候是不帮助客户实施的,所以这个方案的可执行性就存在很大的问题,我想日后乙方在做安全服务时,是否能够帮助客户进行解决方案的实施或者是后续的实施效果的跟踪?

2、从 2 篇文章可以发现,对于客户来说,最重要的还是业务,乙方以后的安全服务的重点还是应该以业务为导向来做,一切的一切的都应围绕业务来做,而不是单纯的从系统或者网络这个层面来分析。如一个系统漏洞,分析它时,应该分析它会对业务造成什么影响,而不是仅仅分析对系统会造成什么影响。而只有以业务为导向,才能真正的抓住客户的眼球,而不是停留在简单的系统层面和网络层面。目前很多项目成果出来,都是分析对系统和网络造成什么影响,而未分析对业务造成什么影响。

3、目前安全越来越被重视,从甲方的角度来考虑,经常会有不同的乙方安全公司给他们培训,他们也已经由几年前的门外汉,变成了真正懂安全的人,所以对于乙方来说,还是务实点比较好,还是要真正从客户的角度来出发,真正的去帮助客户去发现问题和解决问题,努力将安全服务的项目做到实处,去发挥安全服务的作用,这样安全服务的路才会越走越宽。

晚上有感而发,随便写了点自己的想法,有不同意见的朋友,欢迎讨论发言。
InfoSecurity | Comments(5) | Trackbacks(0) | Reads(14772)
chaojibbao07
November 25, 2010 10:25
楼主说的还是蛮有道理,偶做等保就有这点感觉
xysky Homepage
June 7, 2010 20:19
兄弟,距离上次看你blog过了快两年了。不过我刚换了工作,从安全公司跳到一个互联网公司去了,也是做安全:)
!4p47hy replied on June 7, 2010 23:25
恩··恭喜··从乙方到甲方了···以后多交流···
coky
April 26, 2010 08:45
我也做安全服务的,有同感,做了一年安全服务后给客户感觉很空泛,没有创新点和吸引点。
美丽妆扮_嘟嘟猪 Email Homepage
March 31, 2010 19:30
路就在脚下。
秒杀
March 25, 2010 02:57
呵呵 说的片面了  大家都看到大公司 大企业的团队 而忽视天朝现在主流的是什么、、、

悲剧么?

呵呵```天朝特色啊```
Pages: 1/1 First page 1 Final page
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive