安全服务需要深度

信息安全服务被认为是诊断网络系统病症的医生，然而，就像现实生活一样，“重药不重医”的现象依然严重。医生该怎么办呢？

“如果仅仅依靠服务，我们很难过上小康的生活。”同时提供信息安全服务和信息安全产品的卫士通公司总工程师谭兴烈告诉记者。他们的状况，代表了目前大多数国内信息安全企业的现状――用户需要信息安全服务，但仅仅依靠服务，厂商很难生存。

出现这种状况与目前中国的信息安全服务水平和用户对信息安全服务的信任度有关。谭兴烈认为，目前中国的信息安全产业发展到现在，具备了三个基本特点，厂商的服务必须根据这些特点进行调整。这三个特点是：一、信息技术与信息安全技术强烈耦合在一起的，信息技术脱离了安全保障已经不能发挥其应有的作用；二、安全和服务在融合，也就是“安全服务化”，以服务为契机，将传统的产品服务、工程服务进行整合并增加以风险发现、风险预警、风险控制和风险化解为目的的风险服务，正在形成最新的安全意识潮流；三、信息安全技术与业务正紧密结合在一起，信息安全已不再是单一的安全，而是在网络层、应用层、管理层与系统密切配合，在业务流和信息流中、在应用平台中、在应用访问控制系统中都需要切入安全的要素，将对称加密技术、非对称加密技术、身份认证与授权技术、审计和合规性检查等与业务充分结合并联动，保障信息从产生、传输、应用、保存到消亡这一全生命周期内的安全。

“因此，基于这三个特点，目前安全服务的内容已经发生了深刻变化。用户对安全的关注越来越聚焦到应用。当网络安全这种‘筑高墙’的战略在实践中越来越受到挑战的时候，以应用驱动为目的的深度服务是解决当前新形式下的安全问题的一种新的方法和战略。为此，卫士同通提出了‘深度服务 深度安全’的战略，表达信息安全企业的一种转变，即从传统的安全厂商转变到以应用需求为目标的安全服务提供商。这种转变将产品挪到后台，将服务推到前台。”谭兴烈说。深度服务的核心价值在于它是一种“面向业务的安全服务”，卫士通目前提供的服务是安全咨询服务、安全加固服务和方案设计服务。

然而，提供面向业务的安全服务，需要有很高的用户信任度。记者曾经记得，一个国内著名的信息安全服务公司，由于管理不善，服务人员将用户的资料偷走而给用户带来巨大的损失。因此，提供安全服务，将对厂商的管理带来巨大的挑战。谭兴烈认为，只有那些本身具备很强的政府和技术背景的企业，才有可能成为最终的安全服务商。（胡镌芮）