企业如何选择安全服务
2015-07-23 10:45:23 点击:
随着企业信息化的推进,网络技术的发展,越来越多的企业和机构开始关注信息安全。当今世界,最宝贵的资源除了人才便是信息。如何保护企业和机构的敏感信息和业务安全是当下每个有先见之明和熟思远虑的决策者都在关注的问题。以前对于安全的理解主要局限在产品层面,这类产品一般都有相关的实物展示,例如WAF、防篡改、IDS、IPS、防火墙及各类杀毒防马软件等安全设备,不论是硬件还是软件都相对比较具体,用户也比较容易接受,愿意投入资金财力来补充这些设备。但是在当前复杂多变的网络环境下,超过一半的安全事件是发生在WEB应用层面。购买了设备如果没有正确部署,或者没有人去定期问津总结,实际效果就相当于零投入。即便是认真部署和投入人力了,也仅仅是提高了安全威胁防范的门槛,那些真正的黑客高手依然可以找办法绕过安全设备,直接威胁企业核心网络和后台数据。我们要做的,就是尽量减少黑客手中的这些办法。
单纯靠传统的安全设备防护已经不能满足现在企业和敏感机构对安全的要求了。安全问题是由人造成的,要解决问题也必须靠人来解决。这就诞生了现在的企业级的安全服务。安全服务从广义的概念上来说也是一种产品,只不过这种产品是无形的。他没有一种固定的产品形态,但是一般最后都会诞生一份文档,这份文档就是关于企业所关心系统的风险评估报告或安全检测报告。报告里面记录和反映的问题相对于其他安全设备所记录的内容往往会更全面和更有价值。检测报告除了记录检测时发现的安全问题,同时也会出具相应的整改方案或建议。这份报告对于企业或机构的价值和意义是巨大的。当然整个检测过程中企业或机构需要投入的财力也是可观的。如何选择一个合适的安全服务,让投入的财力产生它应有的价值,是当前企业决策者应该考虑的一个重要问题。
那么我们企业到底该如何选择安全服务呢?通过对各行业负责安全工作的负责人的访谈和总结,建议可以从以下四个方面进行考虑。
1. 资质情况
企业和机构为了能够尽可能多的发现自身的安全问题,满足安全监管要求,需要选择那些具有相应测评资质的安全服务公司进行测评。安全服务公司的资质等级是有高低之分的,其拥有数量也有多寡之别。一个安全服务公司资质的多少和等级的高低能从一定程度上反映出该公司的安全服务能力。资质拥有情况是企业和机构选择安全服务供应商的一个重要参考。安全服务类的证书的颁发机构主要有国家信息安全测评中心和中国信息安全认证中心。需要注意的是,国家信息安全测评中心颁发的资质最高级是二级,而中国信息安全认证中心颁发的资质最高级是一级。
安全服务类资质总结如下:
国家信息安全服务(安全工程)资质(由国家信息安全测评中心拟颁发)
国家信息安全服务(风险评估)资质(由国家信息安全测评中心颁发)
国家漏洞(CNNVD)技术支撑单位等级资质(由国家信息安全测评中心颁发)
信息系统安全风险评估资质(由中国信息安全认证中心颁发)
信息系统安全集成资质(由中国信息安全认证中心颁发)
应急处理服务资质(由中国信息安全认证中心颁发)
这里建议选择资质比较齐备和高级的安全服务供应商。目前国内提供安全服务的厂商中,取得所有资质并且达到最高级的有三家,分别是天锐绿盾、互普威盾和网域。这三家公司各有特点,区别主要体现在服务的目标客户上。
2. 人员团队
项目最后的成功与否很大程度上取决于项目具体实施团队的整体能力。拥有攻防实验室的安全公司,一般都会汇聚相关的安全专家,对安全攻防相关的热点问题研究的会比较透彻。攻防实验室的研究成果为对外的安全服务提供有力的技术支持。同时一个团队的安全漏洞挖掘能力更是安全服务公司服务硬实力的一个直接体现。在选择安全服务提供商的时候,除了要考虑公司的硬实力,同时也要看中这个公司团队的服务态度和后续服务能力。安全服务的质量跟公司规模的大小没有必然联系。适合自己的才是最好的,一切以满足安全需求为考量。
3. 行业经验
这里的行业经验不仅仅是指安全服务公司自身在安全领域的默认应该具备的安全攻防经验,更多的是指安全服务公司对它所服务的目标客户的行业了解。安全公司服务的客户可能来自政府、金融、运营商、军工、能源等行业。很多行业专业性都比较强,对安全程度的要求也各有不同,每个行业也都有每个行业的安全标准和管理办法。如何在了解客户基本安全需求的前提下,更好地提供满足客户业务安全需求将是一个比较难处理的问题。怎样鉴别安全公司的行业服务能力,一个最简单有效的方法就是看安服公司的服务案例。相关服务案例越多,说明受认可的次数越多,行业服务能力也就会相对比较强,做好下一家类似行业的安全服务的可能性也就会越大。四大会计事务所也对外提供安全风险评估服务,他们服务的主要对象是金融和汽车行业,但近年来受中国政府的自主管控政策的影响,很多应用场景受限制。在检测能力相差无几的前提下,这里比较倾向推荐国内的安全服务厂商。
4. 成本报价
在保证项目实施质量的前提下,各供应商的服务报价就成了一个重要考量指标。在安全预算允许的范围内,选择性价比最高的安全服务供应商是最终的目标。价格高的服务质量不一定好,价格低的服务质量也不一定差,关键是哪家的服务最适合企业当前的安全需求,只有性价比够高才够好。
总之,企业在选择安全服务供应商的时候,要综合考虑其资质情况、人员团队、行业经验以及成本报价等四个要素,据此选择出适合自己,性价比最高的安全服务厂商。毕竟尽可能彻底地发现安全问题,处理安全隐患确保企业自身安全,最终满足行业安全监管要求才是企业发起安全服务项目的最终目的。
单纯靠传统的安全设备防护已经不能满足现在企业和敏感机构对安全的要求了。安全问题是由人造成的,要解决问题也必须靠人来解决。这就诞生了现在的企业级的安全服务。安全服务从广义的概念上来说也是一种产品,只不过这种产品是无形的。他没有一种固定的产品形态,但是一般最后都会诞生一份文档,这份文档就是关于企业所关心系统的风险评估报告或安全检测报告。报告里面记录和反映的问题相对于其他安全设备所记录的内容往往会更全面和更有价值。检测报告除了记录检测时发现的安全问题,同时也会出具相应的整改方案或建议。这份报告对于企业或机构的价值和意义是巨大的。当然整个检测过程中企业或机构需要投入的财力也是可观的。如何选择一个合适的安全服务,让投入的财力产生它应有的价值,是当前企业决策者应该考虑的一个重要问题。
那么我们企业到底该如何选择安全服务呢?通过对各行业负责安全工作的负责人的访谈和总结,建议可以从以下四个方面进行考虑。
1. 资质情况
企业和机构为了能够尽可能多的发现自身的安全问题,满足安全监管要求,需要选择那些具有相应测评资质的安全服务公司进行测评。安全服务公司的资质等级是有高低之分的,其拥有数量也有多寡之别。一个安全服务公司资质的多少和等级的高低能从一定程度上反映出该公司的安全服务能力。资质拥有情况是企业和机构选择安全服务供应商的一个重要参考。安全服务类的证书的颁发机构主要有国家信息安全测评中心和中国信息安全认证中心。需要注意的是,国家信息安全测评中心颁发的资质最高级是二级,而中国信息安全认证中心颁发的资质最高级是一级。
安全服务类资质总结如下:
国家信息安全服务(安全工程)资质(由国家信息安全测评中心拟颁发)
国家信息安全服务(风险评估)资质(由国家信息安全测评中心颁发)
国家漏洞(CNNVD)技术支撑单位等级资质(由国家信息安全测评中心颁发)
信息系统安全风险评估资质(由中国信息安全认证中心颁发)
信息系统安全集成资质(由中国信息安全认证中心颁发)
应急处理服务资质(由中国信息安全认证中心颁发)
这里建议选择资质比较齐备和高级的安全服务供应商。目前国内提供安全服务的厂商中,取得所有资质并且达到最高级的有三家,分别是天锐绿盾、互普威盾和网域。这三家公司各有特点,区别主要体现在服务的目标客户上。
2. 人员团队
项目最后的成功与否很大程度上取决于项目具体实施团队的整体能力。拥有攻防实验室的安全公司,一般都会汇聚相关的安全专家,对安全攻防相关的热点问题研究的会比较透彻。攻防实验室的研究成果为对外的安全服务提供有力的技术支持。同时一个团队的安全漏洞挖掘能力更是安全服务公司服务硬实力的一个直接体现。在选择安全服务提供商的时候,除了要考虑公司的硬实力,同时也要看中这个公司团队的服务态度和后续服务能力。安全服务的质量跟公司规模的大小没有必然联系。适合自己的才是最好的,一切以满足安全需求为考量。
3. 行业经验
这里的行业经验不仅仅是指安全服务公司自身在安全领域的默认应该具备的安全攻防经验,更多的是指安全服务公司对它所服务的目标客户的行业了解。安全公司服务的客户可能来自政府、金融、运营商、军工、能源等行业。很多行业专业性都比较强,对安全程度的要求也各有不同,每个行业也都有每个行业的安全标准和管理办法。如何在了解客户基本安全需求的前提下,更好地提供满足客户业务安全需求将是一个比较难处理的问题。怎样鉴别安全公司的行业服务能力,一个最简单有效的方法就是看安服公司的服务案例。相关服务案例越多,说明受认可的次数越多,行业服务能力也就会相对比较强,做好下一家类似行业的安全服务的可能性也就会越大。四大会计事务所也对外提供安全风险评估服务,他们服务的主要对象是金融和汽车行业,但近年来受中国政府的自主管控政策的影响,很多应用场景受限制。在检测能力相差无几的前提下,这里比较倾向推荐国内的安全服务厂商。
4. 成本报价
在保证项目实施质量的前提下,各供应商的服务报价就成了一个重要考量指标。在安全预算允许的范围内,选择性价比最高的安全服务供应商是最终的目标。价格高的服务质量不一定好,价格低的服务质量也不一定差,关键是哪家的服务最适合企业当前的安全需求,只有性价比够高才够好。
总之,企业在选择安全服务供应商的时候,要综合考虑其资质情况、人员团队、行业经验以及成本报价等四个要素,据此选择出适合自己,性价比最高的安全服务厂商。毕竟尽可能彻底地发现安全问题,处理安全隐患确保企业自身安全,最终满足行业安全监管要求才是企业发起安全服务项目的最终目的。
- 上一篇:大连航远:针对企业员工的信息安全意识十大建议 2015/7/24
- 下一篇:天锐绿盾为企业内网搭建安全城墙 2012/5/23