隨著互聯(lián)網(wǎng)絡(luò)的普及發(fā)展，政治、經(jīng)濟(jì)、軍事、文化、科技和教育等社會各領(lǐng)域面臨的威脅風(fēng)險(xiǎn)日益增多，對安全的需求越來越迫切。網(wǎng)絡(luò)安全、信息安全已經(jīng)成為保障機(jī)構(gòu)安全乃至國家安全、社會安全的關(guān)鍵。在政府部門、科研機(jī)構(gòu)，相關(guān)廠商和媒體的大力推動下，信息安全迅速全面升溫．安全觀念正逐漸深入人心．各個(gè)政府部門、科研機(jī)構(gòu)、企事業(yè)單位紛紛加大了信息安全研發(fā)、建設(shè)、實(shí)施力度。

從信息安全的內(nèi)涵來看，信息安全是一個(gè)安全保障的概念。隨著Internet的進(jìn)一步普及和發(fā)展．它在社會生活中的地位日益提升．所面臨的威脅也越來越多．原來單純的網(wǎng)絡(luò)安全概念已經(jīng)發(fā)生了改變．正逐漸向網(wǎng)絡(luò)信息安全保障演化。信息安全保障更強(qiáng)調(diào)全面性、普及性、健壯性、及時(shí)性。安全程度不能用絕對的數(shù)字來表示，而應(yīng)在模糊邏輯基礎(chǔ)上盡可能地去量化。

同時(shí)．由于黑客攻擊手法層出不窮，技術(shù)水平不斷提高．相應(yīng)的安全防御技術(shù)也必須同步跟進(jìn)．否則原有的防范措施就可能由于落后而失效．從而導(dǎo)致整個(gè)信息安全保障的失敗。因此信息安全保障不能僅僅依賴產(chǎn)品．也不能只停留在‘三分技術(shù)、七分管理”的概念上，安全不應(yīng)該作為一個(gè)目標(biāo)去看待，而應(yīng)該作為一個(gè)過程去考慮。應(yīng)該把信息安全保障看作是一個(gè)由風(fēng)險(xiǎn)分析、策略制定、設(shè)計(jì)、實(shí)施、評估、改進(jìn)、監(jiān)控預(yù)警和應(yīng)急等若干階段構(gòu)成的螺旋式上升的安全管理過程。

此外．信息安全應(yīng)該是一個(gè)動態(tài)防御體系。網(wǎng)絡(luò)安全是一個(gè)比較復(fù)雜的問題．它涉及到網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、核心業(yè)務(wù)和桌面等多個(gè)層次，涵蓋路由器、交換機(jī)、防火墻、接入服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、DNS、WWW、MAIL以及其它一些關(guān)鍵應(yīng)用系統(tǒng)。靜態(tài)的安全產(chǎn)品不可能解決動態(tài)的安全問題．應(yīng)該使之客戶化、可定義、可管理．需要在客戶化的、可操作的安全策略的基礎(chǔ)上．構(gòu)建一個(gè)綜合考慮了安全需求、技術(shù)、管理、相關(guān)法律法規(guī)等各方面因素的、全面的、多層次的、組件化的安全防御體系。該體系不是各個(gè)安全組件的簡單疊加，而是組件之間相互協(xié)同．實(shí)現(xiàn)安全資源的集中管理、統(tǒng)一審計(jì)和信息共享的動態(tài)防御體系。

正如沒有包治百病的藥一樣．客觀來講不存在一個(gè)適合于所有用戶的、能夠解決所有安全問題的所謂“總體解決方案”。一個(gè)好的安全解決方案應(yīng)該是根據(jù)用戶的業(yè)務(wù)模式、業(yè)務(wù)目標(biāo)、安全需求等為用戶“量身定制”的．以“安全的人”為核心的方案。

正是基于上述理念．我們提出了客戶化安全保障服務(wù)(C-SAS）的概念：客戶化，就是網(wǎng)絡(luò)安全現(xiàn)狀分析客戶化、安全需求分析客戶化、安全策略設(shè)計(jì)客戶化、防御體系構(gòu)建客戶化、管理客戶化、培訓(xùn)客戶化、響應(yīng)客戶化。從實(shí)質(zhì)上看．安全保障就是指人（法律法規(guī)教育．技能培訓(xùn)．物理安全．人事安全，系統(tǒng)安全管理）依靠技術(shù)（保障框架．安全標(biāo)準(zhǔn)．評估．認(rèn)證．產(chǎn)品）．執(zhí)行安全操作（風(fēng)險(xiǎn)評估．實(shí)時(shí)監(jiān)控．入侵檢測．報(bào)警響應(yīng)，災(zāi)難恢復(fù)．審核審計(jì)）來保障信息安全。

安全的核心是風(fēng)險(xiǎn)管理和控制．安全保障的目的則是把用戶所面臨的風(fēng)險(xiǎn)降到用戶所能接受的程度．并針對可能發(fā)生的安全事件進(jìn)行分析．同時(shí)制定應(yīng)急的響應(yīng)措施。服務(wù)是可管理的產(chǎn)品．更是一項(xiàng)系統(tǒng)工程。做好服務(wù)，需要具有豐富經(jīng)驗(yàn)的專家?guī)椭瓿稍O(shè)計(jì)策略、體系模型、等級保護(hù)、專業(yè)培訓(xùn)、管理制度等的開發(fā)和完善：需要“自主可控”的安全產(chǎn)品作基礎(chǔ)；需要良好的攻防實(shí)驗(yàn)環(huán)境以實(shí)現(xiàn)動態(tài)響應(yīng)；需要具有開發(fā)和攻防經(jīng)驗(yàn)的專門培訓(xùn)的人員來構(gòu)筑安全防御體系；需要良好項(xiàng)目實(shí)施經(jīng)驗(yàn)的隊(duì)伍來實(shí)現(xiàn)安全工程的實(shí)施和維護(hù)。而要達(dá)到這個(gè)目標(biāo)．就必須具備雄厚的人才儲備、深厚的技術(shù)積累、先進(jìn)的安全理念、豐富的實(shí)施經(jīng)驗(yàn)和誠信敬業(yè)的態(tài)度。對安全企業(yè)來說，誠信比技術(shù)更重要．因?yàn)榘踩夹g(shù)是在攻擊與防御的對抗基礎(chǔ)上鑄就的一把雙刃劍—而誠信是安全之魂．更是正義與方向。

2003年，信息安全眾多廠商異口同聲地描述“服務(wù)”將帶來的生機(jī)與商機(jī)，“安全服務(wù)”的概念被一次次提出，又一次次翻新。眾多用戶也在翹首期盼服務(wù)將帶給自己的便利與輕松。然而，人們更多地發(fā)現(xiàn)：我國信息安全的服務(wù)技術(shù)依舊在簡單的人員直接服務(wù)上停滯不前；高成本、低安全保障的問題層出不窮；身份認(rèn)證的難題，導(dǎo)致遠(yuǎn)程服務(wù)幾乎成為“空中樓閣”，—個(gè)迫切的問題橫亙在我們面前—高技術(shù)的信息安全服務(wù)什么時(shí)候才能真正出現(xiàn)并逐漸成熟？

在中科院高能物理研究所的計(jì)算機(jī)中心，許榕生教授安樸地坐在沙發(fā)上思索著這一問題。許教授首先給提出的服務(wù)問題定下了一個(gè)基調(diào)，他說：“服務(wù)之路我們要走，就應(yīng)看明白、想清楚、做扎實(shí)。”全球IT服務(wù)隨著IT業(yè)的發(fā)展大致由最初的產(chǎn)品階段到“解決方案”階段，最后才到IT服務(wù)階段。信息安全服務(wù)也是如此。他分析了現(xiàn)在我國信息安全服務(wù)存在的種種弊端：投入力度小，說的比做的多；服務(wù)供應(yīng)商有“賣思想”、“賣技術(shù)”和“賣體力”之分，尤以“賣體力”最多；專業(yè)化程度不高，不僅表現(xiàn)在服務(wù)形式上，更體現(xiàn)在服務(wù)意識、服務(wù)速度和細(xì)節(jié)感受等多個(gè)方面；“有效性”低，重視服務(wù)網(wǎng)點(diǎn)的數(shù)量，忽視了更重要的服務(wù)網(wǎng)絡(luò)的有效性和智能性；“追風(fēng)”現(xiàn)象嚴(yán)重，在不景氣的市場大背景下，把服務(wù)當(dāng)成一根救命稻草，又缺乏做實(shí)的能力和品質(zhì)。

許教授認(rèn)為，這還得回到服務(wù)源頭—用戶，從用戶的需求去尋找發(fā)展之路。他表示首先從用戶服務(wù)需求層次的多樣化來看，每個(gè)層次的服務(wù)都會有市場，甚至“保修”等保障性的傳統(tǒng)服務(wù)也有著不小的市場機(jī)會。

講到用戶服務(wù)需求，記者提到在最近一次信息安全大會上，美國RSA公司北亞區(qū)董事總經(jīng)理馮滿亮先生表示，作為信息安全廠商，應(yīng)該迅速調(diào)整為用戶服務(wù)的模式，迅速地從產(chǎn)品供應(yīng)商的角色，轉(zhuǎn)換為適應(yīng)組織流程的安全平臺提供商的角色。許教授接口說道：“這其實(shí)還只是‘解決方案’的階段，現(xiàn)在國內(nèi)安全服務(wù)也還只能處于這樣的階段。此階段的一個(gè)關(guān)鍵，就是企業(yè)如何提供一個(gè)適應(yīng)國內(nèi)用戶的完善服務(wù)，參照怎樣的一個(gè)體制去做好適應(yīng)組織流程的安全平臺。”

其二，用戶需求的提升，呼喚專業(yè)、獨(dú)立的第三方服務(wù)，即“服務(wù)外包”。

許教授提到在今年7月美國的一次國際會議上，他見到了Bruce Schneier先生一一月區(qū)位年輕的密碼學(xué)大師創(chuàng)辦了一家叫做Counterpane Systerms的咨詢公司，提供外包的加密安全設(shè)計(jì)與分析服務(wù)，24小時(shí)不間斷，隨時(shí)有優(yōu)秀的安全專家提供安全服務(wù)，包括遠(yuǎn)程服務(wù)。

許教授談到Bruce的“外包服務(wù)”觀點(diǎn)時(shí)，他說：“網(wǎng)絡(luò)空間安全需求的增加，惟一可行方案就是盡可能地綜合利用專家。外包則是能有效做到這一點(diǎn)的惟一方式。”他告訴記者，Bruce預(yù)見在不遠(yuǎn)的將來，我們會見到外包安全服務(wù)的業(yè)務(wù)就像我們在現(xiàn)實(shí)世界中見到像Allied security這樣的私立安全保衛(wèi)公司和像ADT這樣的報(bào)警業(yè)務(wù)公司一樣．許教授認(rèn)為，只有專業(yè)化的公司才能提供優(yōu)質(zhì)的專業(yè)服務(wù)，要保護(hù)網(wǎng)絡(luò)空間安全則需要相當(dāng)豐富的專業(yè)知識。他表示，眾多安全廠商需要在業(yè)務(wù)上做到真正專業(yè)化，基于風(fēng)險(xiǎn)評估、策略開發(fā)、安裝，測試、更新管理等服務(wù)的深層次專業(yè)化，直至開展管理安全監(jiān)視這樣的深層次業(yè)務(wù)。許教授的新研究課題里有一個(gè)“入侵防范體系設(shè)計(jì)”，就是專門針對網(wǎng)絡(luò)入侵的安全，設(shè)計(jì)攻擊防范系(rns)或稱作入侵審計(jì)系統(tǒng)(IAS)這樣的一個(gè)服務(wù)體系，現(xiàn)在已取得了相當(dāng)好的成績，達(dá)到了國內(nèi)領(lǐng)先水平。這個(gè)體系設(shè)計(jì)包括安全管理制度、安全策略、安全事件響應(yīng)隊(duì)伍建設(shè)、安全監(jiān)控等系列服務(wù)。

許榕生認(rèn)為，外包安全業(yè)務(wù)是安全業(yè)務(wù)的一般進(jìn)程。他說：“外包的好處顯而易見，外包需要利用安全專家的集體智慧。而在國內(nèi)，這些富有經(jīng)驗(yàn)的專業(yè)人才在哪兒呢？由于待遇問題，這些人才大都不是在公司，便是去了國外，那么解決的辦法呢？這就需要‘服務(wù)外包’。”他表示，外包服務(wù)的專業(yè)公司第一層面，需要提供純服務(wù)；第二層面，則是做前期咨詢和后期服務(wù)，尤其重視監(jiān)控服務(wù)方面；第三層面，就是在項(xiàng)目實(shí)施中的優(yōu)質(zhì)服務(wù)。

最后，對于推動解決高技術(shù)信息安全服務(wù)在國內(nèi)的真正出現(xiàn)并逐漸成熟，許教授提供四個(gè)層面的協(xié)調(diào)解決方法：

第一，從國家信息安全服務(wù)管理層面看中國信息安全服務(wù)，需要加強(qiáng)的是管理，尤其要解決的是標(biāo)準(zhǔn)問題和確定資質(zhì)。

第二，安全服務(wù)公司應(yīng)該具備對先進(jìn)技術(shù)進(jìn)行研發(fā)的能力。因?yàn)椋芊癯掷m(xù)提供服務(wù)取決于一個(gè)公司在技術(shù)方面有無原創(chuàng)能力和理解能力。技術(shù)和產(chǎn)品是做好安全服務(wù)的最基本前提。而在此過程中，國家如果有相當(dāng)強(qiáng)的政策以及標(biāo)準(zhǔn)作保證，則能有效地保障提供的服務(wù)質(zhì)量。同時(shí)，這當(dāng)中服務(wù)產(chǎn)品的設(shè)計(jì)基本原則也需要保證，即最大限度地減少人的參與。

第三，在為用戶提供服務(wù)的過程中，首先要保證技術(shù)和方法的安全性。并且在服務(wù)管理上包括兩個(gè)方面：一是制度方面，二是培訓(xùn)方面。現(xiàn)在的安全服務(wù)迫切需要制訂制度，出現(xiàn)問題，依靠規(guī)范性就可以解決問題。對人員培訓(xùn)能盡量減少出錯(cuò)的可能性。

第四，服務(wù)概念要轉(zhuǎn)變從“請服務(wù)”到“主動服務(wù)”。平時(shí)就需提供經(jīng)常性服務(wù)，不能等到問題不可收拾再服務(wù)。