隨著互聯網絡的普及發展，政治、經濟、軍事、文化、科技和教育等社會各領域面臨的威脅風險日益增多，對安全的需求越來越迫切。網絡安全、信息安全已經成為保障機構安全乃至國家安全、社會安全的關鍵。在政府部門、科研機構，相關廠商和媒體的大力推動下，信息安全迅速全面升溫．安全觀念正逐漸深入人心．各個政府部門、科研機構、企事業單位紛紛加大了信息安全研發、建設、實施力度。

從信息安全的內涵來看，信息安全是一個安全保障的概念。隨著Internet的進一步普及和發展．它在社會生活中的地位日益提升．所面臨的威脅也越來越多．原來單純的網絡安全概念已經發生了改變．正逐漸向網絡信息安全保障演化。信息安全保障更強調全面性、普及性、健壯性、及時性。安全程度不能用絕對的數字來表示，而應在模糊邏輯基礎上盡可能地去量化。

同時．由于黑客攻擊手法層出不窮，技術水平不斷提高．相應的安全防御技術也必須同步跟進．否則原有的防范措施就可能由于落后而失效．從而導致整個信息安全保障的失敗。因此信息安全保障不能僅僅依賴產品．也不能只停留在‘三分技術、七分管理”的概念上，安全不應該作為一個目標去看待，而應該作為一個過程去考慮。應該把信息安全保障看作是一個由風險分析、策略制定、設計、實施、評估、改進、監控預警和應急等若干階段構成的螺旋式上升的安全管理過程。

此外．信息安全應該是一個動態防御體系。網絡安全是一個比較復雜的問題．它涉及到網絡邊界、網絡基礎設施、核心業務和桌面等多個層次，涵蓋路由器、交換機、防火墻、接入服務器、操作系統、數據庫、DNS、WWW、MAIL以及其它一些關鍵應用系統。靜態的安全產品不可能解決動態的安全問題．應該使之客戶化、可定義、可管理．需要在客戶化的、可操作的安全策略的基礎上．構建一個綜合考慮了安全需求、技術、管理、相關法律法規等各方面因素的、全面的、多層次的、組件化的安全防御體系。該體系不是各個安全組件的簡單疊加，而是組件之間相互協同．實現安全資源的集中管理、統一審計和信息共享的動態防御體系。

正如沒有包治百病的藥一樣．客觀來講不存在一個適合于所有用戶的、能夠解決所有安全問題的所謂“總體解決方案”。一個好的安全解決方案應該是根據用戶的業務模式、業務目標、安全需求等為用戶“量身定制”的．以“安全的人”為核心的方案。

正是基于上述理念．我們提出了客戶化安全保障服務(C-SAS）的概念：客戶化，就是網絡安全現狀分析客戶化、安全需求分析客戶化、安全策略設計客戶化、防御體系構建客戶化、管理客戶化、培訓客戶化、響應客戶化。從實質上看．安全保障就是指人（法律法規教育．技能培訓．物理安全．人事安全，系統安全管理）依靠技術（保障框架．安全標準．評估．認證．產品）．執行安全操作（風險評估．實時監控．入侵檢測．報警響應，災難恢復．審核審計）來保障信息安全。

安全的核心是風險管理和控制．安全保障的目的則是把用戶所面臨的風險降到用戶所能接受的程度．并針對可能發生的安全事件進行分析．同時制定應急的響應措施。服務是可管理的產品．更是一項系統工程。做好服務，需要具有豐富經驗的專家幫助完成設計策略、體系模型、等級保護、專業培訓、管理制度等的開發和完善：需要“自主可控”的安全產品作基礎；需要良好的攻防實驗環境以實現動態響應；需要具有開發和攻防經驗的專門培訓的人員來構筑安全防御體系；需要良好項目實施經驗的隊伍來實現安全工程的實施和維護。而要達到這個目標．就必須具備雄厚的人才儲備、深厚的技術積累、先進的安全理念、豐富的實施經驗和誠信敬業的態度。對安全企業來說，誠信比技術更重要．因為安全技術是在攻擊與防御的對抗基礎上鑄就的一把雙刃劍—而誠信是安全之魂．更是正義與方向。

2003年，信息安全眾多廠商異口同聲地描述“服務”將帶來的生機與商機，“安全服務”的概念被一次次提出，又一次次翻新。眾多用戶也在翹首期盼服務將帶給自己的便利與輕松。然而，人們更多地發現：我國信息安全的服務技術依舊在簡單的人員直接服務上停滯不前；高成本、低安全保障的問題層出不窮；身份認證的難題，導致遠程服務幾乎成為“空中樓閣”，—個迫切的問題橫亙在我們面前—高技術的信息安全服務什么時候才能真正出現并逐漸成熟？

在中科院高能物理研究所的計算機中心，許榕生教授安樸地坐在沙發上思索著這一問題。許教授首先給提出的服務問題定下了一個基調，他說：“服務之路我們要走，就應看明白、想清楚、做扎實?！比騃T服務隨著IT業的發展大致由最初的產品階段到“解決方案”階段，最后才到IT服務階段。信息安全服務也是如此。他分析了現在我國信息安全服務存在的種種弊端：投入力度小，說的比做的多；服務供應商有“賣思想”、“賣技術”和“賣體力”之分，尤以“賣體力”最多；專業化程度不高，不僅表現在服務形式上，更體現在服務意識、服務速度和細節感受等多個方面；“有效性”低，重視服務網點的數量，忽視了更重要的服務網絡的有效性和智能性；“追風”現象嚴重，在不景氣的市場大背景下，把服務當成一根救命稻草，又缺乏做實的能力和品質。

許教授認為，這還得回到服務源頭—用戶，從用戶的需求去尋找發展之路。他表示首先從用戶服務需求層次的多樣化來看，每個層次的服務都會有市場，甚至“保修”等保障性的傳統服務也有著不小的市場機會。

講到用戶服務需求，記者提到在最近一次信息安全大會上，美國RSA公司北亞區董事總經理馮滿亮先生表示，作為信息安全廠商，應該迅速調整為用戶服務的模式，迅速地從產品供應商的角色，轉換為適應組織流程的安全平臺提供商的角色。許教授接口說道：“這其實還只是‘解決方案’的階段，現在國內安全服務也還只能處于這樣的階段。此階段的一個關鍵，就是企業如何提供一個適應國內用戶的完善服務，參照怎樣的一個體制去做好適應組織流程的安全平臺。”

其二，用戶需求的提升，呼喚專業、獨立的第三方服務，即“服務外包”。

許教授提到在今年7月美國的一次國際會議上，他見到了Bruce Schneier先生一一月區位年輕的密碼學大師創辦了一家叫做Counterpane Systerms的咨詢公司，提供外包的加密安全設計與分析服務，24小時不間斷，隨時有優秀的安全專家提供安全服務，包括遠程服務。

許教授談到Bruce的“外包服務”觀點時，他說：“網絡空間安全需求的增加，惟一可行方案就是盡可能地綜合利用專家。外包則是能有效做到這一點的惟一方式?！彼嬖V記者，Bruce預見在不遠的將來，我們會見到外包安全服務的業務就像我們在現實世界中見到像Allied security這樣的私立安全保衛公司和像ADT這樣的報警業務公司一樣．許教授認為，只有專業化的公司才能提供優質的專業服務，要保護網絡空間安全則需要相當豐富的專業知識。他表示，眾多安全廠商需要在業務上做到真正專業化，基于風險評估、策略開發、安裝，測試、更新管理等服務的深層次專業化，直至開展管理安全監視這樣的深層次業務。許教授的新研究課題里有一個“入侵防范體系設計”，就是專門針對網絡入侵的安全，設計攻擊防范系(rns)或稱作入侵審計系統(IAS)這樣的一個服務體系，現在已取得了相當好的成績，達到了國內領先水平。這個體系設計包括安全管理制度、安全策略、安全事件響應隊伍建設、安全監控等系列服務。

許榕生認為，外包安全業務是安全業務的一般進程。他說：“外包的好處顯而易見，外包需要利用安全專家的集體智慧。而在國內，這些富有經驗的專業人才在哪兒呢？由于待遇問題，這些人才大都不是在公司，便是去了國外，那么解決的辦法呢？這就需要‘服務外包’。”他表示，外包服務的專業公司第一層面，需要提供純服務；第二層面，則是做前期咨詢和后期服務，尤其重視監控服務方面；第三層面，就是在項目實施中的優質服務。

最后，對于推動解決高技術信息安全服務在國內的真正出現并逐漸成熟，許教授提供四個層面的協調解決方法：

第一，從國家信息安全服務管理層面看中國信息安全服務，需要加強的是管理，尤其要解決的是標準問題和確定資質。

第二，安全服務公司應該具備對先進技術進行研發的能力。因為，能否持續提供服務取決于一個公司在技術方面有無原創能力和理解能力。技術和產品是做好安全服務的最基本前提。而在此過程中，國家如果有相當強的政策以及標準作保證，則能有效地保障提供的服務質量。同時，這當中服務產品的設計基本原則也需要保證，即最大限度地減少人的參與。

第三，在為用戶提供服務的過程中，首先要保證技術和方法的安全性。并且在服務管理上包括兩個方面：一是制度方面，二是培訓方面?，F在的安全服務迫切需要制訂制度，出現問題，依靠規范性就可以解決問題。對人員培訓能盡量減少出錯的可能性。

第四，服務概念要轉變從“請服務”到“主動服務”。平時就需提供經常性服務，不能等到問題不可收拾再服務。