8月27日——28日,第四届互联网安全领袖峰会(简称CSS2018)在北京举行。天融信董事长于海波博士在基础设施安全领袖论坛上表示网络安全服务业在欧美市场网络安全服务的收入占据了整个安全市场的大半壁江山,超过了60%的比重,而在中国网络安全服务的收入占比还比较低,也就是20%-30%左右。这个数据是否准确无需讨论,但是这确实是当下网络安全服务市场的一个客观状况,安全服务占比较低,许多用户还不太认可安全服务形式。
网络安全工作怎么做?很多用户第一个想到的就是买各种网络安全设备,当然这个是一个方式,但是不得不等今天想强调的是安全设备不是网络安全工作的全部。如果网络安全工作单靠设备是肯定不能做好的。不然华住的1.3亿用户信息,2.4亿开房信息怎么就泄露出去的呢?据说用户名是root ,密码是123456?华住的安全措施应当不少,但是还存在这种低级的弱口令问题,背后映射出了其日常管理上的问题,定期的安全检测开展了吗?很多用户每年都会新上线各种业务应用,那么这些系统的代码进行过安全审计了吗?对应用环境进行专项的安全测试了吗?目前我们看到很多新系统都是带病上线,带病运行,被攻击被黑只是早晚的事。每天各种应用、系统、中间件都在爆发各类高危漏洞,针对这类问题的安全加固工作,大家是否做到位了?很显然,差得远了。勒索病毒已经爆发一年多了,现在还有单位在前赴后继地中着,一边还在高喊着要重视网络安全工作。那么这样的专业安全服务显然不是安全设备能够完成的,需要人工手动完成。这就是网络安全服务的价值所在,其可以解决网络安全设备解决不了的问题,是网络安全工作的必不可少的一部分。但是现实很残酷,很多单位就是没有这些专业的网络安全服务。
当下的网络安全服务市场是什么样的?认可的人很认可,每年都会固定的投入一笔钱开展网络安全服务工作。不认可的人有几种情况,一种就觉得网络安全服务无所谓,看不见摸不着,买完服务,没法向领导交代,没有一个具体实物存在;一种是觉得网络安全服务是需要去做,但是不想花钱或者花很少的钱应该就可以做到。4-5个应用系统,上百台的服务器,每年4次的专项渗透测试等检测服务,安全加固服务,定期的安全巡检,事后的应急响应,预算10万,用户可能还觉得这个钱已经不少了。另外一些用户就是通过买设备要求相应的供应商免费提供一定服务。总结下这类安全服务的特征:要求高,活多,钱少。而且基本上客户最终也确实找到了愿意提供服务的供应商。
(中国政府采购网上近期中标的部分网络安全服务项目)
为什么要求高、活多、钱少的安全服务,最终有人愿意提供服务的呢?人傻,只能这样说。可能不少读者不爱听这个词,可是想不到更形象、贴切的词了。要么是需求方人傻,要么就是供应方人傻。面对着这个高要求的专业安全服务,需求方选择了一个愿意低价去做的供应商,你们不担心这个安全服务质量吗?你们觉得这个安全服务可以圆满地做好吗?那么对于供应方来说,这么低的价格你们也愿意做?你们算过成本吗?你们的服务能保证吗?最终可能会导致的结果就是,这个安全服务没做好,本来该投入3个人做1个月的,最终就1个人做了半个月就做完了。亏本的买卖没人会经常做的。需求方最终的收获就是:钱确实是少花了,可是事也没做好。
网络安全服务是一个对技术要求很高的专业性服务,不是一个标准化物件,更不是廉价品,如果只是考虑价格,那么最终受伤的还是自己。为啥?事情没做好,风险还存在,搞不好哪天就出点什么问题。所以不得不等在此建议各位用户朋友们,网络安全服务不是廉价品,是我们做好网络安全工作必不可少的一部分,另外选择一家专业的网络安全服务机构也是非常重要的一件事。
不得不等创建了一个“等级保护测评”知识星球,这是一个付费加入的知识分享群。建立这个星球的初衷:分享与整合各类资源,大家共同成长。
在星球可以得到什么?知识改变命运,思路决定出路。
所有加入等级保护测评星球的伙伴们,不得不等都会将你拉入“等级保护测评知识星球VIP群”,方便大家及时进行交流。
定价:198元/年
服务时间为一年,自加入日期顺延一年。
领取专属 10元无门槛券
私享最新 技术干货