第十五章 如何選擇合適的信息安全服務

在互聯網時代，信息高速流動，信息成為企業的最重要的資產之一，因此信息安全被廣泛重視。根據BS7799，信息安全就是保證信息的完整性、可靠性、可用性，這三種性能的程度是建立在企業或政府對於信息安全的需求情況，這種需求能夠通過風險和相關分析得到，從某種角度上講，信息安全就是在可以管理的水平上對信息活動確立一種合適風險的技術、管理手段。

信息安全的解決方式也有多種，可以請專業公司，也可以由自己公司的IT部門完成。隨著信息安全的專業化發展和複雜程度提供，信息安全的技術門檻也提高了，更由於信息安全是個動態的過程，不可能一步到位，因此基於成本考慮和技術先進性考慮，信息安全外包成為一種趨勢，信息安全服務是信息安全外包的一項最重要內容也被市場所接受。

信息安全外包本身又增加了信息的另外一個不安全因素：服務廠商。因此如何選擇合適的信息安全服務廠商成為廣大企業、政府的問題。

信息安全服務的內涵

總的來說信息安全服務就是適應整個安全管理的需要，為企業、政府提供全麵或部分信息安全解決方案的服務。信息安全服務提供包含從高端的全麵安全體係到細節的技術解決措施，因此，在選擇信息安全服務的時候，應準確把握所需要的服務層次和內容。具體來說，廣義的信息安全服務包含以下幾個方麵：

信息安全谘詢和信息安全策略服務

建立在價值基礎的信息安全體係的建立就是安全的第一位和最重要的任務，因此，安全谘詢和安全策略服務就是安全服務一項重要內容。

安全策略和安全實踐對於企業的作用是不一樣的，在進行安全服務之前，需要明確企業價值、預測安全風險、選擇安全標準、製定安全策略、安排安全規劃、安全產品選型等，這些方麵，與技術密切相關，但不屬於技術範疇，需要安全谘詢和安全策略服務進行明確。

安全監控和安全審計服務

隨著觀念的普及，對於很多實踐層麵的要求來說，許多企業已經接受了預防的觀念，也就是：係統的安全程度和安全狀態如何，安全監控和安全審計包括係統的安全狀態、安全漏洞、安全建議的報告內容。

安全響應和安全產品支持服務

安全響應和安全產品支持服務就是我們通常所說的狹義的安全服務內容，包括防病毒、防火牆、入侵檢測、VPN等產品的支持服務和威脅的響應和消除。

對信息安全服務商的基本要求

信息安全的特點決定了對信息安全服務商有較高的要求，我們將之分為管理要求、技術要求和高級要求，其中管理原則和技術原則主要基於實踐應急反應層麵，高級要求主要針對安全管理、安全策略和發展層麵。

管理要求

A、信息安全要求建立一個24小時不間斷反應。

B、能夠建立一個針對不同攻擊的正確行動方案。

C、能夠保證及時、快速反應係統。

D、能夠提供規範和詳細的對自身和對客戶培訓體係。

E、貼近被服務體係和對客戶零幹擾目標。

技術要求

A、擁有一定的監控技術，能夠方便、簡單、易操作地安裝到所有接入設備和係統中。

B、監控設備不會影響和幹擾已有的安全設備和軟件的正常使用性能，並且不會引入新的安全隱患。

C、監控設備應當具有升級能力，並且能夠進行方便的升級。

D、具有監控數據分析與處理技術。