论“信息安全产业的服务能力”

　　TCAF对于“网络世界安全”问题研究的多视图概念，认为用户、监管部门、政府以及信息安全产业是从各自的出发点，以不同的视角来看待同一个研究对象，给出的结果自然是要求、需求或是服务。显然，信息安全产业则是考虑如何针对用户的需求，在遵循一定的国家标准、要求的前提下，为用户提供相应的服务。在不同的发展阶段，国内信息安全产业提供的核心服务能力还是有很大的差别的：

　　第一阶段：（大致为2004年之前）

　　这时国内的大多数信息安全企业仍然在起步发展期；主要是信息安全产品的开发、销售为主；核心竞争力为能提供高性能、多功能的稳定产品。用户关心的是购买高质量的产品，安全服务从属于产品销售，甚至仅仅有产品的售后服务（而不是安全服务）；解决方案也是针对产品的部署，是服务于安全产品销售的。这个时期的信息安全产业只能称之为“具备了提供信息安全产品及部署的服务能力”。

　　第二阶段：（2004年左右开始-现在）

　　2004年左右，电信、金融等信息化程度高、对安全要求高的行业用户，在实际业务运维的过程中，虽然购买了防火墙、入侵检测、防病毒等一列的安全产品，但是安全问题依然存在，而且愈演愈烈。对此，安全产品联动，安全资源整合、管理，安全事件关联分析，SOC、UTM、NAC等一系列关于已有安全资源整合的概念与方案陆续面世。针对用户已有安全资源的整合能力关注点已不仅仅是自家产品的销售，而是强调如何融合用户已有的安全资源，并使其发挥最大的安全效益。这时信息安全产业不仅需要具备“为用户提供信息安全产品及部署的服务能力”；更要具备为用户提供“异构安全资源的整合、管理的整体解决方案，完善管理制度与安全风险的分析评估能力”。当前信息安全产业也只能说是正朝能够具备为用户提供“信息安全的综合解决方案服务能力”、“安全运维保障与风险管理服务能力”的方向努力。

　　第三节阶段：(现在-未来）

　　现在也只能说是依靠信息安全产业多年产品及案例解决方案为基础的最佳实践指导下的安全服务，尚缺乏足够的安全理论体系支撑。信息安全产业界以往的工作也只能是针对信息化建设后的系统脆弱性问题的安全补救措施。如何在信息化建设之初就进行有效的安全保障体系的规划，使用户在业务信息系统建设的同时，能够有计划的逐步部署，满足用户以最小的安全资源投入获得最大安全保障的需求？这个问题的解决需要有一套“完善的信息安全理论体系框架”来作为指导。目前美国的一些研究机构早就开始了这方面的研究工作（诸如:DARPA 的DODAF等)；国内中国信息安全产业标准化企业联盟也自2004年正式启动了“可信网络世界体系架构框架-TCAF”理论技术与标准体系的研究工作，目前已经取得了很大的进展（有兴趣的话可关注中国信息安全产业标准化企业联盟的一些公开资料）。

　　这个阶段信息安全产业除为用户提供“信息安全产品及部署的服务能力”、“信息安全资源整合的综合解决方案”、“安全运维保障与风险管理服务能力”之外，还具备为高端用户提供“信息化安全保障体系建设的规划咨询服务能力”。显然从上面的分析，上述服务能力不在一个层次（技术、服务对象、盈利能力等）上，至于各家企业具备那个或那几个层次的服务能力，就取决于该企业的定位、人才储备以及相关资源了。就像很多行业一样，信息安全产业内的企业也必然会按其服务能力构成一个金子塔式的结构，只不过由于信息安全行业的服务能力更取决于人技术层面的能力。

　　随着理论、技术以及服务实践的完善与发展，信息安全产业为用户的服务能力也越来越强大，也越来越从关注自身产品的发展到关注用户真正需求的服务能力的转变。也正是这个原因促使信息安全产业内的一些企业从以往的信息安全产品提供商转向信息安全解决方案提供商或信息安全服务提供商。