服务 不能游离在安全之外

　　层层设防的安全防线，为何挡不住威胁?

　　协同作战的各类产品，为何总留下空隙?

　　不断增加的安全投入，为何看不见效果?

　　……

　　我们究竟忽略了什么，才会有如此多的不确定因素?

　　安全是一个动态的旅程，随时都有最善变幻的“人”在参与，依靠固定的产品是很难解决全部问题的，尤其是在遇到突发、重大安全事故时，安全布局是否合理、发现问题是否及时、解决问题是否准确、事后分析是否到位等，都是为安全体系是否牢固埋下重要的伏笔，任何一点的疏忽都等于为安全体系埋下了一枚随时可能被引爆的“炸弹”。

　　只有充分把握每一个不安全因素，善于和时间赛跑，才可能把安全产品之间的缝隙填平，在各种安全隐患发作之前把它们一网打尽，即使有些安全威胁很难挡住，也要把它所产生的危害尽可能降低到可以接受的程度。

　　然而，要做到这些，很难!术业有专攻，即便企业自身的安全管理员都是安全专家，也不可能面面俱到，任何问题都能轻松解决。那么，我们该怎么办?难道放任这些“炸弹”不管?

　　其实，我们困惑的根源，就在于之前一直把“服务”排斥在安全之外!在需要的时候把最对口的安全专家请来，又有什么问题不会迎刃而解?

　　然而，事实是——服务一直游离在安全之外!

　　那么，用户对安全服务究竟有哪些误解，才让他们忽略了安全服务的真正价值?安全服务本身又存在哪些问题，怎样求变才能改变今日之局，真正融入到安全体系中去?

　　◆ 服务之殇——买服务不够实在?(误区篇)

　　◆ 服务之功——会花钱才能省钱!(价值篇)

　　◆ 服务之困——身在局中不自知?(反省篇)

　　◆ 服务之路——换位思考行远路!(发展篇)

　　服务之殇——买服务不够实在?(误区篇)

　　当病毒传播选择了互联网这条路，当黑客攻击日益普遍频繁，当垃圾邮件开始铺天盖地，当信息泄漏对企业的伤害越来越严重，防病毒、防火墙、IDS/IPS、反垃圾邮件、数据保护等安全产品，开始逐步地进入到企业网络中去。奇怪的是，同样相关的安全体系建设、风险评估、应急响应、产品增值服务等服务项目，却远没有这些安全产品那么普及。

　　服务不够实在?!

　　购买硬件安全产品，买到手的是个“盒子”，摆在那里实实在在，即插即用。购买软件安全产品，可以安装到各种系统中，根据需要灵活调整安全策略。购买安全服务这种无形的东西，看不到摸不着，不放心!

　　安全服务是指服务提供商用自己的经验和方法来帮助用户树立比较好的思考安全问题的思考方式，或者帮助用户全面、快速、准确地解决具体安全问题的操作方法。它的确不像安全产品那样实实在在，但这并不说明它的能力也不是实实在在的。

　　从产品本身层面看，无论是软件还是硬件安全产品，谁都不能保证它们100%地没有问题，一旦产品自身出现问题，自然就要靠“服务”来解决问题。

　　从产品应用层面看，安全产品的部署并不难，难在如何让这些安全产品部署在最能发挥它功能的位置上，并经过合理的配置让它的功能最大化，这有时也要借助“服务”的力量。

　　而且，安全始终是人与人之间在博奕，面对变幻莫测的各种安全威胁和攻击手段，有时候仅靠安全产品只能治标，只有借助“服务”的力量才可能治本。

　　午餐要免费的

　　购买安全产品的时候已经附带了安全服务。那些单独开价的安全服务本身没有什么特别的价值，更多的只是厂商为了推销自己更多产品的“噱头”。所以，需要免费的安全服务，但不会对服务付费。

　　天下没有免费的午餐。每一项安全服务，无论是台前幕后，都离不开专业安全人士的努力，离不开安全厂商的人力、物力、财力支持，因此，不可能存在真正免费的安全服务。

　　尽管从表面看，的确有很多“基础服务”的费用是包含在安全产品的采购成本中的，例如各种安全产品的特征库升级服务。但这类服务一旦到期后还想继续使用，就必须通过“续费”的形式才能获得，因此并不是真正意义上的免费，只不过付费的方式发生了变化而已。

　　而且，这些看起来“免费”的服务，通常都是产品相关的服务，是最为“基础”的服务。与此同时，厂商通常还会提供一些“增值”服务或者“高级”服务，这些服务虽然需要单独付费，但是却会更加贴心。例如，梭子鱼的售后服务体系中的基础服务的主要内容就是“5×8小时服务、随机派人解决问题”，而高级服务的内容则升级为“7×24小时服务、专人提供服务、尽可能提前预见风险”，显然，“高级服务”更能增强企业的抗风险能力。

　　所以，如果条件允许，不妨把免费的午餐换成精致可口的盛宴吧!

　　在乎的是价格

　　安全服务听起来很“专家”，解决的都是难题，所以才报价不菲，但其实安全产品一样，是可以侃价的，所以，在采购安全服务时应该把价格尽可能地压低。

　　安全产品一旦研发出来，其成本会随着出货量的提升而降低，而安全服务则完全不同，是需要服务人员“真刀真枪”地实战的，因此，安全服务绝对不是“零”成本，也不会随着服务内容的增加就降低了成本。因此，即便对安全厂商而言，安全服务的价格也是比较敏感的。

　　产品相关的安全服务相对规范化、流程化，服务的内容和价格都比较透明。但咨询类安全服务则不同，很多服务内容都是属于“定制化”的，会受到安全内容的内容以及所服务的企业的网络现状、具体应用、安全体系情况影响，因此不可能“明码标价”。

　　所以，很多企业在采购安全服务时，总是在“价格”上过分计较，但安全服务的价格绝对不是越低越好。因为安全服务的成本是实实在在的，如果过分压低价格，安全服务的品质势必会大大降低，企业势必会得不偿失。

　　综上，用户对“安全服务”的认识的确存在很多的误区，但其实最大的误区还不是采购习惯，而是还没有真正理解安全服务的真正价值。

　　敬请关注《服务之功——会花钱才能省钱!(价值篇)》。