行业观点：安全服务和安全产品的现状与未来

1、目前的现状是什么？

在传统的信息安全厂商内部，安全服务和安全产品所占的比重一直都是严重失调的，通常是二八开，即销售额一般都是安全产品占 80% ，安全服务占 20% ，有的甚至更少。因此摆在公司决策者面前只会是产品比服务重要，因为卖服务不赚钱，卖产品才赚钱。

这确实是目前在安全行业普遍存在的现象。

从做服务和卖产品的人角度看，做服务的瞧不起卖产品的，经常说的是：这帮卖产品的，整天就知道卖产品。而卖产品的人又认为做服务，太虚，没有实际性的东西， 认为做服务的人都是满嘴跑火车的，不靠谱，不过很多产品的销售人员，为了能够将产品销售出去，又何尝不是满嘴跑火车呢？有的销售在客户面前，都将自己的产 品吹嘘成万能的，貌似只要上了安全产品，就可以解决所有的安全问题。

那么对于客户来讲，到底是安全产品重要还是安全服务重要呢？还是都重要？学过信息安全基本理论的人都知道信息安全工程的概念，从信息安全工程的整个生命周期来看，信息安全工程包括几个重要的阶段：

1、风险识别 ---> 2、需求分析 --> 3、设计部署 ---> 4、功能验证 ---> 5、维护废弃

安全是一项工程，它既不是产品也不是服务，而是产品和服务的结合，就好像医生和药品的关系。如果要将安全产品和安全服务放到信息安全工程的 阶段里，通常的安全服务包括了 风险识别、需求分析和设计的过程，而安全产品只是部署的过程。从信息安全工程的几个阶段来看，安全产品的部署是应该经过风险识别、需求分析和设计之后，才 会涉及到产品的部署，而我们目前的行业实际情况是，很多安全厂商的人为制造风险，杜撰需求，从而进行产品的销售。

回到刚才的问题，那对于客户来讲，安全服务和安全产品到底哪个更重要？我觉得每个企业的情况都不一样，例如一家信息化刚起步的公司，连基本的基础建设都没做好，让他们做 IT 流程的管理或者整个安全体系架构的设计，这明显是不合理的，就好像让一个小孩，都没学会走呢，就让他开始学跑。所以安全的建设应该是一个循序渐进的过程， 而不是一蹴而就，能够一步登天的，曾经和某集团的 CTO 访谈时，CTO 问安全什么时候才是个头？每年都要投入那么多钱，什么时候有个头？好吧，安全是个持续的过程，是没有头的，因为风险是动态的，是不断变化的，我们都知道 PDCA ，只有不断的计划、实施、检查和改进，才能持续的保证安全。