行业观点：安全服务和安全产品的现状与未来

2、安全服务和安全产品目前的瓶颈

现在在乙方工作的人，不管是做服务的或者是卖产品的，都能够感觉到现在服务越来越难做，产品越来越难卖了。这到底是为什么？究其原因就是服务被做烂，产品已饱和。

2.1 产品为什么越来越难卖？

做过产品的销售的人可能近两年都会明显感觉到，现在安全产品真是越来越难卖了？究其原因可能有两个：

1、现在安全市场的各种安全产品都是品种齐全，种类繁多，任何一种类型的安全产品，都能够找多好几家厂家，而各自的安全产品不管是性能、功能，还是价格，都是大同小异的，在这种情况下，自家的安全产品的竞争力在哪？貌似只能靠客户关系和价格战了。

2、 企业该有的安全产品都有了，我们还能卖什么？这个问题应该是目前普遍存在的问题，一般稍微有点规模的企业，在经过这几年来，各大产品厂商的“洗劫”，基本该买的也买了，不该买的也买了，曾经在某客户的机房，看到客户的机柜上有台漏扫设备，还很好奇的问，你们还买漏扫？谁知客户也很疑问说这是哪来的？什么时候买的？完全不知道。显然在客户该有的安全产品都有了的情况下，产品销售通常是不知道再卖什么了？只能开始杜撰需求，能塞进去的，都塞进去。

2.2 服务为什么越来越难做？

从事安全服务的人员可能也会感觉到，现在服务越来越难做，客户的要求越来越高，对服务的人员也是越来越高，再也不像几年前，那个漏扫工具扫一下，导 出一份报告，这就算服务了，导致现在客户都说你们做服务的，不就是拿个漏扫工具扫扫么？还有什么？也总结下为什么现在服务越来越难做了？

1、客户要求越来越高。在前几年，由于客户不知道什么是安全服务，也没思路，只能任由各安全公司忽悠，就好像前面说的，做个漏洞扫描就安全服务了。 这两年因为各种黑客攻击和地下产业链频频见诸新闻和报纸上，企业对安全的要求也越来越重视，并且企业经常受到各大安全公司人员的不停洗脑，已经知道了什么是安全服务，对安全有了一定的了解，进而有了基本的思路，知道自己要的是什么。

2、安全服务人员水平参差不齐。现在很多安全公司随便找几个人，就敢接安全服务的项目了，而且这些公司这些人员真的做过安全服务么？我看不尽然。所以在这种背景下，安全服务项目能做好么？客户能满意么？

3、利润空间小，投入少。这也是目前普遍存在的问题，很多安全公司为了能够拿下项目，都会低价投标，一种情况是低价中标，服务做完之后，后续卖产品，以弥补服务的差价。试想在这种场景下，服务项目未实施前，已经计算好卖什么产品了，这种服务项目做的就太有针对性了，想卖什么产品，就会针对性的去发现该产品能够解决的问题，从而让客户买单。曾经在项目过程中看到一些厂商给客户的安全解决方案里的需求设计部分，真是惊心动魄，各种吓唬，一个小的风险，并夸大成很严重的安全问题，仿佛不解决，公司离倒闭就不远了。另一种情况是低价中标后，因为利润的关系，无非保质保量的完成项目内容，在这种情况下，只能开始糊弄了。

2.3 信息安全建设到底应该怎么做？

其实不光是乙方的人员认为安全难做，从客户的角度来看，也很迷茫，不知道自己的企业中存在哪些问题？通常只是暴露出来一个解决一个，隐藏的问题，并不能被发现和解决，而这些隐藏的问题往往却是致命的问题，一旦发生，可以会导致严重的后果。在做售前的几年里，遇到客户问的最多的问题可能是以下几个，我梳理了下：

1、我们已经买了很多产品，为什么还是会有很多问题？ 
2、市场上这么多安全产品，说的天花乱坠，我们该买什么产品？ 
3、哪些安全产品才是我们真正需要的？很多产品功能重叠，究竟哪种产品才是最适合我们的？
怎样才能将产品的最大效用发挥出来？如何部署？ 
4、这么多的安全产品，如何管理？怎么才能从海量的日志里发现问题？ 
5、上级机构又要来进行安全检查，每次都不达标，被通报批评，安全问题为什么那么多？ 
6、我们公司现在到底有哪些安全隐患？ 
7、未来我们的信息安全应该如果来做？

简单来说就是情况不明，目标不明，步骤不明。情况不明，即对自己目前的现状不了解，不知道企业中到底多少问题？目标不明，即不知道企业的信息安全目标是什么，要达到什么样的水平？步骤不明，因为不知道安全目标是什么，也就无法制定有针对性的安全建设思路和步骤，不知道如何通过一步步的安全建设，来达到安全目标的要求。