论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 26 篇帖子 ]  前往页数 上一页  1, 2
作者 内容
 文章标题 :
帖子发表于 : 2009-11-05 01:01 
离线
顶级用户

注册: 2008-01-08 09:09
最近: 2015-12-18 11:54
拥有: 12,489.50 安全币

奖励: 3044 安全币
在线: 2785 点
帖子: 776
地址: 浙江杭州
目前处于发展的拐点,公司的处境已经是快到崩溃的边缘,老板还沾沾自喜说要把安服这块交给我让我写规划,看了楼主的帖子我也有些自己的感触想说说。
国人的发展总是落后于国外,意识也落后于国外,这些落后主要表现在:
对安全的概念仅仅限定在安全上,安全由何而生为何要保障安全,脱离了实际的安全是没有意义的,安全归根到底是要保障业务保障生产保障盈利的,所以安全后面要加个服务。我觉得目前就是这样的现状包括我自己的公司和我自己在做服务的时候都太应付么,没有好好的了解用户的服务,应用,管理要求等等,没有很好的结合别人的实际情况,也很少有客户能静下心来和我们探讨。如果我们的服务始终是脱离现状的,始终是脱离需求的,那么即使我们能获得个单子但是不会长远的。
服务产品缺乏新意,很多厂商不都是从OEM起步的么,安全服务也是都太专注已知领域,缺乏探索精神。
服务是一个需要口碑需用信誉需要品质的东西,要想发展就只能走做大做强的道路。
我的构想是大致这么4步
1 先确定安全服务的核心业务盈利业务作为维持公司发展基础,用一定时间进行人才培养。
2 待团队和业务稳定后,尝试往新的安全领域拓展,寻求新的利润点。
3 市场淘汰,经过一段时间的沉淀后,通过兼并、收购、挖墙角等方式整合别人的优势业务、团队等,成为自己的一部分。
4 稳定发展,公司文化、社会声誉、核心团队、主营业务都已成型。

不才 第一次写这种东西 希望有前辈能指点一二


--------本帖迄今已累计获得54安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-07 17:51 
离线
新手

注册: 2009-11-07 17:32
最近: 2010-10-20 15:51
拥有: 21.00 安全币

奖励: 0 安全币
在线: 25 点
帖子: 14
偶支持一下frankxie207,其中第一点在高管绝对是过不了,除非外包商有很强的权威性,就好比PKI/CA没有政府背景的能活下来能有几家


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-23 10:16 
离线
超级用户

注册: 2008-10-13 16:21
最近: 2016-06-08 14:32
拥有: 939.40 安全币

奖励: 2429 安全币
在线: 388 点
帖子: 516
地址: @Beijing
吸收楼主的精华


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络安全服务构想
帖子发表于 : 2010-01-20 09:16 
离线
顶级用户

注册: 2005-01-19 15:30
最近: 2017-09-29 10:06
拥有: 4,285.80 安全币

奖励: 114 安全币
在线: 6800 点
帖子: 830
billy009 写道:
自我介绍下,我从事网络安全行业一直是销售,在工作中有些想法,记录下来,抛砖引玉,大家讨论。之前在绿盟 现在在天融信,还是做销售。
销售常常被做技术的BS吧....呵呵....不管了

这个话题涵盖的范围较广,我只是抛砖引玉,把我个人目前的一些想法述成文字。安全服务这个概念已经有很长时间了,但在市场上还不是主流角色,很多团队看到了其中的希望,但对于实际的操作,困难重重。有人说,安全服务是忽悠,某个角度说,这个想法没错,因为它还有待市场的考验,很多概念和方法都在摸索中,怎么去适应市场,怎么能拥有核心竞争力,团队们各有一套,忽悠也是其中的探索方法之一。但最终我想,由于市场的需求走向和实力团队的定位,忽悠也会演变成方法论和行业标准,成为IT管理中不可缺少的部分。

安全服务需求比较旺盛的往往是核心业务需要IT支撑或保障,这个也可以从安全几个特点(保密性、完整性、真实性、可靠性、可用性、不可抵赖性)来分析行业安全需求侧重点。安全服务团队目前就算在专业的安全公司队伍都很小。集中精力做好某几个行业就属不易。但这并不能意味安全服务团队的可有可无,随着市场上产品日益饱和,业务发展迅速,安全服务的不断演化将必定成为网络安全公司核心竞争力的必胜法宝。

结合信息安全公司的人员能力、市场评估状况,可以将信息安全的评估、规划、运营以及维护作为安全服务的几个切入点。目前上海市场上,安全服务大致有几种做法:

l 信息安全运维模式。如柏安咨询近期发展重点是建立中国最为专业的集中监控中心。这个业务特点是,人员技术力量较为集中,业务网可以撒的开。人员管理成本低。这也是柏安咨询目前能快速发展的重要原因之一。这个和柏安咨询的定位咨询、安全顾问为主、没有具体产品的特点有关系。也有可能柏安需要这个方法快速积累客户。在客户基础上演化业务方向。我之前在绿盟推广的证券基金业的信息安全服务外包也是一种信息安全运维模式,利用ITIL提升安全服务提升客户服务满意度是比较重要的方法。其中安全服务人员的管理是重头戏,客户积累多了,人员素质和技术力量的规划管理也需要迅速到位,从项目模式转变为运维模式。

l 运营模式比较有特点,也是一个花力气比较少又可以有量的积累。比如说其中一个比较有意思的例子,那就是银行用的加密USBkey,这个产品的切入其实结合的是用户的一个运营需求。当然,客户的运营需求比较多,如何利用少量的精力能切入客户核心的运营需求,将会是比较成功的安全服务模式。SOC也是比较好的运营模式,只可惜大部分人都很保守,说的多,做的少。
l 信息安全评估模式。大部分安全公司目前涉及的主要是信息安全评估。评估的内容也主要是信息安全资产的脆弱性评估,方法局限于产品和人的网络安全技术。虽然能够找出一些信息安全方面的问题,虽说也用了7799类似的方法论,但实际操作还是存在一些问题和不足。比如说发现了一些网络安全的问题,却不能很好的站在管理和业务的角度去阐述问题,晦涩难懂,客户只能按照建议亡羊补牢,却不能提升相关管理水平和意识。另外更重要的是,这样的做法丧失了对客户核心业务切入的机会,合理的提升服务产品在客户部门的解读能力也应该作为安全服务产品提升打造的一个目标,能够解读安全服务产品的部门越多,地位越高,项目也会越有价值。我之前也做过国家信息安全测评认证的辅导项目,大部分客户的这种实际评估要求都来源于合规。实际操作过程中,客户有三种目的,首先是合规,再是规范,再是提升。大部分的安全公司或者评估机构都只做了第一步和第二步。合规在国内目前是一种比较好的安全评估驱动力,能给安全公司带来较大的机会,但是也必须结合行业法规在国内的发展速度和执行力度。举个金融行业的例子来说,银联本身隶属银监会监管,从银联在国内金融行业的特殊业务和地位角度出发,需要自己出台相关的类似于PCI-DSS的相应支付行业法规来规范相关会员单位,其中涉及信息安全的规范以及相关业务层面的规范,这对于安全公司是机会也是挑战。安全公司可以协助整理规范,执行日后的会员合规工作,但是对于客户业务部分也需要深入学习才能演化出更适合银联的服务方案。期货交易所、证券交易所都应有相关类似的需求,如今很流行的等级保护也是如此。

市场定位。选择适合做安全服务的行业。金融行业是比较好的选择,证券、基金、保险等业务架构在IT之上,和钱打交道,安全问题自然比较关注。运营商、还有就是外企、网游、新媒体行业。还有就是工业信息安全领域。我觉得网络安全公司精力较少,选择其中1-2个行业打开市场会比较好。

至于开展工作的方法,渠道合作和独立开发同样重要,和比如说选择IBM这样的合作伙伴,他们对网络安全服务的外包合作在很多IT外包项目中会感兴趣,但最好不仅仅是case by case的合作。独立开发,选择公司本身比较优势的行业。方法的目的都在于快速和最终客户建立信任通道。便于快速了解行业特征,便于行业服务产品开发,同时也迅速规范服务体系和流程。

目前的安全公司在针对行业形成安全服务产品的的时候存在一个误区,依靠销售人员与技术人员一起拍脑袋。对于业务的深刻理解不是短时间内能形成的,如果能邀请行业资深人员一起探讨安全服务的形式,将是非常好的推进。所以安全服务团队除了自身销售顾问、咨询顾问项目经理,技术人员等之外。还必须要注重和业内人士的积极沟通,包括资深系统集成商,包括对行业业务非常熟悉的人员,这样才能有针对性的开拓安全服务市场。合规性是比较好的指导方法,不过国内行业法规的发展这几年虽说已经有了初步变化,但行业领导部门的脚步往往还是力不从心,需要更加专业的指导队伍,从这一点来讲,把握行业发展脉搏显得尤为重要。

下面有些零星的想法供参考:

l 各大电信运营商为了适应国际国内电信行业的激烈竞争,不断加大电信信息化建设力度,以期通过高水平的信息系统为客户提供更优质的服务,充分发挥自身优势,争取更大的市场份额和更广阔的发展空间,更将带动电信安全外包市场的繁荣。

l 安全服务团队要能够独立于安全产品厂商,不带有强烈产品色彩。

l 国外先进成熟的安全服务模式是服务产品最好的参考。

l 安全服务外包也可能发展成IT外包的指导性架构之一。或者仅站在外包的角度上看问题,结合自身能力挖掘客户的需求,走出安全的圈子也是一种发展手段。



以前见面的时候怎么没听你这样忽悠过呢?
:D


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-08 14:40 
离线
顶级用户

注册: 2008-03-17 17:22
最近: 2018-01-26 14:17
拥有: 9,485.60 安全币

奖励: 1018 安全币
在线: 22882 点
帖子: 1818
地址: HK/Peking
总结的很不错!!!

先顶再看!!!呵呵


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-23 09:49 
离线
新手

注册: 2010-02-20 10:10
最近: 2013-09-06 20:07
拥有: 8.00 安全币

奖励: 0 安全币
在线: 174 点
帖子: 8
受益匪浅。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2010-02-25 12:21 
离线
新手

注册: 2010-02-08 15:07
最近: 2012-03-05 22:09
拥有: 35.00 安全币

奖励: 0 安全币
在线: 19 点
帖子: 5
写的非常好 学习受用了


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络安全服务构想
帖子发表于 : 2010-05-28 04:34 
离线
初级用户

注册: 2004-08-11 17:21
最近: 2016-01-04 14:36
拥有: 944.90 安全币

奖励: 0 安全币
在线: 1078 点
帖子: 47
地址: chengdu sichuan china
安全服务在大多数项目中都是以评估/加固/优化/运维这样的方式进行的.但,有多少服务的项目是真正的从用户的实际出发结合用户自身行业特点展开的?遵循这标准那方法的,到底能为用户的信息系统带来多大的提升?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络安全服务构想
帖子发表于 : 2010-05-28 08:30 
离线
版主

注册: 2009-04-02 08:23
最近: 2015-06-27 13:59
拥有: 17,718.00 安全币

奖励: 10911 安全币
在线: 9666 点
帖子: 697
seamyou 写道:
安全服务在大多数项目中都是以评估/加固/优化/运维这样的方式进行的.但,有多少服务的项目是真正的从用户的实际出发结合用户自身行业特点展开的?遵循这标准那方法的,到底能为用户的信息系统带来多大的提升?


标准和制度是推动力,而非内容。要知道决策者们往往是不懂安全甚至是不懂技术的,标准、制度去促进他们做什么比技术上促进要有用得多。有标准在,可以说这个不好那个不好,但至少有个理由让你去做那个;要是没有标准,可能在决策者面前要么三句话都说不上就被打断,要么双方就安全问题进行了愉快的交流、决策者对提案十分重视、表示要大力加强信息安全建设、但限于当前的具体情况、只能从XXX(其实就是个P)先做起、提案者对领导的决定表示理解和支持……

没有标准推动,安全工作也可能发展,要么是老板开明,有一天拍脑门决定做了,要么是出了足够引起老板们重视的事件,完事后大家开会总结一下,发现谁都没有错、但又谁都避免不了事件的发生,问题出在体系上,报告提上去,老板拍板推动~

现在的标准和制度的执行力度和权威性还远远不够,要是达到ISO9000系列那个状态日子就好过了~


--------本帖迄今已累计获得9安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络安全服务构想
帖子发表于 : 2010-05-28 09:36 
离线
超级用户

注册: 2009-12-13 11:09
最近: 2014-10-26 14:05
拥有: 442.00 安全币

奖励: 5848 安全币
在线: 999 点
帖子: 320
楼主感觉不像销售的样子啊

楼上各种牛在飞


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络安全服务构想
帖子发表于 : 2010-08-18 14:03 
离线
初级用户

注册: 2010-07-29 13:28
最近: 2016-02-16 15:08
拥有: 573.00 安全币

奖励: 0 安全币
在线: 82 点
帖子: 25
好牛的


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 26 篇帖子 ]  前往页数 上一页  1, 2

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012