|
【电脑商网专稿】关注等级保护之后,发现了其区别于其他项目的显著特点——服务被提到前所未有的高度。在等级保护的三个阶段(定级、整改、运维)中,服务渗透到每个细节之中。
具体来看,等级保护涉及到的服务项目包括:系统等级划分、安全域设计、评估现状、等级安全指标体系设计、解决方案设计、安全策略设计、安全规划设计。在这其中,安全企业和渠道商首先接触到的是信息系统等级划分服务。对于如何抓住定级服务中存在的商机?我们来听听各方面的意见。
定级“产业化”
安全厂商和安全解决方案提供商接触等级保护项目,通常的切入点都是从帮助企业进行系统等级划分。在此阶段他们需要做的工作是通过系统识别分析进行子系统划分,分析系统所属类型、所属信息类别、服务范围以及制定细化定级规则,确定系统安全保护等级。初听起来,安全厂商和安全解决方案提供商需要做的工作不少,但系统等级划分是否能直接产生经济效益,记者在采访中却听到了几种相左的意见。
产业化。在北京圣博润公司总经理孟岗看来,等级保护信息系统等级划分将来会演化成一个独立的产业。孟岗表示,用户在进行等级保护信息系统等级划分以及后期设计整改方案时,都需要有专业评估能力和服务能力的团队介入指导。目前,包括政府在内的大多数行业用户都不可能建置一支技术能力强大的安全服务团队,必须借助社会力量。
信息系统等级划分需要对用户的系统现状以及用户可能会遭遇哪些安全问题做出系统的评估。对于这项看似复杂的工作如何收费?孟岗表示,如果用户信息网络只进行无纸化办公,几万元就可完成定级咨询,如果用户信息网络承载着大量诸如ERP的应用软件,安全评估的工作量则相对较大,评估某些复杂系统的人力成本就在二十万元以上。
孟岗的观点中出现了一个关键词——业务系统。对用户信息系统进行安全评估,不可避免地会涉及到业务软件。大部分安全企业和渠道商对ERP等业务软件并不熟悉,这就有可能在定级工作中衍生出越来越细致的专业化分工,甚至是跨公司合作。如安全企业只对用户网络进行等级评估,而软件公司对业务系统评估定级。在孟岗看来,帮助用户提供定级服务这一市场在未来2~3年内不会衰减,公司还将在此方面加大投入。目前,安全服务已经占圣博润公司总体收入的15%左右。
除了为用户提供定级服务之外,圣博润认为目前至少还有两个商机可以抓住。其一、定级软件。随着实施等级保护项目经验的累计,市场中会逐渐出现一些工具性的软件产品,这些应用性的软件可以解决项目中的共性问题。目前,圣博润设计了自评估软件,并开始面向市场销售,用户可以使用该软件自行完成第一轮的信息系统等级评定。
其二、定级培训。目前,企业用户和安全渠道商在风险评估和安全服务团队还不完善,熟悉等级保护的人才储备不足。这催生了等级保护人员培训业。孟岗说:“按师傅带徒弟的传输模式无法满足未来等级保护的市场。外地的渠道伙伴愿意出钱,并不是请圣博润协助完成项目,而是请圣博润进行人员培训。” |
