大多数等级保护因购买服务而立项采购，这给服务产品化提供了契机。

【电脑商网专稿】将服务产品化是多数安全企业的梦想，而等级保护就给这个梦想提供实现的契机。与其他项目不同，大多数等级保护因购买服务而立项采购，并不是以购买产品的方式立项。

在上一期报道中，主要讨论了厂商和渠道商在为用户提供等级保护定级服务时可能出现的商机，其实，定级阶段采购只占项目总额的10%~15%，而等级保护的采购重头在建设整改阶段。在建设整改中，硬件采购占60%，服务采购占40%。但值得注意的是，天融信、联想网御、东软等企业的等级保护实施团队都是以其服务团队为班底，少则几十人，多则上百人。

联想网御李文生：在出现等级保护后，渠道商不可能期望只提供产品集成就过上好日子。

设计方案难收钱

在进入建设、整改阶段之前，还要经过方案设计，与其他阶段相比，此阶段的颇有些费力不讨好。方案设计阶段中，安全企业和渠道商的主要任务是帮助用户选择在等级保护允许范围内的产品，以及帮用户充分利用现有设备，少花钱多办事。北京圣博润公司总经理孟岗甚至表示，等级保护进入方案设计阶段并不会给厂商和渠道商带来直接的经济效益，安全企业的角色是当好用户的参谋，安全企业积极参与第二阶段工作主要看重未来用户产品采购时可能出现的机会。

当然，正式进入整改阶段后，对渠道商也提出了更高的要求。联想网御公司安全服务事业部总监李文生说：“在没有等级保护时，渠道商为用户提供基于产品的安全解决方案就能过上舒适的日子，但当出现等级保护后，尤其是等级保护进入建设整改阶段，用户需求的是整体解决方案，这就要求安全系统集成商不但能提供技术方案，同时也要提供管理制度方案。东软公司网络安全产品营销中心网络安全咨询顾问张雨表示，某些用户基础安全硬件建设已经较为完善，但企业缺乏制定的策略和安全制度。其中包括：安全组织设计与规划、安全培训、安全流程设计、应急事件处理办法。

除了27号、43号等纲领性文件之外，各行业主管部门还根据自身具体应用环境出台了本行业等级保护实施建议。以社保行业为例，社保行业信息系统并不是由中央财政统一拨款建设，因此各地方社保系统的网络结构和网络中使用的安全设备都有所不同，而等级保护提出了“集中化管理”。解决这一问题通常是通过两种手段：一是新上一些实现集中化管理的硬件或软件产品；二是通过管理制度和规章，解决技术手段无法达到的需要。张雨表示，等级保护涉及到信息系统的方方面面，任何一款产品或单纯的产品解决方案都无法达到等级保护的要求。安全厂商和渠道商必须拿出策略和管理解决方案。

帮用户制定安全管理制度看似提供了高附加值的服务，但要想从制定管理制度中受益也不容易。启明星辰公司首席等级保护专家赵呈东表示，用户普遍认为，企业或渠道商手中已经有一套现成的、成体系的管理制度规范，只要根据实际情况，稍加改动就可以，无需附加付费。

不难看出，用户对安全管理制度的态度是：既然你销售给我产品就必须教会我使用和运维。记者了解到，虽然各企业也都将帮用户制定安全管理制度当作是一项服务产品，并对用户进行报价，但实际销售出去的并不多。