随着信息化的不断发展，信息安全工作的整体态势也正在日新月异的变化，随着技术的不断进步，信息安全也不断的发展出受制于技术积累的细分领域，从而对各级信息安全工作人员提出了更高的需求。

　　一、信息安全工作现状的痛点

　　在大多数企业中，受制于资金、环境、人员等条件，信息安全工作均依赖于专业厂商提供的产品与服务。在此前提下，信息安全工作的现状便产生了许多亟待解决的问题。

　　（一）非大规模企业，无法配备专业专职信息安全管理人员。

　　在不以互联网为主要业务平台的各企业中，往往只会配备较少的信息化管理人员，而几乎不会配备专业专职的信息安全管理人员。这不仅仅是业务重心的问题，企业的性质也决定了这样的资源配比，显然为了喝自来水自己建一个水厂并不必要。但是随之而来的问题也很明显，不具备信息安全知识背景或仅具备初级信息安全知识的人员，无法准确的把握信息安全技术的变化，无法及时准确掌握政策、法律法规、标准变化带来的管理标准变化，导致企业的安全工作往往只能流于表面，无法应对真正的安全风险。

　　（二）安全厂商提供产品较多，提供管理与服务较少。

　　近年来，信息安全产业发展较快，专业的安全厂商也得到了长足的发展，但安全厂商的盈利点还是以设备销售为主，设备的管理与使用，还是要依托于用户的信息安全管理人员。俗话说，信息安全工作是三分技术七分管理，厂商协助安装了再多的设备，设备的功能再多样，也无法代替不够专业的管理人员，往往导致设备无法起到应有的作用。

　　（三）安全产品品牌、类别较多，实现安全管理十分复杂。

　　在设备的更新换代中，想要确保单一的厂商是很困难的一件事，在各级设备交叉管理的领域，遇到设备策略重配、整体策略调整时，需要的操作繁多，效率低下。如定义了用户组的设备中，遇到用户权限、部门变更时，需要对所有设备所有的策略进行更新；又比如定义一条全局策略时，需要在所有设备上进行配置，确保其行之有效。

　　（四）特性化、有针对性的安全策略无法实现。

　　当信息安全突然爆发较大风险时如出现高危病毒、高危漏洞、黑客攻击、政策变更时，安全设备若无法及时更新数据库、补丁，依托于设备的安全管理就无法起效。

　　二、问题的解决思路

　　将用户的安全需求建立标准模型，让安全厂商更加了解用户，依托于模型中的标准参数提供更加有效的服务，降低对用户知识的需求。

　　（一）标准安全需求调研问卷确认需求

　　在安全服务协定签订前，安全厂商可依托于过往经验，对用户的信息安全需求进行详尽分析，主要包括用户网络构成、用户安全目标、重点防护区域、风险控制水平等，由售前工程师依照标准的模板，以用户较容易理解的方式进行售前沟通，确认用户的需求。

　　（二）以确保结果为导向的安全整体服务承诺

　　将整体信息安全保障服务，细化为对整体安全的保障。大多数时间，用户对信息安全的技术细节是模糊的，但对信息安全工作的整体目标是明确的，即确保各信息化设备、系统的无故障运行，能应对信息化系统运行时面临的各种风险。在此前提下，购买的设备、服务，制定的方针、制度、规章，实践的管理、制定的策略，统统是实现目标的手段。若信息安全厂商无法提供确保目标实现的整体服务承诺，必然会将压力转嫁到用户头上，进而产生对产品的不信任感。

　　（三）应对新技术、新文件要求、个性化需求的灵活安全策略

　　在签订了整体安全服务合同后，信息安全厂商需要根据用户的需求，在各重要环节布置必要的设备，配置合理的策略，同时协助用户进行管理制度的修订，控制关键的审批环节。当有变更发生时，可以灵活的进行设备替换、有专业人员进行策略的变更，第一时间进行整体调整，确保实施的整体效率。

　　（四）渗透入日常监管、控制的安全管理

　　对于信息安全专业人员十分匮乏的用户，安全厂商可以选择派驻驻点人员的方式，将日常安全审计、安全监管、安全控制的工作接管，通过定期提供管理报告的方式，向用户提供精确严格、确保结果的专业日常管理

　　（五）以风险评级为依据的模块化服务

　　安全服务可以做细，也可以在要求不那么高的地方降低标准。通过对于用户的整体需求、现状的分析，给予用户模块化的服务选项，由用户参照实际需求选择服务模块，体现出价格与需求的最明确关联，提升整体安全服务的性价比。

　　（六）协助用户建立对于人力和知识要求最低的管理方法

　　通过建立标准的安全服务模型，用户可以对自身信息安全管理实现更深入的了解。不依托于大量的具体管理方式和大量的安全知识学习，用户也可以对信息安全进行准确的把握与调整。通过将信息安全中最依赖于技术与经验的设备选型、策略配备、制度管控、风险评估、应急处置等打包起来由专业人员来提供，从而给予用户最佳的信息安全保障。

　　三、信息安全服务模型带来的改变

　　（一）模块化服务直接连接问题与结果

　　通过建立信息安全的服务模型，用户面对的问题不再是“我应该选用哪款设备、配置什么策略来解决我这个需求”，而是“我应该如何向我的服务商提清楚我的需求”，看到的结果是很直观的“问题已解决”或“问题未解决”，将问题与结果用最直观的方式展现，解决用户的实际需求。

　　（二）不再以产品销售为赢利点的信息安全生态

　　信息安全的现状的商业生态，大部分依托于产品销售及售后服务带来的利润，这样就会对用户产生很大的困扰，不知道厂商更换设备究竟是出于赚钱的目的还是出于解决实际问题。通过整体的服务模型建设，可以将厂商与用户的目的趋向于一致，将每年的安全支出控制在一个合理的值，得到性价比最高的安全服务。

　　（三）更加可信的安全保障

　　信息安全厂商对于用户更加了解的前提下，可以专心的对用户的需求进行剖析，迅速找到症结与应对手段，安全保障能力不再局限于设备，使得信息安全更加可信。

　　结论

　　在信息安全技术层出不穷，不断推陈出新时，作为安全产品与服务的用户，一方面需要进行必要的安全技术学习，但另一方面更需要剖析自身需求，找准自身痛点，将自身从信息安全工作中解放出来。在社会分工日趋精确明细的大环境下，找专业的人做专业的事，向专业的商家买专业的服务，成为了最有效的解决方案。找对痛点，找准症结，明确需求，在信息安全工作领域取得进一步的提高，才能应对好日后更加复杂的信息安全环境，保障信息化业务的顺利运行。