梭子魚：把脈現(xiàn)實(shí)中的安全服務(wù)（問(wèn)題篇）

當(dāng)病毒傳播選擇了互聯(lián)網(wǎng)這條路,當(dāng)黑客攻擊日益普遍頻繁,當(dāng)垃圾郵件開始鋪天蓋地,當(dāng)信息泄漏對(duì)企業(yè)的傷害越來(lái)越嚴(yán)重,防病毒、防火墻、IDS/IPS、反垃圾郵件、數(shù)據(jù)保護(hù)等安全產(chǎn)品,開始逐步地進(jìn)入到企業(yè)網(wǎng)絡(luò)中去。奇怪的是,同樣相關(guān)的安全體系建設(shè)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急響應(yīng)、產(chǎn)品增值服務(wù)等服務(wù)項(xiàng)目,卻遠(yuǎn)沒(méi)有這些安全產(chǎn)品那么普及。

服務(wù)不夠?qū)嵲?/p>

購(gòu)買硬件安全產(chǎn)品,買到手的是個(gè)“盒子”,擺在那里實(shí)實(shí)在在,即插即用。購(gòu)買軟件安全產(chǎn)品,可以安裝到各種系統(tǒng)中,根據(jù)需要靈活調(diào)整安全策略。購(gòu)買安全服務(wù)這種無(wú)形的東西,看不到摸不著,不放心!

安全服務(wù)是指服務(wù)提供商用自己的經(jīng)驗(yàn)和方法來(lái)幫助用戶樹立比較好的思考安全問(wèn)題的方式,或者幫助用戶全面、快速、準(zhǔn)確地解決具體安全問(wèn)題的操作方法。它的確不像安全產(chǎn)品那樣實(shí)實(shí)在在,但這并不說(shuō)明它的能力也不是實(shí)實(shí)在在的。

從產(chǎn)品本身層面看,無(wú)論是軟件還是硬件安全產(chǎn)品,誰(shuí)都不能保證它100%地沒(méi)有問(wèn)題,一旦產(chǎn)品自身出現(xiàn)問(wèn)題,自然就要靠服務(wù)來(lái)解決問(wèn)題。

從產(chǎn)品應(yīng)用層面看,安全產(chǎn)品的部署并不難,難在如何讓這些安全產(chǎn)品部署在最能發(fā)揮它功能的位置上,并經(jīng)過(guò)合理的配置讓它的功能極大化,這有時(shí)也要借助服務(wù)的力量。

而且,安全始終是人與人之間在博奕,面對(duì)變幻莫測(cè)的各種安全威脅和攻擊手段,有時(shí)候僅靠安全產(chǎn)品只能治標(biāo),只有借助服務(wù)的力量才可能治本。

午餐要免費(fèi)的

購(gòu)買安全產(chǎn)品的時(shí)候已經(jīng)附帶了安全服務(wù)。那些單獨(dú)開價(jià)的安全服務(wù)本身沒(méi)有什么特別的價(jià)值,更多的只是廠商為了推銷自己更多產(chǎn)品的噱頭。所以,需要免費(fèi)的安全服務(wù),但不會(huì)對(duì)服務(wù)付費(fèi)。

天下沒(méi)有免費(fèi)的午餐。每一項(xiàng)安全服務(wù),無(wú)論是臺(tái)前幕后,都離不開專業(yè)安全人士的努力,離不開安全廠商的人力、物力、財(cái)力支持,因此,不可能存在真正免費(fèi)的安全服務(wù)。

盡管從表面看,的確有很多基礎(chǔ)服務(wù)的費(fèi)用是包含在安全產(chǎn)品的采購(gòu)成本中的,例如各種安全產(chǎn)品的特征庫(kù)升級(jí)服務(wù)。但這類服務(wù)一旦到期后還想繼續(xù)使用,就必須通過(guò)續(xù)費(fèi)的形式才能獲得,因此并不是真正意義上的免費(fèi),只不過(guò)付費(fèi)的方式發(fā)生了變化而已。

而且,這些看起來(lái)免費(fèi)的服務(wù),通常都是產(chǎn)品相關(guān)的服務(wù),是基礎(chǔ)的服務(wù)。與此同時(shí),廠商通常還會(huì)提供一些增值服務(wù)或者高級(jí)服務(wù),這些服務(wù)雖然需要單獨(dú)付費(fèi),但是卻會(huì)更加貼心。例如,梭子魚的售后服務(wù)體系中的基礎(chǔ)服務(wù)的主要內(nèi)容就是“5×8小時(shí)服務(wù)、隨機(jī)派人解決問(wèn)題”,而高級(jí)服務(wù)的內(nèi)容則升級(jí)為“7×24小時(shí)服務(wù)、專人提供服務(wù)、盡可能提前預(yù)見風(fēng)險(xiǎn)”。顯然,高級(jí)服務(wù)更能增強(qiáng)企業(yè)的抗風(fēng)險(xiǎn)能力。

所以,如果條件允許,不妨把免費(fèi)的午餐換成精致可口的盛宴吧!

在乎的是價(jià)格

安全服務(wù)聽起來(lái)很專業(yè),解決的都是難題,所以才報(bào)價(jià)不菲。其實(shí)安全產(chǎn)品一樣是可以侃價(jià)的,所以,在采購(gòu)安全服務(wù)時(shí)應(yīng)該把價(jià)格盡可能地壓低。

安全產(chǎn)品一旦研發(fā)出來(lái),其成本會(huì)隨著出貨量的提升而降低。而安全服務(wù)則完全不同,是需要服務(wù)人員真刀真槍地實(shí)戰(zhàn)的,因此,安全服務(wù)絕對(duì)不是零成本,也不會(huì)隨著服務(wù)內(nèi)容的增加就降低了成本。即便對(duì)安全廠商而言,安全服務(wù)的價(jià)格也是比較敏感的。

產(chǎn)品相關(guān)的安全服務(wù)相對(duì)規(guī)范化、流程化,服務(wù)的內(nèi)容和價(jià)格都比較透明。但咨詢類安全服務(wù)則不同,很多服務(wù)內(nèi)容都是屬于定制化的,會(huì)受到安全內(nèi)容以及所服務(wù)的企業(yè)的網(wǎng)絡(luò)現(xiàn)狀、具體應(yīng)用、安全體系情況影響,因此不可能明碼標(biāo)價(jià)。

很多企業(yè)在采購(gòu)安全服務(wù)時(shí),總是在價(jià)格上過(guò)分計(jì)較,但安全服務(wù)的價(jià)格絕對(duì)不是越低越好。因?yàn)榘踩?wù)的成本是實(shí)實(shí)在在的,如果過(guò)分壓低價(jià)格,安全服務(wù)的品質(zhì)勢(shì)必會(huì)大大降低,企業(yè)勢(shì)必會(huì)得不償失。

綜上,用戶對(duì)安全服務(wù)的認(rèn)識(shí)的確存在很多的誤區(qū),其最大的誤區(qū)還不是采購(gòu)習(xí)慣,而是沒(méi)有真正理解安全服務(wù)的真正價(jià)值。