白癜风怎么能治好 https://m-mip.39.net/nk/mipso_4786871.html

扫码订阅《中国信息安全》杂志

权威刊物重要平台关键渠道

邮发代号2-

安全服务已成产业风口

随着近年来网络安全法、等级保护2.0等法律法规的出台，网络安全领域监管力度不断加强，关键信息基础设施保护检查力度不断加大，实网攻防演练渐成常态，我国的网络安全投入在整体IT投入中的占比快速提高。其中，安全服务作为产业发展的新趋势，价值不断体现，成为企业业务构成中不可或缺的一部分。智研咨询发布的《-年中国网络信息安全行业市场竞争现状及投资方向研究报告》显示，从安全硬件、软件、服务的分类来看，在欧美市场安全服务化理念被普遍接受，年安全服务支出规模占比第一，占比达到64%。报告还指出，我国安全服务市场近年保持高速增长，年安全服务市场规模将达到.5亿元，未来三年复合增长率为39%，市场占比将逐步提升，年安全服务占网络安全市场结构占比有望达到20%。年9月，工信部《关于促进网络安全产业发展的指导意见（征求意见稿）》指出“创新网络安全服务模式，提升网络安全专业化服务水平，实现产业发展逐步由产品主导向服务主导转变”，倡导“安全即服务”的理念，为我国网络安全服务发展奠定了政策基调。面对日益复杂的网络安全新场景、新应用，用户愈加需要更加全面的综合服务能力，以及变被动防御为主动安全。显然，网路安全服务已成安全产业发展的风口，前景一片大好。

缺乏管控，成为安全服务发展瓶颈

永信至诚高级副总裁李炜认为，网络安全服务既有方向也有挑战。在政策引导和市场刚需之下，网络安全服务能力已成为各安全厂商、安全集成商的必备能力，成为行业发展的重要方向。一方面，安全服务中的渗透测试、众测服务因为能直接帮用户发现系统中的安全问题，以及用户普遍缺乏高级网络安全人才队伍，被用户广泛接受。另一方面，疫情也催生了远程网络安全服务的发展。但安全服务难以管控，服务效果难以量化，价值难以体现的问题也日益突出，这些将成为网络安全服务发展的最大制约。对此，李炜提出，这些问题，仅仅靠最后第三方提供的服务报告里难以回答，安全服务过程中的行为监测、效果评估成为了被忽视的地方。网络安全服务不可控因素主要在哪里？李炜指出，网络安全服务专业性很强，主要是依靠人和专业的工具来操作，但过去多年来政企机构对于安全服务本身的监管几乎为0。首先安全服务都具有一定的风险性，如何来确定服务过程中的人、工具的可信可控是一个挑战，安全服务的宗旨是提前发现问题，修补问题，但如果这个环节出现问题，轻则影响业务系统的运行，重则形成新的风险点，不亚于“引狼入室”。安全服务团队的人员水平参差不齐、人员流动频繁、操作的合规性、行为的可控性缺乏有效的监控都可能造成以上问题。其次是安全服务的成果、效果和价值很难有一个明确的评估。这就会造成偏离安全服务预期的效果，出现“日常检测没问题，实战演习都是洞”这样的怪象。最后是服务难以形成连续性。安全服务团队替换，运营单位人员调整，都会导致无法衔接前期服务的内容和信息，导致信息断档，留下安全隐患。

“春秋云服”让安全服务“可管可控”

“安全服务不应该是‘黑盒子’，政企机构在不断构建和完善企业的网络安全管理中心的同时还缺少一个以安全服务管控为目的的第二中心，用以规范第三方渗透测试人员的行为，以及对攻防演练过程中所有安服行为进行全面量化。”李炜表示。近期，永信至诚结合多年来在安全服务领域的实践经验，基于春秋云平台打造出了“春秋云服”高能效安服管控平台。春秋云服致力于解决上述安全服务中的种种问题，让安全服务不仅能“可管可控”，还能客观评估服务效果，落实服务预期目标。

据介绍，春秋云是永信至诚自主研发的专有云平台，具备先进的资源管理、调配和工程化运营服务能力。在云平台优势的基础上，春秋云服安服管控平台可为安全服务过程中的业主单位、成果评判、安服人员等分别提供流程化、标准化和可视化的统一操作和行为管控。

李炜表示，“春秋云服”高能效安服管控平台是针对用户在安全服务方面的强烈诉求，本着将安全服务标准化、去风险化、为用户沉淀更多价值的宗旨诞生的，希望能建设一个专业的安服平台，以支撑政企客户对网络安全服务实现精细化、集约化、扁平化。“春秋云服”如何实现精细化、集约化、扁平化？李炜对此做了详细说明。首先是精细化。传统的安全服务太粗放，过程基本没有管控，例如常用的众测，有人就会以白帽子的名义去挖掘漏洞，但他一边提交给漏洞平台以收取奖励，一边就可能转手卖给黑灰产。造成这个现象的主要原因就是用户没有对众测以及挖漏洞的过程进行管控，不知道众测人员是否挖出了漏洞，是否全都提交给了平台。所以，安全服务的过程必须通过平台，精细化地管控各类风险。其次是集约化。网络安全服务不是一个常态化行为，有一定的频次，并不是每次安全服务，用户都能掌握到全面的、具体的情况。安全服务风险管控的核心在于得“可知”，通过集约化，可以让用户在安全服务过程中，从上到下，在不同的分支同时开展安全服务的过程中，以统一的视角看到安全服务过程中的所有问题，并把这些数据集约统筹到总部，支撑风险管控的要求和目标。最后是扁平化。太多的层级已经不适合今天用户的效率需求，平台通过全流程全要素管控，为重要行业单位建立一个管控、响应一站式的扁平化的响应对接流程。

体现安全服务价值

李炜介绍，“春秋云服”高能效安服管控平台包含了安全服务的各种类型，如检测类服务、评估类服务、访谈调研类等，都可以在平台中去实现。安全服务常常都是“灯下黑”，安服管控平台会聚焦安全服务在事前、事中、事后三个阶段的人员、过程、成果这几大风险要素，做到安全服务过程的全程、立体监控。同时，服务效果展示是春秋云服安服管控平台的另一大特色。李炜介绍，平台采用多层次多维度的检测效果评估模型，可以直观的向政企机构展示检测成果，这种分层检测效果评估指标体系实现了对信息探测、入侵控制等10余类网络检测进行定性与定量相结合的效果评估。针对单一类型或复合类型的检测，还可依据规则由安全专家进行定向的多维度评估，提高检测效果的准确性。

最后，春秋云服安服管控平台在分布式网络环境中还部署并整合了多种安全设备与技术，可为政企机构提供完整的云端安全服务。例如通过整合网络带宽资源，可为政企机构提供IP代理池等联网接入功能；通过整合VPN、防火墙、安全审计、入侵检测、APT监测等产品和技术，可满足政企机构安全接入、风险管控等要求；该服务还提供了可用性监测、基于攻防规则的异常监测、VPN接入等功能；同时，在专业白帽资源，运维保障、综合评估、过程推演等服务运营及安全接口、数据共享等数据分析方面，平台可为政企机构提供全面的云上安全服务。

安服管控平台不单是对服务的整个过程进行管理，其实更