隨著信息化的不斷發展，信息安全工作的整體態勢也正在日新月異的變化，隨著技術的不斷進步，信息安全也不斷的發展出受制于技術積累的細分領域，從而對各級信息安全工作人員提出了更高的需求。

　　一、信息安全工作現狀的痛點

　　在大多數企業中，受制于資金、環境、人員等條件，信息安全工作均依賴于專業廠商提供的產品與服務。在此前提下，信息安全工作的現狀便產生了許多亟待解決的問題。

　　（一）非大規模企業，無法配備專業專職信息安全管理人員。

　　在不以互聯網為主要業務平臺的各企業中，往往只會配備較少的信息化管理人員，而幾乎不會配備專業專職的信息安全管理人員。這不僅僅是業務重心的問題，企業的性質也決定了這樣的資源配比，顯然為了喝自來水自己建一個水廠并不必要。但是隨之而來的問題也很明顯，不具備信息安全知識背景或僅具備初級信息安全知識的人員，無法準確的把握信息安全技術的變化，無法及時準確掌握政策、法律法規、標準變化帶來的管理標準變化，導致企業的安全工作往往只能流于表面，無法應對真正的安全風險。

　　（二）安全廠商提供產品較多，提供管理與服務較少。

　　近年來，信息安全產業發展較快，專業的安全廠商也得到了長足的發展，但安全廠商的盈利點還是以設備銷售為主，設備的管理與使用，還是要依托于用戶的信息安全管理人員。俗話說，信息安全工作是三分技術七分管理，廠商協助安裝了再多的設備，設備的功能再多樣，也無法代替不夠專業的管理人員，往往導致設備無法起到應有的作用。

　　（三）安全產品品牌、類別較多，實現安全管理十分復雜。

　　在設備的更新換代中，想要確保單一的廠商是很困難的一件事，在各級設備交叉管理的領域，遇到設備策略重配、整體策略調整時，需要的操作繁多，效率低下。如定義了用戶組的設備中，遇到用戶權限、部門變更時，需要對所有設備所有的策略進行更新；又比如定義一條全局策略時，需要在所有設備上進行配置，確保其行之有效。

　　（四）特性化、有針對性的安全策略無法實現。

　　當信息安全突然爆發較大風險時如出現高危病毒、高危漏洞、黑客攻擊、政策變更時，安全設備若無法及時更新數據庫、補丁，依托于設備的安全管理就無法起效。

　　二、問題的解決思路

　　將用戶的安全需求建立標準模型，讓安全廠商更加了解用戶，依托于模型中的標準參數提供更加有效的服務，降低對用戶知識的需求。

　　（一）標準安全需求調研問卷確認需求

　　在安全服務協定簽訂前，安全廠商可依托于過往經驗，對用戶的信息安全需求進行詳盡分析，主要包括用戶網絡構成、用戶安全目標、重點防護區域、風險控制水平等，由售前工程師依照標準的模板，以用戶較容易理解的方式進行售前溝通，確認用戶的需求。

　　（二）以確保結果為導向的安全整體服務承諾

　　將整體信息安全保障服務，細化為對整體安全的保障。大多數時間，用戶對信息安全的技術細節是模糊的，但對信息安全工作的整體目標是明確的，即確保各信息化設備、系統的無故障運行，能應對信息化系統運行時面臨的各種風險。在此前提下，購買的設備、服務，制定的方針、制度、規章，實踐的管理、制定的策略，統統是實現目標的手段。若信息安全廠商無法提供確保目標實現的整體服務承諾，必然會將壓力轉嫁到用戶頭上，進而產生對產品的不信任感。

　　（三）應對新技術、新文件要求、個性化需求的靈活安全策略

　　在簽訂了整體安全服務合同后，信息安全廠商需要根據用戶的需求，在各重要環節布置必要的設備，配置合理的策略，同時協助用戶進行管理制度的修訂，控制關鍵的審批環節。當有變更發生時，可以靈活的進行設備替換、有專業人員進行策略的變更，第一時間進行整體調整，確保實施的整體效率。

　　（四）滲透入日常監管、控制的安全管理

　　對于信息安全專業人員十分匱乏的用戶，安全廠商可以選擇派駐駐點人員的方式，將日常安全審計、安全監管、安全控制的工作接管，通過定期提供管理報告的方式，向用戶提供精確嚴格、確保結果的專業日常管理

　　（五）以風險評級為依據的模塊化服務

　　安全服務可以做細，也可以在要求不那么高的地方降低標準。通過對于用戶的整體需求、現狀的分析，給予用戶模塊化的服務選項，由用戶參照實際需求選擇服務模塊，體現出價格與需求的最明確關聯，提升整體安全服務的性價比。

　　（六）協助用戶建立對于人力和知識要求最低的管理方法

　　通過建立標準的安全服務模型，用戶可以對自身信息安全管理實現更深入的了解。不依托于大量的具體管理方式和大量的安全知識學習，用戶也可以對信息安全進行準確的把握與調整。通過將信息安全中最依賴于技術與經驗的設備選型、策略配備、制度管控、風險評估、應急處置等打包起來由專業人員來提供，從而給予用戶最佳的信息安全保障。

　　三、信息安全服務模型帶來的改變

　　（一）模塊化服務直接連接問題與結果

　　通過建立信息安全的服務模型，用戶面對的問題不再是“我應該選用哪款設備、配置什么策略來解決我這個需求”，而是“我應該如何向我的服務商提清楚我的需求”，看到的結果是很直觀的“問題已解決”或“問題未解決”，將問題與結果用最直觀的方式展現，解決用戶的實際需求。

　　（二）不再以產品銷售為贏利點的信息安全生態

　　信息安全的現狀的商業生態，大部分依托于產品銷售及售后服務帶來的利潤，這樣就會對用戶產生很大的困擾，不知道廠商更換設備究竟是出于賺錢的目的還是出于解決實際問題。通過整體的服務模型建設，可以將廠商與用戶的目的趨向于一致，將每年的安全支出控制在一個合理的值，得到性價比最高的安全服務。

　　（三）更加可信的安全保障

　　信息安全廠商對于用戶更加了解的前提下，可以專心的對用戶的需求進行剖析，迅速找到癥結與應對手段，安全保障能力不再局限于設備，使得信息安全更加可信。

　　結論

　　在信息安全技術層出不窮，不斷推陳出新時，作為安全產品與服務的用戶，一方面需要進行必要的安全技術學習，但另一方面更需要剖析自身需求，找準自身痛點，將自身從信息安全工作中解放出來。在社會分工日趨精確明細的大環境下，找專業的人做專業的事，向專業的商家買專業的服務，成為了最有效的解決方案。找對痛點，找準癥結，明確需求，在信息安全工作領域取得進一步的提高，才能應對好日后更加復雜的信息安全環境，保障信息化業務的順利運行。