一个网络安全老兵眼中的网络信息安全服务企业(信息系统运行维护方案,关键词优化)

戊戌年正月初七上班第一天，看到一则关于杭州知名餐饮企业—“知味观”在春节期间日营业额达200多万元，真是吓了一跳。吓到笔者的是可不是一天售出3000多块东坡肉和1000多条西湖醋鱼，而是大致估算了一下知味观的年营业额足以抵得上一个中大型的提供全国性网络安全产品和服务的企业。这就更加让笔者相信餐饮行业中一个小龙虾的市场容量可以与整个中国的网络安全行业市场相当的段子。网络安全行业是一个非常小众的行业，那么网络安全行业中网络信息安全服务这个分支又是一个怎么样的情况呢？

网络安全定义

我们先看一下最新最权威的网络安全定义：是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。（引自年6月1日生效的《中中华人民共和国网络安全法》）。回想当年，号称做信息安全的人认为做网络安全的人很Low。如今不一样了，网络安全（Cyber security）有了重新的定义，范畴包括了数据、系统、网络空间，成为一个国家的立国之本，是与国家海、陆、空、天等同等重要的国家主权领域。个人认为：安全的内涵由最初的数据的信息安全，过渡到信息系统安全，目前已演进为面向网络空间的网络安全，如下图所示。

再来看看什么是网络信息安全服务（以下简称“安全服务”）。安全服务是由供应商、组织机构和人员所执行的一个安全过程和任务，安全服务也指适应整个安全管理的需要，为企业、政府提供全面或部分信息安全解决方案的服务。安全服务是安全控制的综合，可以划分为关注于程序与风险的管理的安全管理类服务、关注于由人员来实施并实现安全控制措施的安全运行类服务和关注于具体安全控制措施的安全技术类服务。平时我们常说的风险评估、咨询规划、安全审计、策略优化、应急处理、渗透测试、技术培训等都属于安全服务范畴，对应到信息系统的全生命周期中，安全服务的 “最佳实践”可用下图来说明。

安全服务企业现状

据相关统计，年国内网络安全市场容量400亿人民币，根据笔者从业经验估计安全服务占整个网络安全市场约10%-15%。目前，网络安全行业国内有14家上市公司，年Q3营业收入总计116.4亿元，同比增长37.2%，。营业收入增长率中位数为25.3%。年上市的网络安全公司3家，其中通过IPO方式上市有2家，分别为格尔软件和中孚信息。360通过与上市公司江南嘉捷进行资产重组方式登陆A股。今年国内网络安全公司披露的投融资总额达到11亿元，相比上一年同期下降，上一年同期披露的投融资总额为15亿元。

网络与信息安全会与大数据、云计算、物联网、人工智能、移动应用等领域同步发展，国家对网络安全的法规制度也会逐步完善。网络安全工作本身是一个过程，它的本质是风险的管理，因为信息安全风险永远存在，信息安全产品不能解决所有的问题，所以信息安全服务已经成为信息安全工作的核心内容。在关注业务安全的大背景下，从立体层面针对客户业务系统进行管理、技术、应用系统三方面的评估、咨询，可以帮助客户全面认知自身风险，为客户提供更完善更有针对性的安全解决方案。

目前，安全服务的政策环境和市场环境还处于“初级阶段”，相对信息化工程的总投入，信息安全的投入无论是建设阶段还是运维阶段，其占比与其重要性是不相匹配的。网络安全在用户领导的眼里可能是：说起来重要，做起来次要，忙起来不要。如果把网络安全服务当作一个产品的话，当前用户对安全服务的结果如同雾里看花，大到几千万，小到几千元的服务项目，在用户看来的只是投入的人多少不同，工作的时间长短不同，对最后的交付可能都认为相同，有可能认为没有什么作用。

现在安全服务力量主要有这么几类：主流的安全产品与服务提供商、大型的互联网公司与企业自建安全团队、专注于某一行业做定制化服务的公司与机构、还有就是规模不大专注于做安全服务与集成类公司。

安全服务企业的困惑

目前，安全服务商提供的安全服务和价值有待用户的认可，换句话说，安全服务还没有被用户从“收费”层面接受。在这种情况下，纯粹依靠安全服务暂时还不能产生如安全产品那样高的收入。多数安全产品厂商中安全服务部门基本上是为产品销售做助攻的，专业的安全服务型公司发展缓慢。

相对于产品技术而言，服务通常会占有更多的本地化优势，因此，安全服务市场最近已经成为众多安全企业的弦上之箭。笔者从业以来一直在安全服务提供商中从事安全服务工作，对于安全服务商碰到的问题可以概括为：行业内恶性竞争、项目范围不明确且变化快、项目进度难控制、实施人员流动快、项目实施所需资源易冲突。

1) 行业内恶性竞争

恶性竞争在每个行业里都是存在的，在安全服务行业中笔者认为恶性竞争是困扰日常工作最大的一个问题。究其原因也无关对错，企业生存是第一需求，这里只能用一声叹息，此处省略200字……如果站得更高一点，可以说是安全服务企业的格局视野不够大。安全市场的竞争中安全服务公司的敌人应该是黑产、灰产和威胁国家安全的敌对势力，这些才是终极的敌人。

2) 项目范围不明确

因安全服务是一个新生事务，大多数信息安全服务项目需求的发起单位自身对信息安全领域涉足不多、理解不深，很少有专业的技术人员提出明确的项目范围需求。在项目的实施过程中，项目范围随甲方意愿、用户需求、外部条件、时间因素等影响而变，往往最终交付的成果与项目起初的需求描述存在较大的差异，常常出现因范围变更导致整体的项目实施成本增加、实施周期变长、有的甚至因甲乙双方对项目范围变更达不成一致而导致项目验收困难。

安全服务项目实施范围在服务商和客户双方的衡量尺度在多数项目中是不一致的。在实际的项目管理当中，客户由于缺乏专业的信息安全知识，一般只能根据自己的业务需要提出一个模糊的项目范围。服务提供商根据客户提出的模糊范围提出一个框架性的条目。在保证满足业务的需要和项目质量，同时控制项目实施成本不因范围变更而失控方面上，项目双方往往无法达成一致。

3) 项目进度难控制

在安全服务项目中，大多数的工作是知识性的工作，进度计划可能是对项目可交付成果唯一的可视化的形象表述，团队可以用它来管理和追踪项目。但这又是一大难题。

安全服务项目的实施计划随项目实施变化频繁，项目进度控制缺少有效手段。影响因素主要包括：用户的客观因素，如用户信息系统运行维护计划变更或上级主管、监管机构临时提出新的要求或规范；用户主观因素，如用户对信息安全专业的理解随安全服务项目的实施逐渐清晰后提出范围与需求的变更；信息系统相关的第三方运维、开发厂商的因素影响；特殊时期保障要求影响，如国庆、两会、大型国内国际会议的召开、敌对势发动攻击等；多项目实施过程中关键路径上的资源冲突；实施过程中项目干系人沟通不畅等众多因素。

4) 安全服务人员流动快

安全服务是一个人才密集型的服务行业，人员流动率高是影响信息安全服务项目实施进度与质量的重要原因。安全服务项目实施的主力成员以1-3年工作经验的人员为主，此类人员正处于个人职业规 划动荡的不稳定期，加之“互联网+”大潮的影响，整个行业比较浮燥，没有一定的职业规划与定力无法抵挡外界的诱惑。另一方面信息安全服务项目的项目经理一般是3-5年工作经验的人员为主，此类人员经过一定时期的积累对信息安全行业有一定认识并形成了自己的人脉关系圈，往往有自行或合伙创业的冲动抑或是被行

业猎头公司的追捧而跳槽。

除个人原因外，国内的信息安全服务企业或其信息安全服务部门成立的时间一般都不长，多数还处在企业的发展初期，还存在着许多的管理问题。主要原因主要表现在：没有成熟的企业文化、缺乏充分的人员沟通、上下级关系等几个方面。企业文化是一个企业的“精神之魂”，企业文化被员工视为判断行为的 准则，它的影响力是巨大的。企业文化对流失的影响是渗透性的、复杂的，又是不可忽略的。发展初期的企业一般都只有规章制度、没有形成自己的企业文化，员工

没有归属感、没有企业主人的责任感，没有难以割舍的感情纽带。因而比较容易产生离职的想法。

其次，员工之间的沟通少。由于平时的沟通少，所以员工反映“感觉不到公司的气氛”；员工和直接上司之间的沟通是非常重要的，相互之间不沟通，就没有办法相互了解，会影响到其它方面；同时，管理高层和基层员工的沟通也是很重要的。管理高层往往站在战略的角度看公司的发展，提出的方针具有前瞻性。但是基层员工多数看的是现在怎么样。公司的沟通中往往是中层知道高层做什么，但是基层的人员就不了解了，有的不理解高层的做法，对企业的前景不看好。

最后是认同感不够，职业发展的道路不畅。员工没有感到被管理层是重视。例如有的骨干员工流失了，管理层没有什么表示，员工会觉得自己在管理层的眼中是无关 紧要的；反馈度不够，员工感到自己的努力没有得到承认，看不到自己努力的结果；角色匹配的问题。员工觉得自己的能力很强了，但是自己的角色又用不到这种能

力。由于公司相关的职位有限，每个人的发展空间是有限的；由于工作压力大，有时虽然有培训的机会，但也不得不放弃，这使得员工在很长时间感觉不到发展。

5) 内部资源易冲突

对于一个安全服务提供商，其全服务的团队人员数量是固定的，经常因为内部资源的冲突导致信息安全服务项目实施质量、进度、成本与原计划有较大的出 入。比如在信息安全服务项目实施过程中经常出现因为特殊时期（国庆、两会、大型国内国际会议的召开、敌对势发动攻击、信息系统应急故障启动应急预案）的信息安全保障需求导致突发性申请公司内部资源；因公司承接多个同类型的项目并且在关键路径上的同时需要实施导致并发性申请资源（人员、工具）的现象出现。

安全服务企业展望

要解决安全服务行业恶性竞争问题，需要政府、安全厂商、安全服务商及整个产业链各方共同协同联动，是一个长期共同构建完整的产业格局与良好的行业氛围的过程。安全服务公司需结合实际情况，制订一套适用于公司的项目管理机制，有效地明确了项目管理流程与相关人员责权，从项目启动、计划、执行、控制、结尾五大环节对时间管理、成本管理、进度管理、范围管理、沟通管理、风险管理、质量管理、采购管理、人力管理等进行规范化管理。

针对安全服务企业对于安全服务项目实施过程的问题，笔者认为安全服务项目主要分为短期或单次实施和中长期分步实施两类。短期或单次项目中甲方直接雇用具有经验的服务提供商参与到建设或运维实施过程中，这类项目一般以较明确的服务需求为前提，如重要时期的安全保障服务、应急响应服务、信息安全技术培训服务等。另一类是中长期分步实施，这是一种传统的工程项目管理模式。这里就需在将项目管理的理论应用于安全服务项目管理实践中。充分从基础理论出发结合项目的实际情况进行灵活变通的应用，制定和采取具体的措施来控制项目的进度，不能生搬硬套，毕竟项目管理理论是高度总结和抽象化的东西，不是万能公式。要做好安全服务项目管理一定要站在项目整体的角度去考虑问题，项目管理是一个整体的系统工程，各个领域和方面都是相辅相成的，不能独立存在，需要相互协调与配合。有效的范围管理、沟通管理、人力资源管理、项目集管理能缓解各种主观与客观因素对项目进度管理的影响。

要解决资源冲突的问题，除应用常规的加班、并行实施、外包等手段外，还需要根据每个公司的实际情况，建立一套资源冲突解决机制，来应对项目实施过程的资源冲突问题。

要解决安全服务过程中人员流动快的问题，除了在项目计划制订阶段充分考虑人员变更的风险因素外，还需要从公司管理层面出发，配合公司文化建设、职业规划、人员晋升通道建设等多方面进行有效补充。

上述几大问题的解决也是安全服务企业运营工作的重要内容。笔者认为未来会出现一批安全托管服务提供商（MSSP，Managed Security Service Provider），同时这些企业有可能会以合伙人制进行运营。可理解为这类MSSP企业只是提供一个平台，类似律师事务所，安全服务团队以小团体或个人加盟，以阿米巴的模式经营。阿米巴经营就是以各个阿米巴的领导为核心，让其自行制定各自的计划，并依靠全体成员的智慧和努力来完成目标，通过这样一种做法，让第一线的每一位员工都能成为主角，主动参与经营，进而实现“全员参与经营”，让每位员工像老板一样关注利润。其实现在国内很多安全服务商也是部分采用了这种运营模式只是没有放到台面上讲。