在互联网时代，信息高速流动，信息成为企业的最重要的资产之一，因此信息安全被广泛重视。根据BS7799，信息安全就是保证信息的完整性、可靠性、可用性，这三种 性能的程度是建立在企业或政府对于信息安全的需求情况，这种需求能够通过风险和相关分析得到，从某种角度上讲，信息安全就是在可以管理的水平上对信息活动确立一种合适风险的技术、管理手段。 　　信息安全的解决方式也有多种，可以请专业公司，也可以由自己公司的IT部门完成。随着信息安全的专业化发展和复杂程度提供，信息安全的技术门槛也提高了，更由于信息安全是个动态的过程，不可能一步到位，因此基于成本考虑和技术先进性考虑，信息安全外包成为一种趋势，信息安全服务是信息安全外包的一项最重要内容也被市场所接受。 　　信息安全外包本身又增加了信息的另外一个不安全因素：服务厂商。因此如何选择合适的信息安全服务厂商成为广大企业、政府的问题。 　　信息安全服务的内涵 　　总的来说信息安全服务就是适应整个安全管理的需要，为企业、政府提供全面或部分信息安全解决方案的服务。信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施，因此，在选择信息安全服务的时候，应准确把握所需要的服务层次和内容。具体来说，广义的信息安全服务包含以下几个方面： 　　信息安全咨询和信息安全策略服务 　　建立在价值基础的信息安全体系的建立就是安全的第一位和最重要的任务，因此，安全咨询和安全策略服务就是安全服务一项重要内容。 　　安全策略和安全实践对于企业的作用是不一样的，在进行安全服务之前，需要明确企业价值、预测安全风险、选择安全标准、制定安全策略、安排安全规划、安全产品选型等，这些方面，与技术密切相关，但不属于技术范畴，需要安全咨询和安全策略服务进行明确。 　　安全监控和安全审计服务 　　随着观念的普及，对于很多实践层面的要求来说，许多企业已经接受了预防的观念，也就是：系统的安全程度和安全状态如何，安全监控和安全审计包括系统的安全状态、安全漏洞、安全建议的报告内容。 　　安全响应和安全产品支持服务 　　安全响应和安全产品支持服务就是我们通常所说的狭义的安全服务内容，包括防病毒、防火墙、入侵检测、VPN等产品的支持服务和威胁的响应和消除。 　　对信息安全服务商的基本要求 　　信息安全的特点决定了对信息安全服务商有较高的要求，我们将之分为管理要求、技术要求和高级要求，其中管理原则和技术原则主要基于实践应急反应层面，高级要求主要针对安全管理、安全策略和发展层面。 　　管理要求 　　A、信息安全要求建立一个24小时不间断反应。 　　B、能够建立一个针对不同攻击的正确行动方案。 　　C、能够保证及时、快速反应系统。 　　D、能够提供规范和详细的对自身和对客户培训体系。 　　E、贴近被服务体系和对客户零干扰目标。 　　技术要求 　　A、拥有一定的监控技术，能够方便、简单、易操作地安装到所有接入设备和系统中。 　　B、监控设备不会影响和干扰已有的安全设备和软件的正常使用性能，并且不会引入新的安全隐患。 　　C、监控设备应当具有升级能力，并且能够进行方便的升级。 　　D、具有监控数据分析与处理技术。 　　E、具有知识库或专家库支持应急事件决策技术。 　　F、具有系统容灾与恢复的技术。 　　高级要求 　　G、先进原则：全面掌握和紧跟国际先进的信息安全管理和技术并有一套体系贯彻到服务系统中。 　　H、全面原则：掌握了全国的国内信息安全的标准和政策并有足够力度体现到服务体系中。 　　I、高手原则：有掌握最新的信息安全实践技术和防范技术，遇到特发情况能够解决问题的高手或专家存在。 　　J、团队原则：团队有明确分工和侧重点，基本人员全部掌握一般的服务方法和解决普遍性问题。 　　怎样选择信息安全服务 　　对于一个企业或政府，如何通过基本的表现来选择信息安全服务商呢？我总结了几条简单的法则如下： 　　他们是否是一群可信的和训练有素的职业人； 　　他们是否对业务系统、信息系统、安全系统有一个正确的合成体系的认识以保证所提供的服务是建立在客户价值基础上； 　　他们是否有足够的资质和历史并能够存活较长时间； 　　他们是否能够保证他们自己内部信息安全的可靠性； 　　他们是否能够成体系的培训员工的技术和管理的进步步伐； 　　他们能否建立他们自己的信息安全策略； 　　他们是否内部有高手、外部有专家并能够与国际先进信息安全管理和技术保持信息基本同步； 　　他们是否有成功案例和报价是否盈利； 　　他们选择产品是否中立与合作厂商是否相处良好。 　　国内企业选择信息安全服务应该注意的几条原则 　　国内信息安全服务有自己的一些特点，比如，信息安全服务基于技术层面的比较多，但信息安全管理和策略的问题又比较大，再比如，还原论思路比较明显，系统的安全保障概念还没有深入，还比如信息系统、业务系统、安全系统分割严重，没有形成一套体系等等，因此，对于现阶段国内信息安全服务商的选择，应该着重考考察以下几点： 　　理论高度：该公司是否具有对信息系统、业务系统、安全系统的一个正确评价和与之相关的对国外相关理论、标准、体系、管理等方面的最新的知识。这一点是保证信息安全服务先进性和全面性和系统性的前提。 　　实践深度：能否真正的解决疑难问题，是否有高手，是否有外在的专家和顾问以保证疑难问题的解决，是否有一套标准的服务、响应、测试程序或软件。 　　工作态度：该公司是否能够保守自己和相关公司的秘密，是否能够24小时和尽快对故障采取措施。 　　知识宽度：该公司不仅仅应对病毒、防火墙、VPN、入侵检测、加密等产品的技术层面能够提供响应、监控和以及与厂商有良好关系，还能够对安全漏洞、安全隐患和安全状态作出专业报告，更应该对安全策略、安全管理、安全投资提供一体化的建议。 　　资质的可信度：信息安全国家有关部门包括公安部、信息办、机要局、保密局、信息安全测评中心等部门都有专业资质要求，相对与安全服务企业也有资质要求，安全是一个多部门管理的行业，因此在选择信息安全服务企业时应该搞清楚对方有没有服务资质、资质的范围如何。除了资质，还要看这家公司是否有成功的案例。 　　网络安全是复杂的。用户所拥有的网络保护与所需要的网络保护间存在着明显差距，而他们渴望的是简化的、专业的网络安全。 　　如果用户把过多的时间花在了安全软件与硬件的集成以及安全应用上，而造成用于网络规划、实施与日常维护的时间却相对过少，就会危及到网络的实际安全与可靠性。如果此外，用户还要自己去时时关注安全漏洞的打补丁及版本升级工作的话，那么他们的网络安全系统将会变得更为复杂。 　　网络安全力求简单 　　简单应该是任何网络解决方案的目标，网络安全应该力求简单。只有系统不大复杂、使用方便，才算得上真正取得成功，如果要保护公司关键任务的信息就更是如此。 　　以专用设备简化网络安全： 　　降低网络安全复杂性的最简便的方法之一，就是部署安全设备，集成设备具有保护网络安全所需的所有特性，包括防火墙、VPN和入侵检测。为了满足易于部署、远程管理、自动更新及技术支持等要求，集成设备还预先进行配置和测试。 　　部署基于设备模型的解决方案提供了诸多好处，如身份定制、性能提高、综合管理及支持队伍。 　　身份定制 　　可为每个设备配置不同的授权密匙，从而获得防火墙、VPN、入侵检测设备或防病毒设备的功能。这些核心功能组成了任何安全网络环境的基础。 　　性能 　　为提供最大程度的性能与安全，操作系统应该与硬件密切结合，结果就是平台和操作系统的性能得到了优化。最重要的是，所运行的网络安全应用软件的性能也得到了优化。 　　管理 　　安全软件管理是维护可信网络环境所不可或缺的组成部分，如果缺少安全网络管理，就无法获得真正的网络安全。人为差错及缺乏足够的网络管理能力是网络停机及漏洞暴露的主要因素，而为网络配置有效的管理工具，将有助于简化网络环境维护，同时确保网络安全。 　　有效工具降低管理复杂性： 　　如何安全的更新远地网络、维持远地运行、确保软件更新不会引起任何问题？ 　　应用软件管理解决方案就能起到作用。有效的管理工具不是费时费力地为每台机器逐个进行手工更新，而是同时更新所有设备，或者把网络分成多个区，为不同设备添加特定级别的软件。借助于“无危害”的安全策略，这种软件解决方案就能确保远地不会因安装软件有误而停止运行。 　　厂商服务与支持： 　　网络安全解决方案很复杂。应寻求值得信赖的老牌厂商提供的集成最佳应用软件和安全增强型平台的解决方案。 　　对于核心应用系统和关键环节，必须确保在各类实施方案中的技术自主性；对于位于核心层外部，但又与其他外部信息系统（如国际互联网）存在一定可监控的隔绝层的层次，可以尽量采用先进技术以提高系统的效率和可靠性；对于直接与外部信息系统相连的部分，也要针对不同情况分别加以考虑，对于其中安全监控系统，需要在其中的核心部分（如核心加密算法）确保技术自主；其余部分，由于所承载的信息基本都属于非关键信息，并且需要与其他信息系统的接口保持通信协议、数据格式甚至软件体系的一致性，安全问题相对较小。 　　所以，安全服务应用领域中经常会涉及国家机密或国家安全，这类应用最好由国内企业去做，而不应该交给国外企业去做，此领域很多需求非常具有中国特色，如红头文件制度，国外技术和产品很难与之相适应。由于行政事务流程基本上没有标准化，个性化的服务要求很高，需求变动也很频繁，国外技术和产品拿来就能用的可能性不大，国内企业更容易贴近用户，发挥优势；即使有国外的先进技术产品进入此应用领域，他们也需要借助国内企业完成本地化工作并提供本地服务。