|
您现在的位置是:
IT外包 ->IT服务 ->IT外包 ->
|
|
|
|
重估安全服务外包
|
作者:
ccw
| 发布时间:
2008-05-02 23:41
| 信息类别:
IT外包
| 访问人次:
次 |
|
|
|
|
|
e-cop是一家专业从事安全服务外包的新加坡公司,主要专注于MSS(Managed Security Services)业务。自2000年成立以来,他们先后在新加坡和马来西亚市场取得了骄
人的业绩。该公司区域副总裁徐为群介绍:“目前就MSS业务来说,e-cop已占据新加坡90%以上的市场份额,马来西亚75%以上的市场份额!”
但从2006年6月6日正式进入中国以来,e-cop高速扩张的步伐却停了下来。这和徐为群最初的想法有些不同。一直以来,他都认为中国安全服务外包市场是块大蛋糕,以e-cop在国外的成功经验,必能在中国市场有所斩获,而事实显然并非如此。
尚未成型的市场
e-cop在中国市场遭遇的难题或许不是因为刚进入中国的水土不服,而是由于中国安全外包市场本身的不成熟,至少是没有达到徐为群所期望达到的成熟程度。
先讲一个有意思的小插曲,在记者就“安全服务外包”这个专题采访国内几家从事安全服务的厂商时,大多数人的第一反应都是反问,“我能不能先知道你所说的安全服务外包具体是指什么?”连安全服务外包厂商本身都没能达成共识,准确定义“安全服务外包”,这似乎从某种程度上说明了我国安全服务外包市场的不规范。
那到底什么是安全服务外包呢?启明星辰公司副总裁兼CTO刘恒博士认为:“仅从概念来看,安全服务外包和其他的外包模式没什么区别,是指用户将自身的信息系统安全的相关工作交给专业的安全服务机构来完成。”
但他同时强调,安全服务外包有其特殊性:首先是因为安全工作需要高度保密,这对企业是一大挑战;其次是这一行业的高技术性,需要专业的安全人员利用专业的工作来操作;最后就是这一行业具有很高的风险,现在信息安全如此重要,一旦发生意外,损失很难估量。这些都使得安全服务外包成了一个比较特殊的行业。
正如大家对“安全服务外包”有着不同的理解一样,目前在国内,可以提供“安全评估、安全加固、渗透测试、实时监控、应急响应”等与安全服务业务有关的公司非常多,但真正做得好的公司却仅有天融信、启明星辰、东软、绿盟科技等几家。
而且,和e-cop公司标榜自己是一家安全服务商不同,这些本土厂商似乎并不看重自己“安全服务商”的身份,他们更愿意强调自己是一家安全产品厂商。究其原因,东软网络安全解决方案部部长曹鹏认为,目前国内的安全服务外包市场尚不成熟,安全服务能为公司带来的实际收入比较有限,在这一领域真正做的好的厂家并不多,“中国用户很奇怪,大家对服务的要求都很苛刻,却很少有人愿意为服务付费!”曹鹏说。
而天融信公司安全服务部经理姜力东却有着不一样的见解。在他看来,国人不愿意为服务付费的情况确实存在,但近几年已经有所好转,从他了解的情况来看,一些高端行业的客户对服务很认同,而且非常愿意为自己的安全付出酬劳。但遗憾的是,我们现有的安全服务商却无法达到客户的要求,“一个好的安全服务提供商至少要能告诉客户,什么样的服务是好的,什么样的服务不达标,但很遗憾,现在我们还没有办法做到这一点!”也正是从这一意义上,姜力东认为,目前,国内真正做得好的安全服务外包厂商不是很少,而是根本没有。
诱人的大蛋糕
即使在中国的推广暂时遇到了困难,徐为群依然非常看好中国安全服务外包市场。他举了个例子,他的一个合作伙伴曾经销售了上千台防火墙给中国的某个保险公司,“你能想象这是一个多么庞大的市场吗?虽然我们在新加坡取得了不错的业绩,可即便是新加坡当地的一个大银行,可能也就只有几十台防火墙。如果这个保险公司能把所有防火墙监控都交给我们来做,那会给我们带来多大的收益?”
事实上,自上世纪90年代末以来,安全服务外包在国外的发展一直比较迅速,尤其是在欧美市场,规模相对已经比较成熟。据美国Yankee集团之前发布的一份报告称,2008年美国大企业在安全领域的外包规模将增至37亿美元,到2010年,美国90%的大企业都会将其安全管理业务外包给专业的服务商。
那么,中国国内市场规模究竟有多大?目前尚没有人做过这方面的统计,各个厂家之间的看法也有很大差别,但普遍的一个看法就是中国现在的市场规模还较小,但增长空间很大。刘恒在综合分析了自己以及同行的实力后做了一个估计。他认为,目前国内的安全服务外包市场可能仅有美国市场的1%,也就是大约几千万美元的规模,但他对这一领域非常有信心。他预测,未来的3~5年,正是国内安全服务外包市场的一个高增长期!
而真正沉下心来做好安全服务的几家厂商也都从中尝到了一点甜头,取得了不小的收获:因为看好安全服务,东软每年都有持续的投入,曹鹏所带领的安全服务团队人员也在不断增加;姜力东虽然对国内安全服务提供商的能力有所怀疑,但他也并不否认,安全服务每年都能给天融信公司带来收益,利润也在逐年增加;而启明星辰更不必说,刘恒介绍,公司业务每年都在翻倍,收入非常可观。
谁最需要外包
选择将安全外包出去的用户有一个很重要的特点,就是“信息安全对他们很重要”。为此,企业经常花大价钱购买各种各样的安全设备。姜力东举了个例子,他的一个客户总共购买了9种不同品牌的安全设备。企业自身的信息安全人员毕竟能力有限,不可能懂这么多,也不可能了解得那么深,而且现在IT行业人才流动很快,如果这个技术人员离职怎么办?于是将安全服务外包给专业的公司也就成了这些企业的理想选择。
但是,和我们通常理解的外包就是为了降低成本不同,几家厂商都认为,“成本并非安全服务外包中的主要考虑因素”。这又是为什么呢?这或许也是安全服务外包有别于其他外包模式的重要原因,因为安全服务外包是个“技术活”!
正因为信息安全很重要,而安全服务要求的技术性又很高,这也促使用户在选择安全服务外包时,不能单纯以降低成本为目的。原因很简单,相比较减少的那一点成本而言,企业的信息安全更重要!如果仅为了降低成本而选择一个不合格的公司,一旦发生风险,企业的损失是无法估计的。比如一家网上银行,万一被黑客入侵,损失将十分巨大。
这些客观原因也决定了,有条件选择外包的公司多是一些信息化工作走在前面,本身实力也比较雄厚的公司,尤以中型企业为多。徐为群解释了其中的原因,大的用户资金实力雄厚,如果信息化对他们非常重要,有可能会考虑购买一些设备,自己来组建信息安全团队;一些规模较小的公司由于资金等限制,对信息安全不会给予很多的重视;而中型企业,则是安全服务外包的最合适用户群。
刘恒对这一行业的用户群进行了进一步划分。在他看来,“目前安全服务外包的用户群以政府和金融为主,这两个用户群又各有特点,其中政府用户主要是一些地方政府,可能具体的业务额不会很大,但用户数量很多;而金融用户可能量不大,但因为金融业所需要的服务比较特殊,收益相对来说也会更高。”
创新性思维解决外包难题
虽然现在看来,安全服务外包中的用户群渐趋明朗,发展前景也非常光明,但安全外包业务也面临着很多的难题,这也是现在这个行业没能大规模发展的原因。
首先是人才问题。几家厂商普遍认为,安全服务外包的专业人才非常缺乏。在安全服务外包过程中,人的因素非常重要。曹鹏认为,这一行业的特殊性,要求安全工程师必须具备很好的沟通能力,可以和客户很好的交流。他甚至认为,从某种程度上来说,安全工程师的沟通能力比其技术能力更重要。姜力东也认可国内安全工程师匮乏的现状,因为工作需要,他曾经面试过很多工程师,但能达到他要求的却非常少。
其次,安全服务外包过程中的风险很难控制。企业把安全外包出去,无不是希望获得100%的安全,不过像所有的外包模式一样,安全服务外包也存在风险,但由于安全服务外包的复杂性,很难界定服务过程中双方的权责。
最后,就是服务标准的难以确定也给安全服务提供商们增添了很多困难。
不过,虽然困难重重,安全服务商们并未因此而止步不前,而是创造性地想办法解决问题。曹鹏介绍,东软公司率先提出了“服务保修”的概念。他们认为,既然产品有保修期,那么服务也可以有保修期,对于选用了他们的安全服务的用户,他们将在提供服务后的一段期限内免费或低成本为客户保修。而他们之所以敢这么做,也是因为对自己的技术水平和服务能力有信心。用曹鹏的话讲就是:“服务说到底就是信心!只有你自己先对自己有信心,用户才可能对你放心!”
天融信公司正在尝试建立自己的安全服务标准。他们希望把服务像产品一样标准化,实现服务能力标准化、服务方法的标准化以及服务技巧的标准化。姜力东说:“服务确实不太好鉴定,但我们希望通过这个标准,尽量降低人在服务外包过程中的影响。比如说,我们的10位工程师分别为客户提供服务,有了这个标准后,他们为客户提供的服务虽然不能说完全一致,但大致水平要相当,至少要能达到合格的水平。”如果他们的标准在自己内部可以实验成功,不排除在行业里推广的可能。
刘恒也想了很多办法,试图降低安全外包过程中的风险。因为信息安全的重要性在安全服务外包过程中一旦出现风险,用户的损失可能是无法估量的,甚至会完全超出安全服务提供商的赔偿能力。但万一出现意外情况怎么办?刘恒为此专门和一些保险公司交流过,看是否可以利用保险公司的作用来为安全服务外包保驾护航。
不管这些方法最终有没有成为现实或者取得成功,但至少可以看到,我们的安全服务外包商们正在为这个行业的繁荣而努力。此外,于2006年3月份开始正式实施的国家《信息安全等级保护管理办法(试行)》也间接地为安全服务外包起到了推动和促进作用。曹鹏介绍,这是公安部颁布的第一部和信息安全有关的法律,要求各企事业单位强制实行,把信息安全提上了一个新的高度,促成了很多安全方面的需求。
而姜力东则提出了一个看似有点奇怪的观点,他说他很高兴看到现在有很多小公司也加入到了安全服务外包领域。有进入就会有竞争,有竞争就会有优胜劣汰,最后就有优秀的厂商、优秀的人才来支撑这个企业的发展。所以,他毫不担心这个行业的未来!
相关链接一
观 点
■ 东软网络安全解决方案部部长曹鹏:“国内有安全服务业务的公司很多,但真正做得好的目前很少。”
■ 启明星辰公司副总裁兼CTO 刘恒:“未来3-5年,是国内安全服务外包市场的高增长期!”
■ 天融信公司安全服务部经理姜力东:“一个好的安全服务商至少要能告诉客户,什么样的服务是好的,什么样的服务不达标!”
■ e-cop公司区域副总裁徐为群:“中国安全服务外包市场非常庞大,发展潜力超乎想象!”
相关链接二
怎么选择安全服务提供商?
虽然现在安全服务行业尚没有统一的标准,但是有兴趣将安全服务外包的用户也无须担心,专家们为我们提供了一些选择安全服务商的主要参考因素:
1、公司的信誉。把自己的安全交给别人总是不那么让人放心的,因此,用户可以先考察一下对方在行业内的信誉是不是良好?能不能为客户保密?
2、公司的技术实力。仅有信誉不行,还要看看公司是不是具备安全服务的相关技术实力和能力。这一点比较好考察,比如可以看一下公司在安全领域的技术储备和人才储备等。
3、公司在行业的影响力。客观地说,这个行业目前还不算很大,同行之间相互也比较了解。所以客户可以多和几家厂商接触,了解一下对方在行业的知名度。
|
上海市商城路341号紫光大厦1305室 
+0086-21-58878998 
+0086-21-58879030
HappyFreeAngel@hotmail.com