关于安全产品和安全服务

1、目前的现状是什么？

在传统的信息安全厂商内部，安全服务和安全产品所占的比重一直都是严重失调的，通常是二八开，即销售额一般都是安全产品占 80% ，安全服务占 20% ，有的甚至更少。因此摆在公司决策者面前只会是产品比服务重要，因为卖服务不赚钱，卖产品才赚钱。这确实是目前在安全行业普遍存在的现象。

从做服务和卖产品的人角度看，做服务的瞧不起卖产品的，经常说的是：这帮卖产品的，整天就知道卖产品。而卖产品的人又认为做服务，太虚，没有实际性的东西，认为做服务的人都是满嘴跑火车的，不靠谱，不过很多产品的销售人员，为了能够将产品销售出去，又何尝不是满嘴跑火车呢？有的销售在客户面前，都将自己的产品吹嘘成万能的，貌似只要上了安全产品，就可以解决所有的安全问题。

那么对于客户来讲，到底是安全产品重要还是安全服务重要呢？还是都重要？学过信息安全基本理论的人都知道信息安全工程的概念，从信息安全工程的整个生命周期来看，信息安全工程包括几个重要的阶段：1、风险识别 ---> 2、需求分析 --> 3、设计部署 ---> 4、功能验证 ---> 5、维护废弃，安全是一项工程，它既不是产品也不是服务，而是产品和服务的结合，就好像医生和药品的关系。如果要将安全产品和安全服务放到信息安全工程的阶段里，通常的安全服务包括了 风险识别、需求分析和设计的过程，而安全产品只是部署的过程。从信息安全工程的几个阶段来看，安全产品的部署是应该经过风险识别、需求分析和设计之后，才会涉及到产品的部署，而我们目前的行业实际情况是，很多安全厂商的人为制造风险，杜撰需求，从而进行产品的销售。回到刚才的问题，那对于客户来讲，安全服务和安全产品到底哪个更重要？我觉得每个企业的情况都不一样，例如一家信息化刚起步的公司，连基本的基础建设都没做好，让他们做 IT 流程的管理或者整个安全体系架构的设计，这明显是不合理的，就好像让一个小孩，都没学会走呢，就让他开始学跑。所以安全的建设应该是一个循序渐进的过程，而不是一蹴而就，能够一步登天的，曾经和某集团的 CTO 访谈时，CTO 问安全什么时候才是个头？每年都要投入那么多钱，什么时候个头？好吧，安全是个持续的过程，是没有头的，因为风险是动态的，是不断变化的，我们都知道 PDCA ，只有不断的计划、实施、检查和改进，才能持续的保证安全。

2、安全服务和安全产品目前的瓶颈

现在在乙方工作的人，不管是做服务的或者是卖产品的，都能够感觉到现在服务越来越难做，产品越来越难卖了。这到底是为什么？究其原因就是服务被做烂，产品已饱和。

2.1 产品为什么越来越难卖？

做过产品的销售的人可能近两年都会明显感觉到，现在安全产品真是越来越难卖了？究其原因可能有两个：

1、现在安全市场的各种安全产品都是品种齐全，种类繁多，任何一种类型的安全产品，都能够找多好几家厂家，而各自的安全产品不管是性能、功能，还是价格，都是大同小异的，在这种情况下，自家的安全产品的竞争力在哪？貌似只能靠客户关系和价格战了。

2、企业该有的安全产品都有了，我们还能卖什么？这个问题应该是目前普遍存在的问题，一般稍微有点规模的企业，在经过这几年来，各大产品厂商的“洗劫”，基本该买的也买了，不该买的也买了，曾经在某客户的机房，看到客户的机柜上有台漏扫设备，还很好奇的问，你们还买漏扫？谁知客户也很疑问说这是哪来的？什么时候买的？完全不知道。显然在客户该有的安全产品都有了的情况下，产品销售通常是不知道再卖什么了？只能开始杜撰需求，能塞进去的，都塞进去。

2.2 服务为什么越来越难做？

从事安全服务的人员可能也会感觉到，现在服务越来越难做，客户的要求越来越高，对服务的人员也是越来越高，再也不像几年前，那个漏扫工具扫一下，导出一份报告，这就算服务了，导致现在客户都说你们做服务的，不就是拿个漏扫工具扫扫么？还有什么？也总结下为什么现在服务越来越难做了？

1、客户要求越来越高。在前几年，由于客户不知道什么是安全服务，也没思路，只能任由各安全公司忽悠，就好像前面说的，做个漏洞扫描就安全服务了。这两年因为各种黑客攻击和地下产业链频频见诸新闻和报纸上，企业对安全的要求也越来越重视，并且企业经常受到各大安全公司人员的不停洗脑，已经知道了什么是安全服务，对安全有了一定的了解，进而有了基本的思路，知道自己要的是什么。

2、安全服务人员水平参差不齐。现在很多安全公司随便找几个人，就敢接安全服务的项目了，而且这些公司这些人员真的做过安全服务么？我看不尽然。所以在这种背景下，安全服务项目能做好么？客户能满意么？

3、利润空间小，投入少。这也是目前普遍存在的问题，很多安全公司为了能够拿下项目，都会低价投标，一种情况是低价中标，服务做完之后，后续卖产品，以弥补服务的差价。试想在这种场景下，服务项目未实施前，已经计算好卖什么产品了，这种服务项目做的就太有针对性了，想卖什么产品，就会针对性的去发现该产品能够解决的问题，从而让客户买单。曾经在项目过程中看到一些厂商给客户的安全解决方案里的需求设计部分，真是惊心动魄，各种吓唬，一个小的风险，并夸大成很严重的安全问题，仿佛不解决，公司离倒闭就不远了。另一种情况是低价中标后，因为利润的关系，无非保质保量的完成项目内容，在这种情况下，只能开始糊弄了。

2.3 信息安全建设到底应该怎么做？

其实不光是乙方的人员认为安全难做，从客户的角度来看，也很迷茫，不知道自己的企业中存在哪些问题？通常只是暴露出来一个解决一个，隐藏的问题，并不能被发现和解决，而这些隐藏的问题往往却是致命的问题，一旦发生，可以会导致严重的后果。在做售前的几年里，遇到客户问的最多的问题可能是以下几个，我梳理了下：

1、我们已经买了很多产品，为什么还是会有很多问题？
2、市场上这么多安全产品，说的天花乱坠，我们该买什么产品？
3、哪些安全产品才是我们真正需要的？很多产品功能重叠，究竟哪种产品才是最适合我们的？怎样才能将产品的最大效用发挥出来？如何部署？
4、这么多的安全产品，如何管理？怎么才能从海量的日志里发现问题？
5、上级机构又要来进行安全检查，每次都不达标，被通报批评，安全问题为什么那么多？
6、我们公司现在到底有哪些安全隐患？
7、未来我们的信息安全应该如果来做？

简单来说就是情况不明，目标不明，步骤不明。情况不明，即对自己目前的现状不了解，不知道企业中到底多少问题？目标不明，即不知道企业的信息安全目标是什么，要达到什么样的水平？步骤不明，因为不知道安全目标是什么，也就无法制定有针对性的安全建设思路和步骤，不知道如何通过一步步的安全建设，来达到安全目标的要求。

3、面临的挑战和机遇

前面提了那么多的问题，好像安全这一块确实越来越难做了，其实不然，个人觉得目前的现状对乙方来说，虽然问题重重，但既是挑战也是机遇。
具体的挑战包括：
1、对安全人员自身的水平要求高。安全人员应该不断学习新的知识和理念，不断充实自己，这样在客户那边才能将最先进最成功的经验分享给客户。
2、服务的专业化。不光是技能水平的提高，服务水平也应提高。服务项目的前两周，是项目的关键阶段，为什么说是关键呢？因为在这段时间内，是你和客户建立信任关系的重要阶段，只有客户信任你了，后面的工作才可以开展，所以在这 2周内的专业能力的体现就显得尤为重要了。

3、销售人员思路转变。很多产品销售人员初次拜访客户可能不太受客户欢迎，为什么？因为客户感觉目的性太强，产品销售去拜访客户，最终目的当然是销售产品，所以不管过程是怎么样的，已经被客户猜中了结局，所以销售人员在客户的所说的每一句话都是为了最终销售产品。而不像技术人员，技术人员是去帮助客户解决问题的。所以我们的销售人员应该进行思路的转变，不要一味的去强调自己的产品是多么的优秀，性能是多么的好？如果我是客户，我会问销售：你知道我们有什么问题么？你就向我推销产品？这就好像我们去医院检查身体，医生什么都不给你做检查，就给你开了一堆的药，你会接受么？所以我们应该站在客户的角度去思考问题，就算卖不成产品也无妨，因为买卖不成，仁义在，当客户认为你是真心实意帮他们解决问题的，何愁做不成生意？

我们再来看看问题所带来的机遇和方向：

1、以业务为导向。安全的最终是为业务保驾护航的，而目前很多的安全建设方案，业务部分考虑的很少，在做风险识别和规划时，很多都没有考虑能够给业务带来多大影响？而只是考虑了安全的部分，一切都是围绕安全来做的设计。目前普遍的情况是懂业务的不懂安全，懂安全的又不懂业务。 所以未来如果安全公司能够真正从客户的业务流程、业务发展的方向来做评估做设计，必定会成为一个亮点。

2、体系建设是个不错的机遇。最近发现体系建设类的项目成为了最近的热门，很多企业都有这方面的需求，因为企业通过几年的信息安全建设，基础设施都已经完善了，但是仍然会发生安全事件，企业开始意识到安全不光是技术的问题，而最重要的是管理的问题。我们经常说：钱能解决的问题，都不是问题。而在安全行业内，技术能解决的问题，都不是问题，管理的问题才是问题，而管理的问题归根结底就是人的管理，人的问题。而解决人的问题，通常是通过安全意识的培养、技术手段、制度的惩处来实现。另一方面是客户对未来的信息安全建设没有总的思路和方向，迫切需要依靠第三方来帮助自己建立安全建设思路和方向。

以上只是我从乙方的角度，对安全产品和安全服务做了一个总结，也是对自己的一个简单总结，因为时间和能力的关系，写的不是完全正确，错漏之处难免，望包涵！

以上转载冷漠的博客：http://www.lengmo.net/