【IT168 评论】随着信息技术的高速发展以及数字化转型的加速，越来越多的网络安全威胁开始暴露出来。为了加强自身的网络安全建设，越来越多的用户开始采用网络安全供应商的网络安全服务。但在采用安全服务的同时很多企业会心存顾虑，毕竟谁都不敢保证供应商在提供网络安全服务时是否真正按照正规流程进行操作，你的安全服务会不会变相成为你的另一个安全漏洞?

　　如果能够有一个第三方机构能够对网络安全服务人员进行适当的管控，那就能够大大减少企业用户的顾虑。那么问题来了，这个角色究竟该由谁来扮演?又该如何扮演?针对这些问题，永信至诚给出了他的答案。今年3月份，永信至诚推出了一款全新的解决方案——春秋云服高能效安服管控平台，这个平台也就是我们今天所要讲到的主角。

　　什么是安服管控平台?

　　春秋云服高能效安服管控平台究竟是怎样一款平台?用他们自己的话讲，春秋云服高能效安服管控平台是网络安全服务活动全生命周期的标准化统一管控平台，该平台采用“身份明晰、严控流程、全程审计”的模式为安全服务过程中的业主单位、成果评判、安服人员等分别提供流程化、标准化和可视化的统一操作和行为管控。

　　该平台采用永信至诚”春秋云”平台能够为所有参与安全服务的操作人员提供统一的虚拟化云端操作界面及可信链路，可实时审查和全面审计操作人员对目标系统进行安全服务过程中的操作行为及流量链路，对整个安服过程全程可视，助力业主单位实施规范化、高效化和可视化的安全服务全生命周期管理。通俗点讲就是，安全解决方案提供商为我提供了解决方案，你都干了点啥，实现了怎样的效果我得知道。

　　在和永信至诚高级副总裁李炜聊到这款平台时他讲到：“当前网络安全服务的种类有很多，专业性也比较强，主体是靠人和专业的工具来操作。但往往会面临几个问题，一是安全服务都具有一定的风险性，二是安全服务的成果、效果和价值很难有一个定性的评判。比如我们做了一个手术，可以用手术成功还是不成功来衡量，但你做完一次网络安全服务和检查，却很难说清楚这次服务或检查是否成功。这些都是当前面临的问题，尤其是对于非网络安全领域的政企客户，这一直是困扰他们的一大难题。”

　　网安服务的管控盲点所在

　　当然想要解决问题，首先要去了解问题，我们都说当前的网络安全服务存在管控的盲点，那究竟有哪些盲点?李炜分析认为，当前网络安全服务主要存在有四个大的风险：

　　风险一，人员的问题和风险：安全服务人员的技能水平和职业素养是不一样的，不能把所有的期望寄托在人的自觉性上，安全服务的质量往往存在着较大差距。同时，人员的频繁流动也成为潜在的风险隐患点;

　　风险二，过程的风险管理缺失：在安全服务的实施过程中，对操作的合规性、行为的可控性往往缺乏有效的监控，服务过程也可能被人为隐藏隐患，比如在技术检测过程中植入木马等，反而成为新的风险点;

　　风险三，效果的偏差与落差：由于缺失人员的管控和过程的监控，难以形成效果沉淀，此外总会出现“日常检测没问题，实战演习都是洞”这样的怪象;

　　风险四，缺乏延续性的服务：由于安全服务团队的替换，运营单位人员的调整，都会导致无法衔接前期服务的内容和信息，导致信息断档。缺失信息对称，很容易导致安全风险的失控。

　　从用户需求出发“对症下药”

　　在充分了解了企业用户的诉求，结合安服面临的几大挑战之后，永信至诚提出了将安全服务标准化、去风险化、为客户沉淀更多价值的想法，这也是永信至诚做安服管控平台的一个原点。永信至诚的春秋云服安服管控平台会聚焦安全服务在事前、事中、事后三个阶段的人员、过程、成果这几大风险要素。永信至诚希望建设一个专业的安服平台，以支撑政企客户对网络安全服务实现“三化”，即：

　　•集约化：网络安全服务是有频次的，并不是每次安全服务客户就能掌握到所有企业分支的具体情况。风险管控的核心在于首先要“可知”，永信至诚依托安全服务管控平台前置在重要行业单位，能够打通数据，从而实现集约化的安全统筹监管。永信至诚希望通过集约化可以实现一个统一的视角让客户看到安全服务过程当中的所有问题;

　　•精细化：传统安全服务过于粗放，过程基本不加管控，永信至诚希望在事前、事中、事后全面规范服务人员、过程和结果，精细化管控安全服务各类风险;

　　•扁平化：永信至诚认为当前太多的层级已经不适合政企客户的需求，永信至诚希望通过全流程全要素管控，为重要行业单位建立一个管控、响应一站式的扁平化的响应对接流程。

　　李炜提到，安服管控平台的功能核心主要包括几个方面：首先由于服务种类过多，如众测、实战演习、风险评估、测评等，依据相关规范，安服管控平台会选定相关的服务的种类。其次在技术层面，安服管控平台会通过链路层、基础资源层、数据层以及应用层4个层面来实现风险要素的全流程管控，这其中较为核心的是基础资源层。

　　而在整体的管控过程中，最难的是对安服人员的管控，春秋云服安服管控平台会利用成熟的靶场云技术生成不同的操作机、不同的服务人员和服务种类，所需要的操作机和工具也是不同的。在这些操作机当中，服务人员必须登录操作机，所有的安全服务操作都在操作机上。在操作机里有一个云盘，会把服务人员需要的工具上传到单独的云盘当中。永信至诚在云端做了强隔离和强安全加固。

　　此外，春秋云服安服管控平台还对于安全服务人员之间的隔离要求进行提高，在给安全服务人员提供可控平台的同时，会对基础的云平台进行较强的安全隔离和加固。并会对安全服务人员所有的行为进行持续监控，记录安全服务人员的所有操作行为。

　　写在最后

　　春秋云服安服管控平台作为永信至诚的重要产品之一，曾多次参与支持重大网络安全攻防演练，并取得显著成效。而除了对安全服务的全局管控之外，永信至诚还会基于实战和服务的过程，梳理建设人才库。对安全服务人员的所有服务历史情况进行记录梳理，从而让用户充分了解安全服务人员的业务情况并对后期对内部信息流转的追踪。