網路安全建設除透過安全產品作為建設支撐，還需要配合安全服務進行頂層設計和持續運營，這幾乎已成為業界共識。網路安全服務會根據不同業務場景和建設階段衍生出不同的服務內容；但毋庸置疑的是，安全諮詢作為其中重要的識別核心安全需求的服務方式，越來越受到網路安全公司和客戶的重視。

主張1：以服務發揮並實現安全產品能效最大化，以規劃設計能力前移安全能力建設

早期安全服務常作為驗證手段，檢驗企業安全建設的功能和效果，呈現出“哪兒漏補哪兒”的局面，使企業始終處於被動性響應的狀態。而安全服務相較於安全產品，更應是要覆蓋安全建設全週期的，涉及規劃、建設和執行各階段。在企業安全建設初期，引入安全規劃設計能力，透過服務指導安全建設，融入安全服務建設思路，前移企業安全保障能力，更加精準的運用安全產品，使其能效最大化；同時，注入整體規劃、運營維度的視角，整體促進企業安全建設發展。

主張2：安全的本質是攻防，服務的本質是融合，從安全能力的融合，已擴充套件到與業務場景的融合

隨著資料化概念的不斷深入、IT、DT、OT和CT的融合已是獲得行業認同，成為業務的主旋律，尤其在安全行業，技術融合、服務場景融合和業務融合已開始顯現，安全已是同業務同等重要的屬性，在融合的過程中逐漸發揮自己的能效，對服務提出了更高的要求；現有客戶對安全的期望也在不斷的變化，他們不僅要透過技術來滿足業務的安全需求，更對交付過程，交付形式、及後續執行維護提出了更高的要求，更需要安全廠商提供整體的、能落地的安全服務方案。

主張3：新技術變革帶動服務，安全需求場景細分，安全服務鏈正在重構，安全服務能力及技術手段需更加精細

現有安全產業裡，安全廠商提供服務給客戶，依然是甲乙雙方的角色。但是，伴隨著5G、資料跨境等新時期的安全產業新形態，安全廠商、裝置廠商、行業使用者及上下游的供應商，安全服務鏈條變得更長，現有的安全業務範圍也變得更加寬泛。安全不但要考慮技術與業務的融合，也擴充套件到與供應商、合作伙伴與第三方的協同交付問題。對於不同場景的安全需求更加細化，因而要逐步提升安全服務的精細化、形式多樣化，拓展安全服務手段，增強安全服務能力，使得安全服務更加完善。

主張4：在滿足合規的安全服務建設基礎上，探索業務模式創新，打造服務核心競爭力

隨著5G、物聯網、工業網際網路、雲計算、大資料等新一代資訊科技的逐步應用，對新技術、新業務的風險監測也已納入網路安全等級保護和關鍵資訊基礎設施安全保護的防控體系。虛擬數字空間與物理實體空間、社會互動空間無縫銜接，網路空間邊界進一步延伸，面對組織化、專業化、流程化、商業化的新型攻擊手段，讓傳統的安全防護體系已無法針對新技術應用場景進行有效防護。在風險與合規的雙向驅動下，新技術場景勢必會是網路安全關注點，安全服務需要在對新技術領域的不斷探索中，幫助客戶識別並規避新技術的應用風險，不斷積累經驗，為後續的產品化提供核心技術輸入。“安全服務+產品”的模式改變以及安全服務的業務創新，勢必會打造成“新基建”大潮下的核心競爭力。

主張5：安全能力具備的核心要素是人才建設，細化安全專業的崗位職能，夯實安全服務的人才培養

網路安全形勢日益嚴峻，發揮安全能力建設的著手點還需圍繞“人”的建設，以“人”為核心。高等院校人才的培養和輸送，往往是理論多於實踐，而安全服務廠商更擅長對於專業技能和實踐的應用。隨著安全行業的發展趨勢在不斷向知識化、智慧化和實戰化演進，尤其對於不同專業崗位領域的技能識別和知識傳遞互通，需要建設安全服務的知識協同管理機制，這對於安全服務人員的培養以及專業人員的邊際成本降低是至關重要的，從而實現人才、流程和工具的有機聯動，保障安全服務的效率和質量。

l 資料安全

l 網路安全保險

l 安全開發管控

l 結合CII的紅藍對抗

l 個人資訊保護

資料安全

專案名稱：XX銀行資料安全管理體系建設專案

所屬行業：金融行業

專案簡介：

XX銀行客戶資料安全建設處於起步階段，僅有部分流程，相關工作要求不明確，職責劃分不清，需要透過管理體系建設提升資料安全管理水平。本專案需求為明確各部門資料安全職責、第三方資料管理要求、梳理內部資料、明確資料全生命週期管理要求、制定資料洩漏事件應急預案。

本專案透過對銀行組織架構、管理現狀、業務與資料情況調研，分析企業資料安全管理弱點，綜合企業安全需求，構建了符合客戶管理方針與業務需要的資料安全管理體系，包括：資料安全管理組織建設、資料分類分級標準與資料資產管理機制構建、資料安全生命週期管理、第三方外接資料安全管理、資料洩漏應急響應機制等制度與流程方法。

專案成效：

本專案透過資料安全管理體系的構建，確保客戶資料安全管理組織職責劃分清晰，資料安全管理職責明確，可有效指導資料安全管理工作的開展。客戶在本專案中獲取了資料安全合規、掌握資料資產、以及保護個人資訊等收益。

網路安全保險

專案名稱：某房地產客戶網路安全保險服務專案

所屬行業：房地產

專案簡介：

某客戶為促進網路安全環境的完善和建設，保障業務的穩定開展與高速發展，引入第三方安全服務，包括滲透測試、日誌分析、應急響應等日常安全運維工作和網路安全保險服務，為企業資訊系統在安全管控、系統上線前檢測、事後復原等多方面提供安全服務能力。

本專案中網路安全保險服務情況如下：在投保前期，基於風險調研為客戶提供核保體檢服務，幫助企業瞭解自身安全現狀，及時查漏補缺；同時，輔助保險公司設計適配於客戶的保險保障內容，協助客戶完成投保工作。在承保過程中，針對投保系統實施風險監控；當客戶突發網路安全事件時，第一時間啟動應急響應，為企業抑制事件影響範圍，同時，分析事件發生原因，收集事件相關截圖和證據，形成事故調查報告，為保險定損提供技術支援。

專案成效：

透過風險調研，分析與量化企業安全風險，形成貼合客戶風險場景的網路安全保險保單，保障7項責任場景，包括第一方損失類的資料恢復費用、鑑定服務費用、勒索損失、法律費用和第三方責任類的資料洩密責任、外包商資料責任、資料安全責任。此外結合日常安全運維服務內容，持續監控企業安全態勢。

透過網路安全保險服務的引入，以金融服務手段實現了企業安全風險的第三方轉移，降低企業運營財務壓力，增強企業事後復原力；同時，網路安全保險成為企業風險管理的網路安全保障手段之一，透過與安全服務結合作用，為企業形成了“事前識別與降低、事中監控與發現、事後響應與補償”的動態且閉環的風險管理機制。

安全開發管控

專案名稱：XX銀行DevSecOps開發安全管控服務落地實踐

所屬行業：金融行業

專案簡介：

隨著金融行業監管的精細化和趨嚴化以及業務的擴大，為了應對業務系統頻繁變更以及新系統迭代開發，DevOps敏捷開發逐漸被企業所接受，據統計國內80%企業在DevOps實踐中初見成效， “1天N次部署”、從程式碼到上線只需數十分鐘甚至幾分鐘已經成為現實，軟體交付速度不斷提升，但是卻忽略了軟體系統安全性，由於傳統安全工作無法自動化、敏捷化，並且缺乏相應的技術手段和工具對軟體系統全生命週期安全狀況進行跟蹤檢驗，導致上線後出現類似SQL注入、安全功能缺失等漏洞而遭受攻擊，會直接影響正常業務執行，甚至造成經濟和名譽的損失。

專案實施過程如下：為加強敏捷開發下軟體開發專案全生命週期安全管理，不再使安全工作減慢部署速度、影響上線時間，需要在DevOps的協作模式中整合安全團隊工作，建立統一開發、安全、運維三方團隊的軟體開發專案安全管理制度及流程、技術規範標準，透過在軟體開發流程中每個階段整合安全能力（自動化工具和知識庫）來協助達成安全目標，為持續交付過程建立安全基礎，推動開發-運維過程安全閉環，全面提升系統的安全性。

專案成效：

結合XX銀行現有安全產品和安全能力，為DevOps提供安全分析和防護基礎，將安全無縫融入到開發和運維過程中，透過DevSecOps安全開發管控平臺促進應用系統的全生命週期的安全管理，為客戶構建開發過程中的持續安全交付能力。其中包括在需求設計階段整合自動化安全需求分析能力，基於安全開發知識圖譜，快速生成可定製化的安全需求文件、安全設計文件以及安全編碼規範文件、安全測試文件，降低對人員安全技能要求，在編碼階段整合自動化程式碼安全審計能力，利用原始碼分析、軟體組成成分分析引擎進行安全合規分析，為軟體程式碼風險提供指引，保障軟體程式碼自身安全性，在運維階段整合漏洞掃描和基線核查工具，為企業構建開發至運維過程的安全閉環能力。

【結尾】

隨著網路安全態勢愈發嚴峻化，網路安全需求已從單一的採購軟硬體產品，轉變為全面體系化的專業服務與解決方案，安全服務成為企業網路安全建設的切入點，高質量的安全服務投入不僅可以進一步升級企業客戶整體的安全能力，同時也可以加深安全廠商與企業客戶的粘性，加深對企業的瞭解，對症下藥。透過安全服務工具的開發、安全服務知識管理體系的構建、服務管理的流程化與標準化，呈現更加智慧化與自助化的安全服務體驗，與企業實現安全能力共建，為企業安全保駕護航。