1、目前的現(xiàn)狀是什么？

在傳統(tǒng)的信息安全廠商內(nèi)部，安全服務(wù)和安全產(chǎn)品所占的比重一直都是嚴(yán)重失調(diào)的，通常是二八開，即銷售額一般都是安全產(chǎn)品占 80% ，安全服務(wù)占 20% ，有的甚至更少。因此擺在公司決策者面前只會是產(chǎn)品比服務(wù)重要，因?yàn)橘u服務(wù)不賺錢，賣產(chǎn)品才賺錢。

這確實(shí)是目前在安全行業(yè)普遍存在的現(xiàn)象。

從做服務(wù)和賣產(chǎn)品的人角度看，做服務(wù)的瞧不起賣產(chǎn)品的，經(jīng)常說的是：這幫賣產(chǎn)品的，整天就知道賣產(chǎn)品。而賣產(chǎn)品的人又認(rèn)為做服務(wù)，太虛，沒有實(shí)際性的東西， 認(rèn)為做服務(wù)的人都是滿嘴跑火車的，不靠譜，不過很多產(chǎn)品的銷售人員，為了能夠?qū)a(chǎn)品銷售出去，又何嘗不是滿嘴跑火車呢？有的銷售在客戶面前，都將自己的產(chǎn) 品吹噓成萬能的，貌似只要上了安全產(chǎn)品，就可以解決所有的安全問題。

那么對于客戶來講，到底是安全產(chǎn)品重要還是安全服務(wù)重要呢？還是都重要？學(xué)過信息安全基本理論的人都知道信息安全工程的概念，從信息安全工程的整個(gè)生命周 期來看，信息安全工程包括幾個(gè)重要的階段： 

1、風(fēng)險(xiǎn)識別 ---> 2、需求分析 --> 3、設(shè)計(jì)部署 ---> 4、功能驗(yàn)證 ---> 5、維護(hù)廢棄

安全是一項(xiàng)工程，它既不是產(chǎn)品也不是服務(wù)，而是產(chǎn)品和服務(wù)的結(jié)合，就好像醫(yī)生和藥品的關(guān)系。如果要將安全產(chǎn)品和安全服務(wù)放到信息安全工程的 階段里，通常的安全服務(wù)包括了 風(fēng)險(xiǎn)識別、需求分析和設(shè)計(jì)的過程，而安全產(chǎn)品只是部署的過程。從信息安全工程的幾個(gè)階段來看，安全產(chǎn)品的部署是應(yīng)該經(jīng)過風(fēng)險(xiǎn)識別、需求分析和設(shè)計(jì)之后，才 會涉及到產(chǎn)品的部署，而我們目前的行業(yè)實(shí)際情況是，很多安全廠商的人為制造風(fēng)險(xiǎn)，杜撰需求，從而進(jìn)行產(chǎn)品的銷售。

回到剛才的問題，那對于客戶來講，安全服 務(wù)和安全產(chǎn)品到底哪個(gè)更重要？我覺得每個(gè)企業(yè)的情況都不一樣，例如一家信息化剛起步的公司，連基本的基礎(chǔ)建設(shè)都沒做好，讓他們做 IT 流程的管理或者整個(gè)安全體系架構(gòu)的設(shè)計(jì)，這明顯是不合理的，就好像讓一個(gè)小孩，都沒學(xué)會走呢，就讓他開始學(xué)跑。所以安全的建設(shè)應(yīng)該是一個(gè)循序漸進(jìn)的過程， 而不是一蹴而就，能夠一步登天的，曾經(jīng)和某集團(tuán)的 CTO 訪談時(shí)，CTO 問安全什么時(shí)候才是個(gè)頭？每年都要投入那么多錢，什么時(shí)候個(gè)頭？好吧，安全是個(gè)持續(xù)的過程，是沒有頭的，因?yàn)轱L(fēng)險(xiǎn)是動(dòng)態(tài)的，是不斷變化的，我們都知道 PDCA ，只有不斷的計(jì)劃、實(shí)施、檢查和改進(jìn)，才能持續(xù)的保證安全。#p#

2、安全服務(wù)和安全產(chǎn)品目前的瓶頸

現(xiàn)在在乙方工作的人，不管是做服務(wù)的或者是賣產(chǎn)品的，都能夠感覺到現(xiàn)在服務(wù)越來越難做，產(chǎn)品越來越難賣了。這到底是為什么？究其原因就是服務(wù)被做爛，產(chǎn)品已飽和。

2.1  產(chǎn)品為什么越來越難賣？

做過產(chǎn)品的銷售的人可能近兩年都會明顯感覺到，現(xiàn)在安全產(chǎn)品真是越來越難賣了？究其原因可能有兩個(gè)：

1、現(xiàn)在安全市場的各種安全產(chǎn)品都是品種齊全，種類繁多，任何一種類型的安全產(chǎn)品，都能夠找多好幾家廠家，而各自的安全產(chǎn)品不管是性能、功能，還是價(jià)格，都是大同小異的，在這種情況下，自家的安全產(chǎn)品的競爭力在哪？貌似只能靠客戶關(guān)系和價(jià)格戰(zhàn)了。

2、 企業(yè)該有的安全產(chǎn)品都有了，我們還能賣什么？這個(gè)問題應(yīng)該是目前普遍存在的問題，一般稍微有點(diǎn)規(guī)模的企業(yè)，在經(jīng)過這幾年來，各大產(chǎn)品廠商的“洗劫”，基本 該買的也買了，不該買的也買了，曾經(jīng)在某客戶的機(jī)房，看到客戶的機(jī)柜上有臺漏掃設(shè)備，還很好奇的問，你們還買漏掃？誰知客戶也很疑問說這是哪來的？什么時(shí) 候買的？完全不知道。顯然在客戶該有的安全產(chǎn)品都有了的情況下，產(chǎn)品銷售通常是不知道再賣什么了？只能開始杜撰需求，能塞進(jìn)去的，都塞進(jìn)去。

2.2  服務(wù)為什么越來越難做？

從事安全服務(wù)的人員可能也會感覺到，現(xiàn)在服務(wù)越來越難做，客戶的要求越來越高，對服務(wù)的人員也是越來越高，再也不像幾年前，那個(gè)漏掃工具掃一下，導(dǎo)出一份報(bào)告，這就算服務(wù)了，導(dǎo)致現(xiàn)在客戶都說你們做服務(wù)的，不就是拿個(gè)漏掃工具掃掃么？還有什么？也總結(jié)下為什么現(xiàn)在服務(wù)越來越難做了？

1、客戶要求越來越高。在前幾年，由于客戶不知道什么是安全服務(wù)，也沒思路，只能任由各安全公司忽悠，就好像前面說的，做個(gè)漏洞掃描就安全服務(wù)了。這兩年因?yàn)楦鞣N黑客攻擊和地下產(chǎn)業(yè)鏈頻頻見諸新聞和報(bào)紙上，企業(yè)對安全的要求也越來越重視，并且企業(yè)經(jīng)常受到各大安全公司人員的不停洗腦，已經(jīng)知道了什么是安全服務(wù)，對安全有了一定的了解，進(jìn)而有了基本的思路，知道自己要的是什么。

2、安全服務(wù)人員水平參差不齊?，F(xiàn)在很多安全公司隨便找?guī)讉€(gè)人，就敢接安全服務(wù)的項(xiàng)目了，而且這些公司這些人員真的做過安全服務(wù)么？我看不盡然。所以在這種背景下，安全服務(wù)項(xiàng)目能做好么？客戶能滿意么？

3、利潤空間小，投入少。這也是目前普遍存在的問題，很多安全公司為了能夠拿下項(xiàng)目，都會低價(jià)投標(biāo)，一種情況是低價(jià)中標(biāo)，服務(wù)做完之后，后續(xù)賣產(chǎn)品，以彌 補(bǔ)服務(wù)的差價(jià)。試想在這種場景下，服務(wù)項(xiàng)目未實(shí)施前，已經(jīng)計(jì)算好賣什么產(chǎn)品了，這種服務(wù)項(xiàng)目做的就太有針對性了，想賣什么產(chǎn)品，就會針對性的去發(fā)現(xiàn)該產(chǎn)品 能夠解決的問題，從而讓客戶買單。曾經(jīng)在項(xiàng)目過程中看到一些廠商給客戶的安全解決方案里的需求設(shè)計(jì)部分，真是驚心動(dòng)魄，各種嚇唬，一個(gè)小的風(fēng)險(xiǎn)，并夸大成 很嚴(yán)重的安全問題，仿佛不解決，公司離倒閉就不遠(yuǎn)了。另一種情況是低價(jià)中標(biāo)后，因?yàn)槔麧櫟年P(guān)系，無非保質(zhì)保量的完成項(xiàng)目內(nèi)容，在這種情況下，只能開始糊弄 了。

2.3  信息安全建設(shè)到底應(yīng)該怎么做？

其實(shí)不光是乙方的人員認(rèn)為安全難做，從客戶的角度來看，也 很迷茫，不知道自己的企業(yè)中存在哪些問題？通常只是暴露出來一個(gè)解決一個(gè)，隱藏的問題，并不能被發(fā)現(xiàn)和解決，而這些隱藏的問題往往卻是致命的問題，一旦發(fā) 生，可以會導(dǎo)致嚴(yán)重的后果。在做售前的幾年里，遇到客戶問的最多的問題可能是以下幾個(gè)，我梳理了下： 

1、我們已經(jīng)買了很多產(chǎn)品，為什么還是會有很多問題？ 
2、市場上這么多安全產(chǎn)品，說的天花亂墜，我們該買什么產(chǎn)品？ 
3、哪些安全產(chǎn)品才是我們真正需要的？很多產(chǎn)品功能重疊，究竟哪種產(chǎn)品才是最適合我們的？
怎樣才能將產(chǎn)品的最大效用發(fā)揮出來？如何部署？ 
4、這么多的安全產(chǎn)品，如何管理？怎么才能從海量的日志里發(fā)現(xiàn)問題？ 
5、上級機(jī)構(gòu)又要來進(jìn)行安全檢查，每次都不達(dá)標(biāo)，被通報(bào)批評，安全問題為什么那么多？ 
6、我們公司現(xiàn)在到底有哪些安全隱患？ 
7、未來我們的信息安全應(yīng)該如果來做？

簡單來說就是情況不明，目標(biāo)不明，步驟不明。情況不明，即對自己目前的現(xiàn)狀不了解，不知道企業(yè)中到底多少問題？目標(biāo)不明，即不知道企業(yè)的信息安全目標(biāo)是什 么，要達(dá)到什么樣的水平？步驟不明，因?yàn)椴恢腊踩繕?biāo)是什么，也就無法制定有針對性的安全建設(shè)思路和步驟，不知道如何通過一步步的安全建設(shè)，來達(dá)到安全 目標(biāo)的要求。 #p#

3、面臨的挑戰(zhàn)和機(jī)遇

前面提了那么多的問題，好像安全這一塊確實(shí)越來越難做了，其實(shí)不然，個(gè)人覺得目前的現(xiàn)狀對乙方來說，雖然問題重重，但既是挑戰(zhàn)也是機(jī)遇。

具體的挑戰(zhàn)包括：

1、對安全人員自身的水平要求高。安全人員應(yīng)該不斷學(xué)習(xí)新的知識和理念，不斷充實(shí)自己，這樣在客戶那邊才能將最先進(jìn)最成功的經(jīng)驗(yàn)分享給客戶。

2、服務(wù)的專業(yè)化。不光是技能水平的提高，服務(wù)水平也應(yīng)提高。服務(wù)項(xiàng)目的前兩周，是項(xiàng)目的關(guān)鍵階段，為什么說是關(guān)鍵呢？因?yàn)樵谶@段時(shí)間內(nèi)，是你和客戶建立 信任關(guān)系的重要階段，只有客戶信任你了，后面的工作才可以開展，所以在這 2周內(nèi)的專業(yè)能力的體現(xiàn)就顯得尤為重要了。

3、銷售人 員思路轉(zhuǎn)變。很多產(chǎn)品銷售人員初次拜訪客戶可能不太受客戶歡迎，為什么？因?yàn)榭蛻舾杏X目的性太強(qiáng)，產(chǎn)品銷售去拜訪客戶，最終目的當(dāng)然是銷售產(chǎn)品，所以不管 過程是怎么樣的，已經(jīng)被客戶猜中了結(jié)局，所以銷售人員在客戶的所說的每一句話都是為了最終銷售產(chǎn)品。而不像技術(shù)人員，技術(shù)人員是去幫助客戶解決問題的。所 以我們的銷售人員應(yīng)該進(jìn)行思路的轉(zhuǎn)變，不要一味的去強(qiáng)調(diào)自己的產(chǎn)品是多么的優(yōu)秀，性能是多么的好？如果我是客戶，我會問銷售：你知道我們有什么問題么？你 就向我推銷產(chǎn)品？這就好像我們?nèi)メt(yī)院檢查身體，醫(yī)生什么都不給你做檢查，就給你開了一堆的藥，你會接受么？所以我們應(yīng)該站在客戶的角度去思考問題，就算賣 不成產(chǎn)品也無妨，因?yàn)橘I賣不成，仁義在，當(dāng)客戶認(rèn)為你是真心實(shí)意幫他們解決問題的，何愁做不成生意？

我們再來看看問題所帶來的機(jī)遇和方向：

 1、 以業(yè)務(wù)為導(dǎo)向。安全的最終是為業(yè)務(wù)保駕護(hù)航的，而目前很多的安全建設(shè)方案，業(yè)務(wù)部分考慮的很少，在做風(fēng)險(xiǎn)識別和規(guī)劃時(shí)，很多都沒有考慮能夠給業(yè)務(wù)帶來多大 影響？而只是考慮了安全的部分，一切都是圍繞安全來做的設(shè)計(jì)。目前普遍的情況是懂業(yè)務(wù)的不懂安全，懂安全的又不懂業(yè)務(wù)。 所以未來如果安全公司能夠真正從客戶的業(yè)務(wù)流程、業(yè)務(wù)發(fā)展的方向來做評估做設(shè)計(jì)，必定會成為一個(gè)亮點(diǎn)。

2、體系建設(shè)是個(gè)不錯(cuò)的機(jī)遇。最近發(fā)現(xiàn)體系建設(shè)類的項(xiàng)目成為了最近的熱門，很多企業(yè)都有這方面的需求，因?yàn)槠髽I(yè)通過幾年的信息安全建設(shè)，基礎(chǔ)設(shè)施都已經(jīng)完 善了，但是仍然會發(fā)生安全事件，企業(yè)開始意識到安全不光是技術(shù)的問題，而最重要的是管理的問題。

我們經(jīng)常說：錢能解決的問題，都不是問題。而在安全行業(yè)內(nèi)，技術(shù)能解決的問題，都不是問題，管理的問題才是問題，而管理的問題歸根結(jié)底就是人的管理，人的問題。而解決人的問題，通常是通過安全意識的培養(yǎng)、技術(shù) 手段、制度的懲處來實(shí)現(xiàn)。另一方面是客戶對未來的信息安全建設(shè)沒有總的思路和方向，迫切需要依靠第三方來幫助自己建立安全建設(shè)思路和方向。 

以上只是我從乙方的角度，對安全產(chǎn)品和安全服務(wù)做了一個(gè)總結(jié)，也是對自己的一個(gè)簡單總結(jié)，因?yàn)闀r(shí)間和能力的關(guān)系，寫的不是完全正確，錯(cuò)漏之處難免，望包涵！