1、目前的現狀是什么？

在傳統的信息安全廠商內部，安全服務和安全產品所占的比重一直都是嚴重失調的，通常是二八開，即銷售額一般都是安全產品占 80% ，安全服務占 20% ，有的甚至更少。因此擺在公司決策者面前只會是產品比服務重要，因為賣服務不賺錢，賣產品才賺錢。

這確實是目前在安全行業普遍存在的現象。

從做服務和賣產品的人角度看，做服務的瞧不起賣產品的，經常說的是：這幫賣產品的，整天就知道賣產品。而賣產品的人又認為做服務，太虛，沒有實際性的東西， 認為做服務的人都是滿嘴跑火車的，不靠譜，不過很多產品的銷售人員，為了能夠將產品銷售出去，又何嘗不是滿嘴跑火車呢？有的銷售在客戶面前，都將自己的產 品吹噓成萬能的，貌似只要上了安全產品，就可以解決所有的安全問題。

那么對于客戶來講，到底是安全產品重要還是安全服務重要呢？還是都重要？學過信息安全基本理論的人都知道信息安全工程的概念，從信息安全工程的整個生命周 期來看，信息安全工程包括幾個重要的階段： 

1、風險識別 ---> 2、需求分析 --> 3、設計部署 ---> 4、功能驗證 ---> 5、維護廢棄

安全是一項工程，它既不是產品也不是服務，而是產品和服務的結合，就好像醫生和藥品的關系。如果要將安全產品和安全服務放到信息安全工程的 階段里，通常的安全服務包括了 風險識別、需求分析和設計的過程，而安全產品只是部署的過程。從信息安全工程的幾個階段來看，安全產品的部署是應該經過風險識別、需求分析和設計之后，才 會涉及到產品的部署，而我們目前的行業實際情況是，很多安全廠商的人為制造風險，杜撰需求，從而進行產品的銷售。

回到剛才的問題，那對于客戶來講，安全服 務和安全產品到底哪個更重要？我覺得每個企業的情況都不一樣，例如一家信息化剛起步的公司，連基本的基礎建設都沒做好，讓他們做 IT 流程的管理或者整個安全體系架構的設計，這明顯是不合理的，就好像讓一個小孩，都沒學會走呢，就讓他開始學跑。所以安全的建設應該是一個循序漸進的過程， 而不是一蹴而就，能夠一步登天的，曾經和某集團的 CTO 訪談時，CTO 問安全什么時候才是個頭？每年都要投入那么多錢，什么時候個頭？好吧，安全是個持續的過程，是沒有頭的，因為風險是動態的，是不斷變化的，我們都知道 PDCA ，只有不斷的計劃、實施、檢查和改進，才能持續的保證安全。#p#

2、安全服務和安全產品目前的瓶頸

現在在乙方工作的人，不管是做服務的或者是賣產品的，都能夠感覺到現在服務越來越難做，產品越來越難賣了。這到底是為什么？究其原因就是服務被做爛，產品已飽和。

2.1  產品為什么越來越難賣？

做過產品的銷售的人可能近兩年都會明顯感覺到，現在安全產品真是越來越難賣了？究其原因可能有兩個：

1、現在安全市場的各種安全產品都是品種齊全，種類繁多，任何一種類型的安全產品，都能夠找多好幾家廠家，而各自的安全產品不管是性能、功能，還是價格，都是大同小異的，在這種情況下，自家的安全產品的競爭力在哪？貌似只能靠客戶關系和價格戰了。

2、 企業該有的安全產品都有了，我們還能賣什么？這個問題應該是目前普遍存在的問題，一般稍微有點規模的企業，在經過這幾年來，各大產品廠商的“洗劫”，基本 該買的也買了，不該買的也買了，曾經在某客戶的機房，看到客戶的機柜上有臺漏掃設備，還很好奇的問，你們還買漏掃？誰知客戶也很疑問說這是哪來的？什么時 候買的？完全不知道。顯然在客戶該有的安全產品都有了的情況下，產品銷售通常是不知道再賣什么了？只能開始杜撰需求，能塞進去的，都塞進去。

2.2  服務為什么越來越難做？

從事安全服務的人員可能也會感覺到，現在服務越來越難做，客戶的要求越來越高，對服務的人員也是越來越高，再也不像幾年前，那個漏掃工具掃一下，導出一份報告，這就算服務了，導致現在客戶都說你們做服務的，不就是拿個漏掃工具掃掃么？還有什么？也總結下為什么現在服務越來越難做了？

1、客戶要求越來越高。在前幾年，由于客戶不知道什么是安全服務，也沒思路，只能任由各安全公司忽悠，就好像前面說的，做個漏洞掃描就安全服務了。這兩年因為各種黑客攻擊和地下產業鏈頻頻見諸新聞和報紙上，企業對安全的要求也越來越重視，并且企業經常受到各大安全公司人員的不停洗腦，已經知道了什么是安全服務，對安全有了一定的了解，進而有了基本的思路，知道自己要的是什么。

2、安全服務人員水平參差不齊。現在很多安全公司隨便找幾個人，就敢接安全服務的項目了，而且這些公司這些人員真的做過安全服務么？我看不盡然。所以在這種背景下，安全服務項目能做好么？客戶能滿意么？

3、利潤空間小，投入少。這也是目前普遍存在的問題，很多安全公司為了能夠拿下項目，都會低價投標，一種情況是低價中標，服務做完之后，后續賣產品，以彌 補服務的差價。試想在這種場景下，服務項目未實施前，已經計算好賣什么產品了，這種服務項目做的就太有針對性了，想賣什么產品，就會針對性的去發現該產品 能夠解決的問題，從而讓客戶買單。曾經在項目過程中看到一些廠商給客戶的安全解決方案里的需求設計部分，真是驚心動魄，各種嚇唬，一個小的風險，并夸大成 很嚴重的安全問題，仿佛不解決，公司離倒閉就不遠了。另一種情況是低價中標后，因為利潤的關系，無非保質保量的完成項目內容，在這種情況下，只能開始糊弄 了。

2.3  信息安全建設到底應該怎么做？

其實不光是乙方的人員認為安全難做，從客戶的角度來看，也 很迷茫，不知道自己的企業中存在哪些問題？通常只是暴露出來一個解決一個，隱藏的問題，并不能被發現和解決，而這些隱藏的問題往往卻是致命的問題，一旦發 生，可以會導致嚴重的后果。在做售前的幾年里，遇到客戶問的最多的問題可能是以下幾個，我梳理了下： 

1、我們已經買了很多產品，為什么還是會有很多問題？ 
2、市場上這么多安全產品，說的天花亂墜，我們該買什么產品？ 
3、哪些安全產品才是我們真正需要的？很多產品功能重疊，究竟哪種產品才是最適合我們的？
怎樣才能將產品的最大效用發揮出來？如何部署？ 
4、這么多的安全產品，如何管理？怎么才能從海量的日志里發現問題？ 
5、上級機構又要來進行安全檢查，每次都不達標，被通報批評，安全問題為什么那么多？ 
6、我們公司現在到底有哪些安全隱患？ 
7、未來我們的信息安全應該如果來做？

簡單來說就是情況不明，目標不明，步驟不明。情況不明，即對自己目前的現狀不了解，不知道企業中到底多少問題？目標不明，即不知道企業的信息安全目標是什 么，要達到什么樣的水平？步驟不明，因為不知道安全目標是什么，也就無法制定有針對性的安全建設思路和步驟，不知道如何通過一步步的安全建設，來達到安全 目標的要求。 #p#

3、面臨的挑戰和機遇

前面提了那么多的問題，好像安全這一塊確實越來越難做了，其實不然，個人覺得目前的現狀對乙方來說，雖然問題重重，但既是挑戰也是機遇。

具體的挑戰包括：

1、對安全人員自身的水平要求高。安全人員應該不斷學習新的知識和理念，不斷充實自己，這樣在客戶那邊才能將最先進最成功的經驗分享給客戶。

2、服務的專業化。不光是技能水平的提高，服務水平也應提高。服務項目的前兩周，是項目的關鍵階段，為什么說是關鍵呢？因為在這段時間內，是你和客戶建立 信任關系的重要階段，只有客戶信任你了，后面的工作才可以開展，所以在這 2周內的專業能力的體現就顯得尤為重要了。

3、銷售人 員思路轉變。很多產品銷售人員初次拜訪客戶可能不太受客戶歡迎，為什么？因為客戶感覺目的性太強，產品銷售去拜訪客戶，最終目的當然是銷售產品，所以不管 過程是怎么樣的，已經被客戶猜中了結局，所以銷售人員在客戶的所說的每一句話都是為了最終銷售產品。而不像技術人員，技術人員是去幫助客戶解決問題的。所 以我們的銷售人員應該進行思路的轉變，不要一味的去強調自己的產品是多么的優秀，性能是多么的好？如果我是客戶，我會問銷售：你知道我們有什么問題么？你 就向我推銷產品？這就好像我們去醫院檢查身體，醫生什么都不給你做檢查，就給你開了一堆的藥，你會接受么？所以我們應該站在客戶的角度去思考問題，就算賣 不成產品也無妨，因為買賣不成，仁義在，當客戶認為你是真心實意幫他們解決問題的，何愁做不成生意？

我們再來看看問題所帶來的機遇和方向：

 1、 以業務為導向。安全的最終是為業務保駕護航的，而目前很多的安全建設方案，業務部分考慮的很少，在做風險識別和規劃時，很多都沒有考慮能夠給業務帶來多大 影響？而只是考慮了安全的部分，一切都是圍繞安全來做的設計。目前普遍的情況是懂業務的不懂安全，懂安全的又不懂業務。 所以未來如果安全公司能夠真正從客戶的業務流程、業務發展的方向來做評估做設計，必定會成為一個亮點。

2、體系建設是個不錯的機遇。最近發現體系建設類的項目成為了最近的熱門，很多企業都有這方面的需求，因為企業通過幾年的信息安全建設，基礎設施都已經完 善了，但是仍然會發生安全事件，企業開始意識到安全不光是技術的問題，而最重要的是管理的問題。

我們經常說：錢能解決的問題，都不是問題。而在安全行業內，技術能解決的問題，都不是問題，管理的問題才是問題，而管理的問題歸根結底就是人的管理，人的問題。而解決人的問題，通常是通過安全意識的培養、技術 手段、制度的懲處來實現。另一方面是客戶對未來的信息安全建設沒有總的思路和方向，迫切需要依靠第三方來幫助自己建立安全建設思路和方向。 

以上只是我從乙方的角度，對安全產品和安全服務做了一個總結，也是對自己的一個簡單總結，因為時間和能力的關系，寫的不是完全正確，錯漏之處難免，望包涵！