该负责人表示,他们公司对于信息安全非常重视,但是目前还不知道国内哪些机构和企业具有信息安全评估的资质,他说曾经咨询过微软、IBM,但对方表示不做评估业务,反而建议他们找国外会计师事务所。因此他向记者咨询,目前国内的安全评估到底怎么样。
看到这里,记者只能说,大公司就是大公司,做事情确实负责任。
据悉,目前安全评估市场在国内还非常小(国外比较大),其中主要集中在电信运营商的安全评估,企业用的较少,主要原因是很少有公司愿意把自己的安全设施暴露给第三方机构。正是由于这个问题,造成了目前企业安全评估的两个问题:
第一,一些传统的网络/安全厂商,他们一般仅仅给自己的客户做评估,但这不仅受到销售的影响,无形中会增加让用户多买设备的意图,而且“自产自销”的模式难以保证评估的中立性。
第二,一些大公司为了保证评估的中立、客观,一般都不亲自进行评估活动,如果客户有需求,往往推荐第三方机构,如会计师事务所的信息安全审计。
但把评估交给第三方也有问题,因为所谓安全评估的核心,其实就是信息系统的“弱点分析”,一般只有具有安全研发实力的厂商才可以做到,同时这个厂商还必须要有相应的弱点分析部门。因此,很少有会计师事务有这样合适的人选。说白了,从事安全评估的企业需要养着一群“黑客”(不是骇客),只有他们才具有分析信息安全漏洞的资格。
但把安全暴露在第三方的“黑客”前接受检验,试问哪个企业有如此但量呢?另外,很多用户也担心自己会被这些公司牵着鼻子走。
黑咖啡需要加糖,安全评估需要保证!
因此,在目前阶段,市场呼唤有研发经验的、有专业资质的、有信誉保证的第三方评估机构或大型企业的支持,但在目前国内安全信用没有立法的情况下,记者只能建议有需求的读者,在签订合同时一定要提出相关的保密协定,以免受到损失。
转载地址:http://www.cnw.cn/cnw07/security/TechApp/htm2007/20070313_20460.shtml