探討3從花錢買設備到花錢買服務

探討3從花錢買設備到花錢買服務

中山大學完備的信息化機制讓不少學校很羨慕，因為大部分學校沒有中山大學那么大的信息化隊伍。盡管這樣，中山大學張永強表示，“單靠本校的安全人員和隊伍是無法滿足學校各種安全管理需求的，需要購買信息安全服務。”華中科技大學教授于俊清也表示，“我們可以花錢買設備，也可以花錢買安全，買服務。”安全服務外包在人手不充足、技術更新換代極快的情況下已經變成一種必然選擇，但仍然有許多關系需要厘清，那么，外包安全服務應該如何實施？

要制定可操作、可檢查、可追責的服務標準

張華江南大學信息化建設與管理中心主任

為彌補自身不足，學校可采用服務外包的方式引入外部人員和力量共同做好網絡安全工作。服務外包合作伙伴一般都是國內知名網絡安全廠商，他們的技術實力和經驗積累可以協助學校做好網絡安全中定期檢測、日常監測、緊急處置等工作，對學校網絡安全問題能早發現、快處理，發揮了積極作用。

從江南大學的實踐來看，服務外包可以有效彌補自身技術人員人數不足和能力不足兩方面的短板。在操作中，學校人員應加強網絡安全頂層設計的謀劃，將服務外包內容納入學校網絡安全統一工作體系，學校加強管理和考核。由于服務外包不如產品那樣具有非常明確的實物或外在形式，做好服務外包需要學校和廠家一起對服務外包的內容和效果制定可操作、可檢查、可追責的服務標準。只要多方攜手一起，勇于擔起網絡安全責任，網絡安全也不是洪水猛獸，是可防、可控的。

外包服務需要界定好法律職責

王玉平上海海事大學信息化辦公室副主任

高校信息安全隊伍的建設存在技術不足的困難，為了解決該問題，必須借助于外部力量。我們的外包服務主要是指系統建設、系統運維和桌面服務，尤其是桌面運維服務，安全運維貫穿其中。在上海海事大學，借助于外部力量主要是指在管理規定和操作規程的完善上借助于外部力量，制度一旦制定，外包團隊必須依規操作。

另外，《網絡安全法》的處罰對象沒有明確說明外包團隊可以擔責，但明確規定校內相關人員需要擔責，因此無論是否外包，校內人員必須做好各項安全工作。

網絡安全工作應引入第三方安全咨詢服務

林飛山東大學信息化工作辦公室副主任

目前,面向高校的信息安全產品技術水平尚需進一步提升，外包服務能力尚待進一步提高，解決方案的適應性和針對性有待進一步加強。高校網絡與信息安全工作需要與政府、企業、科研機構、社會組織等多方面廣泛合作與協同，特別要引入第三方安全咨詢服務。網絡與信息安全是一個融合技術、管理和服務的體系，應加強安全體系規劃和頂層設計，針對關鍵和重要安全問題與安全公司開展校企合作研發、購買安全服務等，合作中應以校方為主導。

核心自主管控＋全局服務外包可以是一條路

李振峰鄭州科技學院信息中心主任

高校信息安全產品與外包服務是目前高校技術與人員儲備不足的有益補充。我認為，高校信息安全應該采用核心自主管控＋全局服務外包、“部分自主整體合作”模式。對于學校內部應用系統、數據中心等核心功能及核心數據信息安全首先要自主管控，同時借助第三方技術服務優勢，將日常運行安全，機房運行安全等采用服務外包與第三方合作共建、風險共擔。