当病毒传播选择了互联网这条路,当黑客攻击日益普遍频繁,当垃圾邮件开始铺天盖地,当信息泄漏对企业的伤害越来越严重,防病毒、防火墙、IDS/IPS、反垃圾邮件、数据保护等安全产品,开始逐步地进入到企业网络中去。奇怪的是,同样相关的安全体系建设、风险评估、应急响应、产品增值服务等服务项目,却远没有这些安全产品那么普及。
　　
　　服务不够实在
　　
　　购买硬件安全产品,买到手的是个“盒子”,摆在那里实实在在,即插即用。购买软件安全产品,可以安装到各种系统中,根据需要灵活调整安全策略。购买安全服务这种无形的东西,看不到摸不着,不放心!
　　安全服务是指服务提供商用自己的经验和方法来帮助用户树立比较好的思考安全问题的方式,或者帮助用户全面、快速、准确地解决具体安全问题的操作方法。它的确不像安全产品那样实实在在,但这并不说明它的能力也不是实实在在的。
　　从产品本身层面看,无论是软件还是硬件安全产品,谁都不能保证它100%地没有问题,一旦产品自身出现问题,自然就要靠服务来解决问题。
　　从产品应用层面看,安全产品的部署并不难,难在如何让这些安全产品部署在最能发挥它功能的位置上,并经过合理的配置让它的功能极大化,这有时也要借助服务的力量。
　　而且,安全始终是人与人之间在博奕,面对变幻莫测的各种安全威胁和攻击手段,有时候仅靠安全产品只能治标,只有借助服务的力量才可能治本。
　　
　　午餐要免费的
　　
　　购买安全产品的时候已经附带了安全服务。那些单独开价的安全服务本身没有什么特别的价值,更多的只是厂商为了推销自己更多产品的噱头。所以,需要免费的安全服务,但不会对服务付费。
　　天下没有免费的午餐。每一项安全服务,无论是台前幕后,都离不开专业安全人士的努力,离不开安全厂商的人力、物力、财力支持,因此,不可能存在真正免费的安全服务。
　　尽管从表面看,的确有很多基础服务的费用是包含在安全产品的采购成本中的,例如各种安全产品的特征库升级服务。但这类服务一旦到期后还想继续使用,就必须通过续费的形式才能获得,因此并不是真正意义上的免费,只不过付费的方式发生了变化而已。
　　而且,这些看起来免费的服务,通常都是产品相关的服务,是基础的服务。与此同时,厂商通常还会提供一些增值服务或者高级服务,这些服务虽然需要单独付费,但是却会更加贴心。例如,梭子鱼的售后服务体系中的基础服务的主要内容就是“5×8小时服务、随机派人解决问题”,而高级服务的内容则升级为“7×24小时服务、专人提供服务、尽可能提前预见风险”。显然,高级服务更能增强企业的抗风险能力。
　　所以,如果条件允许,不妨把免费的午餐换成精致可口的盛宴吧!
　　
　　在乎的是价格
　　
　　安全服务听起来很专业,解决的都是难题,所以才报价不菲。其实安全产品一样是可以侃价的,所以,在采购安全服务时应该把价格尽可能地压低。
　　安全产品一旦研发出来,其成本会随着出货量的提升而降低。而安全服务则完全不同,是需要服务人员真刀真枪地实战的,因此,安全服务绝对不是零成本,也不会随着服务内容的增加就降低了成本。即便对安全厂商而言,安全服务的价格也是比较敏感的。
　　产品相关的安全服务相对规范化、流程化,服务的内容和价格都比较透明。但咨询类安全服务则不同,很多服务内容都是属于定制化的,会受到安全内容以及所服务的企业的网络现状、具体应用、安全体系情况影响,因此不可能明码标价。
　　很多企业在采购安全服务时,总是在价格上过分计较,但安全服务的价格绝对不是越低越好。因为安全服务的成本是实实在在的,如果过分压低价格,安全服务的品质势必会大大降低,企业势必会得不偿失。
　　综上,用户对安全服务的认识的确存在很多的误区,其最大的误区还不是采购习惯,而是没有真正理解安全服务的真正价值。