评估：安全市场的一杯黑咖啡

该负责人表示，他们公司对于信息安全非常重视，但是目前还不知道国内哪些机构和企业具有信息安全评估的资质，他说曾经咨询过微软、IBM，但对方表示不做评估业务，反而建议他们找国外会计师事务所。因此他向记者咨询，目前国内的安全评估到底怎么样。

看到这里，记者只能说，大公司就是大公司，做事情确实负责任。

据悉，目前安全评估市场在国内还非常小（国外比较大），其中主要集中在电信运营商的安全评估，企业用的较少，主要原因是很少有公司愿意把自己的安全设施暴露给第三方机构。正是由于这个问题，造成了目前企业安全评估的两个问题：

第一，一些传统的网络/安全厂商，他们一般仅仅给自己的客户做评估，但这不仅受到销售的影响，无形中会增加让用户多买设备的意图，而且“自产自销”的模式难以保证评估的中立性。

第二，一些大公司为了保证评估的中立、客观，一般都不亲自进行评估活动，如果客户有需求，往往推荐第三方机构，如会计师事务所的信息安全审计。

但把评估交给第三方也有问题，因为所谓安全评估的核心，其实就是信息系统的“弱点分析”，一般只有具有安全研发实力的厂商才可以做到，同时这个厂商还必须要有相应的弱点分析部门。因此，很少有会计师事务有这样合适的人选。说白了，从事安全评估的企业需要养着一群“黑客”（不是骇客），只有他们才具有分析信息安全漏洞的资格。

但把安全暴露在第三方的“黑客”前接受检验，试问哪个企业有如此但量呢？另外，很多用户也担心自己会被这些公司牵着鼻子走。

黑咖啡需要加糖，安全评估需要保证！

因此，在目前阶段，市场呼唤有研发经验的、有专业资质的、有信誉保证的第三方评估机构或大型企业的支持，但在目前国内安全信用没有立法的情况下，记者只能建议有需求的读者，在签订合同时一定要提出相关的保密协定，以免受到损失。

转载地址：http://www.cnw.cn/cnw07/security/TechApp/htm2007/20070313_20460.shtml

（编辑：ASP站长网）