本文中提到的主机评估加固服务指：操作系统及运行于操作系统之上的中间件和数据库管理系统。

国内信息安全服务商的工作方式是：

1、根据主机资产类型的不同，分别制定检查列表（如：Windows,Linux,Apache,Oracle,SqlServer等）；

2、通过检查目标资产的配置与检查列表的差距，得出安全评估结果；

3、根据安全评估结果，甲乙双方制定加固方案列表；

4、按照加固方案列表，实施安全配置方面的加固工作。

在这种工作方式下，同类资产采取相同的评估指标，和相似的加固方案。为满足同类资产的基线要求是合理的，然而这种做法存在一些问题：

1、按资产数量计算工时收费的合理性。操作系统可能是批量安装的，在尚未有做过安全配置之前，几乎是完全一样的配置，逐台检查并按照台次计算服务费用增加了甲方的成本；

2、不同的主机承载着不同的业务系统，对安全的要求是有区别的，而目前我们的检查列表是通用的；

3、对操作系统、中间件、数据库管理系统和Web应用程序的安全评估是独立进行的，安全配置加固和安全产品部署也是各做各的，缺乏站在整个业务系统的角度整体考虑。

由于缺乏对业务系统的整体考虑，我们的具体加固工作就变成了只解决各自层面发现的问题。例如：发现一个Web应用程序的漏洞，漏洞使攻击者能够获取Webshell，常规的安全加固方案是协调Web应用程序的开发人员修改应用程序来修复这个漏洞本身。

为什么在不能更进一步对操作系统和中间件的进行安全配置，减少将来出现同类漏洞而可能造成的影响。

出现这个问题的原因有：安全服务内容按资产类型及数量计费，不同资产类型由不同服务人员完成，网络安全工程师负责网络、主机安全工程师负责主机、Web应用安全工程师负责应用、移动App应用安全工程师负责App…

服务人员之前缺乏沟通和协作，各做各的事，各收各的钱，钱没少收，服务交付的价值还有提升的空间。

那么，从业务系统整体考虑安全问题，改善这部分的安全服务工作能够提升安全服务商交付的价值。交付更多的价值，服务商才能赚到更多的钱。

郝轶/文 转载请注明E安全

E安全——全球网络安全新传