綠盟科技安全服務體系從無到有，可以將其分成五個階段。

第一階段 安全能力傳遞（2000-2003 年）

自綠盟科技成立伊始，安全服務就成為首批具有鮮明綠盟特色的安全業務，早期安全服務的主要客戶群體是網際網路企業，其企業規模和如今的網際網路企業不可同日而語，服務內容也相對單一，主要是圍繞伺服器這一核心資產進行的技術性服務 ：包括滲透測試（攻防能力展示）、安全加固（缺陷修復）、應急響應（抑制和止損）、安全培訓（知識能力傳遞）。基於自身安全能力的傳遞和變現成為安全服務在國內行業啟動的第一源動力。

這期間，綠盟科技開始實踐並孵化出了一些工程服務的業務雛形。

01嘗試管理評估

基於英國標準化協會《資訊保安管理體系》標準BS7799，嘗試在客戶專案中進行目標明確的管理評估（與管理評估相對應的通常被稱為技術評估），這為後來的風險評估體系化和管理諮詢業務注入了關鍵基因。

02標準化安全服務

隨著服務專案體量的逐步加大，包括中標某運營商的全網評估，都對工程管理、文件質量和資料呈現提出了更高的要求。當時正值非典時期，疫情期間業務的暫時擱置給了技術人員大量的空窗期，他們對文件模版、工作規範開始了全面的標準制定，包括滲透測試報告等模版都開始出現了。這一標準化工作的啟動，一改安全服務輸出成果的文件形態，更加貼近技術文件的行業現狀，成為安全服務標準化的第一步。

第二階段 安全服務體系建立期（2003-2008 年）

在綠盟科技的“產品”和“服務”兩大業務體系的構建過程中，如同行業內眾多安全細分領域的創業公司一樣，綠盟科技在以服務為觸點接觸客戶的同時，為產品賦能成為安全服務的重要使命：圍繞產品構建服務體系；透過產品為人員二度賦能：如基於掃描器進行評估服務，基於IDS流量進行一定週期內的威脅分析。這一模式很大程度上解決了“專家級”人才相對不足的問題，人員透過產品培訓以及基礎知識儲備即可完成“程式化”服務。

這一階段，綠盟科技安全服務的服務主張逐步形成，一個優秀的服務離不開清晰的服務主張，只有具備服務主張，服務人員才能和客戶最大程度上達成一致的認知。早期綠盟提出的服務主張被概括為5-3-9-3模型（5個目標、3個階段、9個服務模組、3個價值）。

5-3-9-3 模型

透過5-3-9-3模型可以看到，其融合了BS7799、國際標準化委員會《資訊保安管理指南》標準ISO/IEC13335以及系統安全工程能力成熟度模型SSE-CMM的體系思想，充分識別了認證合規、風險管理以及資料和業務可靠的安全服務核心驅動力，尤其是資料可靠這一安全目標的識別，在當時是難能可貴的。在這一時期，安全合規以及與IT治理相關的諮詢服務隨著BS7799被採納為ISO27系列標準，以及美國《薩班斯—奧克斯利法案》SOX的出臺，綠盟科技安全服務開始逐步進入客戶的視野並且獲得了客戶的認可。越來越多的客戶意識到各項安全工作推進前，安全標準需先行，安全標準的重要性被提升至了新的高度。綠盟科技也從向單一客戶提供技術和管理的實踐性服務，逐步過渡到參與行業安全標準乃至國家網路資訊保安標準的制定，包括國家資訊保安產品測評中心《網上證券交易系統安全保障要求》、公安部《資訊系統等級保護評估實施指南》、國家資訊中心《資訊保安風險評估/管理指南框架》、證監會《證券期貨業安全保障體系》、國家應急響應處理中心《網路安全事件處理服務規範》等一系列標準的討論和制定，這其中均可以看到綠盟科技安全服務顧問的身影。透過對安全標準的充分理解和吸納，並將其與綠盟科技的原生服務能力融合，綠盟科技透過5-3-9-3模型首次將風險管理、認證諮詢與合規和可管理安全服務（MSS）整合形成統一解決方案的體系模型，這也奠定了綠盟科技安全服務體系化的發展基石。

值得一提的是，這一階段的綠盟科技也開始嘗試透過全面運營的方式助力客戶安全能力的提升。2003年正值與微軟作業系統相關的各類蠕蟲爆發的時期，包括衝擊波在內的蠕蟲爆發給大量企業造成了巨大的業務損失，綠盟科技立即啟動與某國內大型券商的全面運營服務，作為安全第一責任人全面參與各項網路安全工作，將日常運維服務與系統安全管理緊密融合，迅速帶動了客戶安全能力的實質提升。

經歷國家重保，讓我們意識到安全服務的“地面部隊”需要與雲端能力共同構建，從而形成立體的保障體系。透過雲端能力和現場保障人員的充分連線建立“雲地”兩級的保障體系，這也成了綠盟科技“雲地人機”思想的雛形。

第三階段 安全服務成熟期（2008-2014 年）

隨著行業客戶的崛起和成熟，綠盟科技安全服務也進入了業務的成熟期。典型模式中開始將服務能力與行業特點和業務場景相融合，無論是針對銀行業的電子銀行評估，還是主要面向運營商行業的安全域劃分，綠盟科技安全服務均成為行業服務的標杆，同時也進入了行業客戶和通用安全的視野。善用依託通用安全服務的能力和知識體系，設計具有行業針對性的安全服務，成為綠盟科技安全服務的特色。

典型行業服務 - 電子銀行評估

典型行業服務 - 安全域劃分

同時，這一時期的安全服務體系也將諮詢設計、可管理安全服務、教育與培訓、安全能力評價以及安全研究等主要的服務領域進行了更加模組化的設計，形成了更加清晰的客戶服務全景。參考IT服務領域的成熟經驗，綠盟科技安全服務也引入了“服務產品化”的概念，即基於安全服務研發和交付的同時性，快速構建創新服務的體驗原型，實現安全服務能力端到端的交付與快速複製。

綠盟科技安全服務體系

第四階段 安全服務爆發期（2014-2018 年）

隨著2014年綠盟科技在深交所上市，在原有優勢的基礎上，對安全研究領域加大投入，分別在物聯網、雲端計算與虛擬化、資料智慧等前沿領域成立了獨立實驗室，並且釋出了智慧安全2.0戰略，正式啟動基於“雲地人機”的安全運營戰略轉型之路。服務業務也開始走向海外市場，其中具有代表性的包括在海外陸續建立的雲清洗中心CloudDPS等服務能力建設。

這一時期，合規與治理的外部政策環境出現了里程碑式的根本變化，隨著《網路安全法》、歐盟《通用資料保護條例》（簡稱GDPR）等法律的相繼釋出和實施，資產保護的視角從聚焦伺服器資產和人員資產逐步轉向關注全生命週期的資料資產。從這兩年網路安全大會RSAC創新沙箱環節的評選就可見一斑，資料和隱私成為新的行業熱點，一批相關領域初創公司（2020年的創新沙箱得獎者Securiti.ai就是典型代表）開始湧現。在資料和隱私這條安全新賽道上，綠盟科技及時面向客戶群體啟動了針對GDPR以及《網路安全法》的政策解讀，並第一時間面向具有跨境業務的客戶提供GDPR諮詢服務，從人員、流程、技術和隱私治理等多角度出發，督促企業儘快符合GDPR的要求，成為最早擁抱資料和隱私領域的國內主流安全服務商。

綠盟科技 GDPR 諮詢合規服務

在對抗領域，在“震網”Stuxnet時期初露端倪的APT攻擊以及全球網路戰逐步成為安全的新興驅動力。在此背景下，國家也對關鍵資訊基礎設施保護提出了更高的要求，評估服務在作為不可替代的基礎服務的同時，更具對抗性和協同效果的評估服務如紅隊/藍隊（RedTeam/BlueTeam）服務作為增性型服務開始出現。為應對對抗升級，綠盟科技透過建立專業的紅隊和藍隊，將攻防能力、裝置防護與運營能力，分別從紅藍兩方的視角面向企業客戶提供對抗服務，從而確保關鍵資訊基礎設施在執行過程中，可以實現情報能力、事件響應能力和對抗效能力的協同運營。

第五階段 安全服務體系 2.0（2018 年-至今）

回顧綠盟科技安全服務體系的演進過程，其核心驅動力始終是以風險管理、合規驅動以及新技術領域或新攻擊面為導向，進行全生命週期管理的服務理念，姑且稱之為安全服務體系1.0。基於這一理念，綠盟科技認為構建一個成熟的安全服務體系的基礎要素包括服務主張、核心能力、體系化和標準化能力以及持續運營能力。那麼，面向未來安全服務業務領域，進行2.0版本的服務體系升級，需要哪些變革呢？

1.逐步改變以產品和服務為觸點的模式，將使用者視作安全能力運營中的監測點，透過輔助使用者閉環運營來驅使安全能力的提升。

2.服務能力從依託專家和積累經驗的異質性交付，變為以知識管理為前提，依託高效能平臺工具，將安全能力傳遞給使用者並構建有效的運營機制。

3.安全人才從單一的攻防型人才強勢需求，走向細分崗位橫縱拉通、高效協作的複合型需求。安全服務體系2.0將出現能力團隊、運營團隊、服務方案設計團隊以及專項業務縱向指導團隊，實現了從需求到建設，再到運營的立體架構。

4.安全人才與業務模式互為推力，安全人才在演進的過程中呈現出多元化的發展態勢，其實是業務需求、技術變更和監管的共同驅動作用下，推動安全服務業務模式的進步。安全人才在業務模式的帶動下，崗位發展逐步精細化，當專業化人才形成規模時，反過來會對安全服務業務進行正向的改進和最佳化。因此，需要對體系化和標準化的服務框架進行撮合，相互促進。

綠盟科技安全服務體系2.0立足於自身安全能力以及對行業客戶的理解，以“創新、共建、價值化”作為服務理念，將服務專案、服務資料、服務人員作為觸點，透過運營強化和知識管理來構建服務能力中臺，最終透過“標準化+方案化”的服務產品來進行端到端的交付，實現面向客戶的能力轉移。

綠盟科技安全服務體系 2.0

可以預見，在新的安全體系下，除了風險管理、合規治理以及新增攻擊面等傳統驅動力，透過新的資料和知識驅動，將衍生出一系列新興服務：

資訊保安行業以及綠盟科技安全服務時間軸（2000 -2020 年）

新體系下的安全體系建設諮詢:隨著安全思想的進步以及專業安全人員的相對稀缺，原有的安全體系難以更好地匹配安全建設、檢測與響應等場景的需求。而“對抗戰術、技術和常識”ATT&CK框架、安全編排自動化與響應SOAR等兼具知識管理，可擴充、可落地，具備實戰能力的體系模型開始成為客戶安全建設時的體系參照，由此衍生出的威脅建模等服務，將客戶的檢測和響應體系、自動化能力以及內外部安全資料和知識更好地進行結合，使企業安全建設能力得以最大程度地發揮，實現投入和產出比的最大化。

情報與協同服務:由於安全行業存在大量的細分領域，任一安全廠商可能都無法獨立完整構建滿足客戶需求的安全情報體系，即便客戶採購多源的情報，但這些情報如何更精準地應用於客戶，往往只有貼近客戶的服務供應商才有最大的發言權。瞭解企業的資產情況和風險偏好，結合外部多情報源的輸入，併發揮安全廠商原生情報和社群化能力，將使企業應對關鍵時刻，（如國家級演練、高危漏洞爆發時）快速響應和決策，拉通每個客戶形成一定範圍的情報共享社群，實現跨企業的響應閉環和情報共享。

資料分析與評價服務:隨著客戶運營能力的增強，服務過程中產生的大量客觀資料和主觀評價，均可用於持續定級和度量當前的安全運營狀態。安全廠商在介入運營的過程中，也會提供更強的資料能力和決策建議能力，協助企業掌握自身的風險評級。

結束語

綠盟科技經過在安全服務領域的深耕，並與各行業客戶風雨同舟二十載，深深意識到安全服務能力的長期發展將是對服務團隊耐力和生命力的考驗，其過程註定是持續而漫長的，若失去了耐力和延續性，安全服務能力的進步將停滯或者偏離。安全服務是一種共創價值的業務形態，持續抓住客戶需求並對其精準回應，共同決策、積累和沉澱經驗，最終共同實現安全能力的螺旋式上升。

最後，用一段話結束本文，“雖然我們可以利用各種工具來完成一些自動化的檢測工作，但是更重要的是經過我們經驗豐富的工程師的人工檢測，撰寫了這樣一份易於理解和實施的專業性報告，這是任何安全工具都不能實現的目標。”

綠盟科技安全服務，將安全帶到裝置不可達的地方。