一直以来，常常听到行业内的人探讨“安服”，一说安服就“渗透测试”，把以渗透测试为代表的安全服务完全说成了“安全服务”。很多从业者的销售、售前、技术都不约而同的如是说。

信息安全服务就是只是渗透测试吗？或者说渗透测试能完全代表信息安全服务吗？为什么这个行业的那么多的从业者，都是这样理解呢？

那我们一起看看，国家标准规定的真正安全服务都有哪些:

首先，可以分为信息安全咨询服务、信息安全设计与开发服务、信息安全集成服务、信息安全运营服务、信息安全处理和存储服务、信息安全测评与认证服务、信息安全测评与认证服务六大类。从六大类，我们可以看到很多人对“安服”的理解是比较狭隘的。

再往下细分，如信息安全咨询服务又可以分为信息安全规划咨询、设计咨询、管理体系咨询、工程监理、测试评估、安全培训等，而大家比较熟知的信息安全风险评估总体归到信息安全咨询服务大类、信息安全测试评估子类。

基于如上分类，需方根据自身的信息化现状和信息安全需求,对服务中类或小类进行组合，形成信息安全服务实例。因此，信息安全服务可以服务实例的形式，由一个或多个服务中类或者服务小类构成，某些还可能包含本文件不涉及的其他扩展的服务。通常信息安全服务实例有以下几种类型：安全咨询、风险评估、安全集成、安全运维、应急响应、灾难恢复、安全培训、安全测评、安全监理、安全审计、安全运营。

信息安全咨询服务下面有信息安全测试评估，而信息安全测试主要是针对信息系统、软硬件产品等被测对象的安全属性，由供方在特定的测试环境下，根据需方授权，按照测试准备、测试实施、测试分析、测试结果反馈等工作流程，选择适用的方法/工具，动态分析测试数据，发现被测对象存在的安全隐患，验证被测对象安全保障措施的符合性及有效性，提出安全整改建议。信息安全测试通常包括信息系统安全测试、APP安全测试、漏洞安全扫描、基线配置核查、渗透测试、源代码审计等。信息安全测试工具应符合相关国家标准要求，确保可靠性和安全性。

从这里的描述，可以看到“渗透测试”仅仅是安全服务的一个子集的子集，并不能代表“信息安服”这个大概念。所以，很多厂商以及厂商的渗透人员，常常以自己做“安服”作为标榜。其实，只要是从业人员，基本上是做“安服”的人。

信息安全硬件集成

信息安全硬件集成主要是针对需方采购或租赁的信息安全硬件设备,由供方根据已制定的系统集成方案(包含设计方案和实施方案等)，明确集成部署方式,按照部署环境搭建,安装配置、功能调试、性能测试等工作流程规范开展集成部署工作，确保各个子系统实现安全互联互通。信息安全硬件集成通常覆盖信息安全需求分析、规划设计、设备采购、集成部署、交付验收等过程,其中,集成部署环境一般有以下几种：部署在需方本地机房,部署在托管数据中心，部署在云平台的虚拟资源上,或者以前面几种形式混合部署等。

任何提供的主要服务内容与以上描述相符的服务，均可归入本类

信息安全软件集成

信息安全软件集成主要是针对需方采购或租赁的信息安全软件、系统(包括软件构件)，由供方根据已制定的软件集成方案(包含设计方案和实施方案等),明确部署安装方式，按照部署环境搭建，软件集成实施(包括现场系统开发)、现场部署、评测改进等工作流程规范开展集成部署工作,确保信息安全软件、系统实现安全、高效应用。信息安全软件集成通常覆盖信息安全需求分析、设计、实施与运行、测试与改进和验收等过程。

任何提供的主要服务内容与以上描述相符的服务,均可归入本类。

信息安全运营服务则涵盖信息安全监测、安全检查、威胁信息共享、信息安全分析、信息安全报送、恶意代码防范和处理、信息安全应急响应、信息安全演练、信息安全调查取证、信息安全加固、信息安全运维规范管理、信息安全审计、身份管理、备份和恢复等14个小类，当然还涉及其他信息安全运营服务。

而等级保护测评、密码测评、分级保护测评等，则归属到信息安全测评与认证服务大类。所以，等级测评机构提供的服务，也是安全服务的子集。

有感前几天，资质审核老师对一些问题的指正，更加深了依据标准这个理念。而很多很多的厂商，在提供产品和服务时，大量存在自说自话，与国家标准脱节。而业主方在听着一些吹牛逼的人胡呲乱吹后，脱离实际异想天开乱要求。甲乙双方互相认为对方不懂，殊不知双方都是在各自的理解里，信马由缰式的狂奔。最终，往往是骗子与傻子结合成项目。

这里依据国家标准做个简单的展示，希望从业者能够正确认识，与客户交流时能够不误导用户。否则就是吹着错误的牛逼，必然贻笑大方，说出去就是一个笑话了。而多少人是这个笑话的制造者呢？那么，这些人你的专业性又在哪里呢？