在21世纪之初，“安全”这个词就被赋予了新的定义。很多国家都在为安全问题而头痛，公民的投票也表明安全是个严重问题，企业都在学习安全方面的知识，在这个高技术时代，企业为了保护自己的财产，对安全方面的投入在不断的增加，安全问题成了各行各业的一个热门话题。对企业来说，如何管理安全性问题不仅和业务有关，企业的名誉、信任度以及内部稳定性，都与安全管理有关。

但是对安全管理是一个令人头痛的问题，很容易就会误入歧途，尤其是在基本的安全措施没有做到位的情况下。从全球范围来看，企业内部的业务环境日益复杂，而来自企业内部的攻击数量也在不断增加。而对远程办公的支持以及新技术与操作相连接时，都会增加新的安全风险。

一个没有经过良好保护的防火墙可以为黑客带来上千个可以攻入内部网络的后门，而垃圾邮件每年会令企业浪费上千小时的工作时间。系统停机不但会失去业务，而且会令客户感觉不安，因此安全决不是一个可以一笔带过的话题。

Frost & Sullivan的分析师James Turner 认为，目前安全问题产生的动机已经发生了改变，其中一个主要原因是黑客对金钱更加渴望了，因此敲诈以及身份盗用已经变得越来越普遍。

Turner认为：“在这个资本消费的世界里，黑客也是按照市场的方式来思考，他们在这其中找到了自己的位置。作为应对，我们将会看到与此有关的互联网法律法规出台，企业则不再只是凭兴趣来实施安全项目，而是为了保障自己的业务能够继续下去。”

为了消除安全方面的困扰，企业都在加大对IT员工以及企业自身的安全培训，越来越多的企业通过寻找托管信息安全管理服务提供商（MSSP）来进行实时或定期的安全服务。市场调查公司Yankee Group表示，到2010年，在美国将有90%的企业安全通过外包来实现。

企业所需的这些安全服务，从最简单的系统补丁管理到比较高级的企业内部整体网络安全架构管理等，都有涉及。在本文中我们所指的安全服务供应商所能提供的服务包括：网络入侵监测以及防护，主机入侵防护，系统漏洞评估，补丁管理，防火墙和VPN管理，针对病毒和垃圾邮件的电子邮件监控等。

Bulletproof Networks就是这样一个托管信息安全管理服务提供商，该公司的总经理Lorenzo Modesto认为一个完整的外包安全解决方案应该从企业的基础架构开始。他说“企业应该从自身的技术状况和现有的架构出发。管理网络安全主要就是预防-阻止不利的事情发生，这样安全管理供应商就不必忙着对企业的系统补漏了。因此企业应该先从自身的情况出发，再考虑该需要什么样的安全外包服务。”

而服务本身，则是如何管理安全架构的：在发现安全漏洞后给出警报、监视系统的运行情况、解决错误，以及准备安全事件发生后的应急措施等。

优势
当企业找到了一个好的MSSP后，根据企业和服务供应商间的协定，企业有能力对企业内部和外部网络进行专业的监控。而作为客户的企业，由于拥有了一个随时关注补丁升级以及世界安全趋势的团队，就可以放心的专注于业务问题了。

不过，和很多外包服务一样，企业几乎不可能把全部的控制权都交给专业的安全管理供应商。Modesto认为，虽然企业的IT人员也可以处理同样的安全问题，但是和专业的安全管理供应商相比，就差了一大节。而将企业的安全管理权交给专业公司的好处还有很多。

“成本是这些好处中最大的一个，对企业来说，它的优势比技术性更吸引人。企业可以通过签署服务等级协议（SLA）来确保供应商提供的服务可以实现。但是每个安全服务供应商都会告诉企业，安全是没有100%的保障的，因此也不应该有这样的幻想。安全管理供应商的作用就是减少花费的同时有效的控制安全性，这也是一些企业无法独立完成的。为了有很好的安全性，企业需要有专人，专业的工具和经验，因此在安全性方面的投资肯定是不能太少的。”

Assurance.com.au的合作伙伴，澳大利亚的邮件安全性渗透测试人员Neal Wise也持有相同看法。他认为，考虑到工作量和人工成本，让其它人来负责你的安全性是很有吸引力的。“由于聘用全职的高级安全人员非常昂贵，因此选择安全管理服务提供商会带来明显的成本下降，而且企业会得到随时的服务，这在攻击频繁发生的网络环境中，是最受企业欢迎的。”他还说：“但是企业的领导者必须正确的管理好安全关系，保证除了你之外没有没别人能够干预其中。”

Wise表示，在持续不断的安全补丁升级以及可见的Web应用中实现更高的安全性，可以大大加强这种安全管理服务对企业的吸引力。“Web应用是最容易受攻击的对象，很多企业对此都非常重视。如果有人打算闯入某个系统，那么不管安全管理作的多么到位，他们还是有可能闯入的。而安全管理服务则会在最短的时间内对这种入侵作出反应。”

墨尔本的MSSP公司 Dimension Data，客户遍及欧洲、美国和南非。该公司的本土安全经理Neil Campbell对各个地区的客户情况进行总结认为，成本是客户选择外部安全管理的一个重要原因。他说，“我们的大多数客户都没有足够的资源独立完成企业的安全管理，成本是他们选择外部安全管理的一个原因。但是也有很多人很乐于将自己的安全风险问题全部移交给另一个公司来管理。很多企业发现他们自身根本没有能力完全应付企业的安全问题，尤其是中小企业。 ”

交付控制权
但是企业该在什么时候投奔安全管理公司呢？Frost & Sullivan的Turner认为“企业在对自己的安全风险进行评估后，如果认为风险带来的损失要大于安全服务公司的报价时，或者大于企业自身管理这些安全风险所付出的成本，就可以考虑寻求安全管理服务供应商的帮助了。 ”

他还说， “如果你的企业业务需要24x7的互连网连接，那么你要么雇佣24x7的安全管理员，要么就选择MSSP。因为MSSP可以提供相当好的网络安全，同时价格要比企业自己实施同级别的安全措施要便宜很多。这是由于MSSP在安全方面更专业，而且由于规模效应，MSSP可以将实施成本降到很低的水平。 ”

总的来说，安全管理服务正在被越来越多的企业所接受，但是不可靠的服务供应商仍然存在，并且在一定程度上制约这类服务的发展 。

这些在不可靠的安全管理服务供应商，被称为业界的牛仔。很多企业和这些没有足够信用的供应商签定合同后几个月，才发现安全维护并没有达到预先约定的水平，或者这些供应商已经濒临破产，根本无力再履行合同，令企业为此蒙受巨大损失。

Network Box是一家MSSP，该公司的Andrew Tune表示，由于大多数用户对这个行业仍然持有怀疑态度，因此很多可信的供应商仍在与用户的这种心理做着艰苦的斗争。

Andrew Tune提到了一些企业客户，它们断开了与服务供应商的连接，但是供应商竟然全然不知。“这个客户打电话告诉服务供应商，它已经不再受服务商的安全控制了。但是服务商竟然还说，它仍然在监控用户的网络。这个服务商根本就没有注意到自己已经跟客户的网络断开了。”

Tune认为这并不是一个独特的案例，企业在选择安全服务供应商时，或者正在实施类似项目时，都应该对此有所警惕。这些负面的案例会影响用户的信心，但是如果找对了供应商，用户完全没有必要再为自己企业的网络安全担心了。

“企业担心会失去控制权，这实际是一种心理作用。而企业的 IT员工也担心我们会砸了他们的饭碗，这更不可能发生” Tune说。

“实际上我们会让企业的IT员工看上去和英雄一样，他们会说‘看，我们选择了多么好的项目，它为公司节约了开支，并实现了快速的部署。’”悉尼的Pure Hacking公司为多家财务公司提供安全检测服务。他们见到过很多公司应用不同的安全管理措施，有好的也有效果不佳的。他们认为，选择一个安全管理服务供应商首先应该确保该供应商可以满足企业的直接需要，此外，该供应商最好对全部领域都精通。

Pure Hacking主管Rob McAdam 说：“这是一个特别的工作，你需要与那些真正只关心安全问题的人一起工作。我的格言是：如果你认为你必须用个正方形的钉那么实际上就必须只用正方形的钉。“

“一些大型企业会直接购买我们的产品，然后自己管理自己的网络，从而获得更好的内部灵活性，而一些小型企业，要实现同等级别的网络安全，也许需要寻求外部的协助。因此除了外包成本和总体拥有成本，不同的企业每个月会产生不同的安全费用支出。”

Assurance.com.au的Wise认为，企业在选择安全管理前，应该更小心的管理目前所面对的安全风险。

“安全费用是很多企业都可以支付的，但是他们往往不清楚自己在控制着成本。和很多产业一样，安全领域也有大量的销售人员对你的资金虎视眈眈，你必须确保可以很好的控制住这些钱。你可以问一下他们都提供什么样的服务，你所需要的服务又是什么样的，比如他们是否提供24小时的不间断维护，是否有多个运营中心，是否已经有一些现成的客户可以作为你的参考，以及他们会提供什么样的核查及报告。”

安全问题是应该受到重视的，但是第一步应该先对安全服务供应商有一定的信任。很多企业都在自己处理安全问题上不断的经历实验-失败的过程，最终还是选择了可靠的安全服务供应商。

Bulletproof的 Modesto说，“选择正确的人，要比选择正确的系统架构更加重要。你应该事先彻底了解安全服务供应商。做足功课，并认真对待选择供应商的过程是相当重要的。一个好的安全管理供应商会在售前提供良好的资源，并允许你同他们的技术人员进行沟通，以便最终更好的保持企业和供应商双方技术团队的协调运作。”

SLA 安全
和很多外包案例一样，在你的企业和安全服务供应商间的服务等级协议（SLA）可能成为你的救星，也可能是你的噩梦。

SLA在你和安全管理服务供应商间的关系上，起到了很重要的作用。它会明确供应商对于你的企业所担负的责任，以及你的开销会用在哪些方面，不会用在哪些方面。

传统上讲，你的财力决定了你在SLA上可以获得什么样的服务。支付的费用越多，也就有更多可制定的服务。

举个例子来说，标准的SLA可能只是规定了在一定成本内的对企业防火墙可以进行多少个内容修改。不过，不管你的安全目标有多么小，SLA上都会有明确的规定。

Frost & Sullivan的分析师James Turner表示，合同是他们所关注的外包风险中的一个重要部分。他说，“没有人会愿意为了谁该支付硬件维护费用而争吵半年之久。和很多好的商业项目一样，每个安全项目都该确定好所有权。”

在安全方面，签署SLA时你应该注意以下几个方面：