如何外包安全管理项目

在21世纪之初，“安全”这个词就被赋予了新的定义。很多国家都在为安全问题而头痛，公民的投票也表明安全是个严重问题，企业都在学习安全方面的知识，在这个高技术时代，企业为了保护自己的财产，对安全方面的投入在不断的增加，安全问题成了各行各业的一个热门话题。对企业来说，如何管理安全性问题不仅和业务有关，企业的名誉、信任度以及内部稳定性，都与安全管理有关。

但是对安全管理是一个令人头痛的问题，很容易就会误入歧途，尤其是在基本的安全措施没有做到位的情况下。从全球范围来看，企业内部的业务环境日益复杂，而来自企业内部的攻击数量也在不断增加。而对远程办公的支持以及新技术与操作相连接时，都会增加新的安全风险。

一个没有经过良好保护的防火墙可以为黑客带来上千个可以攻入内部网络的后门，而垃圾邮件每年会令企业浪费上千小时的工作时间。系统停机不但会失去业务，而且会令客户感觉不安，因此安全决不是一个可以一笔带过的话题。

Frost & Sullivan的分析师James Turner 认为，目前安全问题产生的动机已经发生了改变，其中一个主要原因是黑客对金钱更加渴望了，因此敲诈以及身份盗用已经变得越来越普遍。

Turner认为：“在这个资本消费的世界里，黑客也是按照市场的方式来思考，他们在这其中找到了自己的位置。作为应对，我们将会看到与此有关的互联网法律法规出台，企业则不再只是凭兴趣来实施安全项目，而是为了保障自己的业务能够继续下去。”

为了消除安全方面的困扰，企业都在加大对IT员工以及企业自身的安全培训，越来越多的企业通过寻找托管信息安全管理服务提供商（MSSP）来进行实时或定期的安全服务。市场调查公司Yankee Group表示，到2010年，在美国将有90%的企业安全通过外包来实现。

企业所需的这些安全服务，从最简单的系统补丁管理到比较高级的企业内部整体网络安全架构管理等，都有涉及。在本文中我们所指的安全服务供应商所能提供的服务包括：网络入侵监测以及防护，主机入侵防护，系统漏洞评估，补丁管理，防火墙和VPN管理，针对病毒和垃圾邮件的电子邮件监控等。

Bulletproof Networks就是这样一个托管信息安全管理服务提供商，该公司的总经理Lorenzo Modesto认为一个完整的外包安全解决方案应该从企业的基础架构开始。他说“企业应该从自身的技术状况和现有的架构出发。管理网络安全主要就是预防-阻止不利的事情发生，这样安全管理供应商就不必忙着对企业的系统补漏了。因此企业应该先从自身的情况出发，再考虑该需要什么样的安全外包服务。”

而服务本身，则是如何管理安全架构的：在发现安全漏洞后给出警报、监视系统的运行情况、解决错误，以及准备安全事件发生后的应急措施等。

优势
当企业找到了一个好的MSSP后，根据企业和服务供应商间的协定，企业有能力对企业内部和外部网络进行专业的监控。而作为客户的企业，由于拥有了一个随时关注补丁升级以及世界安全趋势的团队，就可以放心的专注于业务问题了。

不过，和很多外包服务一样，企业几乎不可能把全部的控制权都交给专业的安全管理供应商。Modesto认为，虽然企业的IT人员也可以处理同样的安全问题，但是和专业的安全管理供应商相比，就差了一大节。而将企业的安全管理权交给专业公司的好处还有很多。

“成本是这些好处中最大的一个，对企业来说，它的优势比技术性更吸引人。企业可以通过签署服务等级协议（SLA）来确保供应商提供的服务可以实现。但是每个安全服务供应商都会告诉企业，安全是没有100%的保障的，因此也不应该有这样的幻想。安全管理供应商的作用就是减少花费的同时有效的控制安全性，这也是一些企业无法独立完成的。为了有很好的安全性，企业需要有专人，专业的工具和经验，因此在安全性方面的投资肯定是不能太少的。”

Assurance.com.au的合作伙伴，澳大利亚的邮件安全性渗透测试人员Neal Wise也持有相同看法。他认为，考虑到工作量和人工成本，让其它人来负责你的安全性是很有吸引力的。“由于聘用全职的高级安全人员非常昂贵，因此选择安全管理服务提供商会带来明显的成本下降，而且企业会得到随时的服务，这在攻击频繁发生的网络环境中，是最受企业欢迎的。”他还说：“但是企业的领导者必须正确的管理好安全关系，保证除了你之外没有没别人能够干预其中。”

Wise表示，在持续不断的安全补丁升级以及可见的Web应用中实现更高的安全性，可以大大加强这种安全管理服务对企业的吸引力。“Web应用是最容易受攻击的对象，很多企业对此都非常重视。如果有人打算闯入某个系统，那么不管安全管理作的多么到位，他们还是有可能闯入的。而安全管理服务则会在最短的时间内对这种入侵作出反应。”

墨尔本的MSSP公司 Dimension Data，客户遍及欧洲、美国和南非。该公司的本土安全经理Neil Campbell对各个地区的客户情况进行总结认为，成本是客户选择外部安全管理的一个重要原因。他说，“我们的大多数客户都没有足够的资源独立完成企业的安全管理，成本是他们选择外部安全管理的一个原因。但是也有很多人很乐于将自己的安全风险问题全部移交给另一个公司来管理。很多企业发现他们自身根本没有能力完全应付企业的安全问题，尤其是中小企业。 ”

交付控制权
但是企业该在什么时候投奔安全管理公司呢？Frost & Sullivan的Turner认为“企业在对自己的安全风险进行评估后，如果认为风险带来的损失要大于安全服务公司的报价时，或者大于企业自身管理这些安全风险所付出的成本，就可以考虑寻求安全管理服务供应商的帮助了。 ”

他还说， “如果你的企业业务需要24x7的互连网连接，那么你要么雇佣24x7的安全管理员，要么就选择MSSP。因为MSSP可以提供相当好的网络安全，同时价格要比企业自己实施同级别的安全措施要便宜很多。这是由于MSSP在安全方面更专业，而且由于规模效应，MSSP可以将实施成本降到很低的水平。 ”

总的来说，安全管理服务正在被越来越多的企业所接受，但是不可靠的服务供应商仍然存在，并且在一定程度上制约这类服务的发展 。

这些在不可靠的安全管理服务供应商，被称为业界的牛仔。很多企业和这些没有足够信用的供应商签定合同后几个月，才发现安全维护并没有达到预先约定的水平，或者这些供应商已经濒临破产，根本无力再履行合同，令企业为此蒙受巨大损失。

Network Box是一家MSSP，该公司的Andrew Tune表示，由于大多数用户对这个行业仍然持有怀疑态度，因此很多可信的供应商仍在与用户的这种心理做着艰苦的斗争。

Andrew Tune提到了一些企业客户，它们断开了与服务供应商的连接，但是供应商竟然全然不知。“这个客户打电话告诉服务供应商，它已经不再受服务商的安全控制了。但是服务商竟然还说，它仍然在监控用户的网络。这个服务商根本就没有注意到自己已经跟客户的网络断开了。”

Tune认为这并不是一个独特的案例，企业在选择安全服务供应商时，或者正在实施类似项目时，都应该对此有所警惕。这些负面的案例会影响用户的信心，但是如果找对了供应商，用户完全没有必要再为自己企业的网络安全担心了。

“企业担心会失去控制权，这实际是一种心理作用。而企业的 IT员工也担心我们会砸了他们的饭碗，这更不可能发生” Tune说。

“实际上我们会让企业的IT员工看上去和英雄一样，他们会说‘看，我们选择了多么好的项目，它为公司节约了开支，并实现了快速的部署。’”悉尼的Pure Hacking公司为多家财务公司提供安全检测服务。他们见到过很多公司应用不同的安全管理措施，有好的也有效果不佳的。他们认为，选择一个安全管理服务供应商首先应该确保该供应商可以满足企业的直接需要，此外，该供应商最好对全部领域都精通。

Pure Hacking主管Rob McAdam 说：“这是一个特别的工作，你需要与那些真正只关心安全问题的人一起工作。我的格言是：如果你认为你必须用个正方形的钉那么实际上就必须只用正方形的钉。“