安全运维外包服务(MSS)

根据风险管理的概念，我们知道风险可以有4种结果：接受、降低、避免和转移。信息系统的安全风险管理相同，将安全运维外包即是风险转移的有效手段。安全运维外包即是将自己业务系统的安全运维工作完全外包给外部专业的安全服务供应商，自己不再承担系统的安全运维工作。这种方式在国外称之为Outsourcing Managed Security Services，有时直接称管理安全服务（MSS，Managed Security Services），而外部的专业安全服务供应商则称之为MSSP（Managed Security Services Provider）。国外MSS已经是非常普遍的一种安全服务模式。 安全运维外包服务可以包括以下内容： 安全设备的管理，比如防火墙系统、IDS系统、VPN系统等的安全策略配置、设备日常管理、日志审计等工作； 网络及系统的日常安全监控、安全事件处理等； 安全服务的内容，比如风险评估、渗透测试、事件响应、调查取证等方面的内容； 数据安全的内容，如存储、备份、恢复等； 日常安全人员外包服务等。 在实际的安全运维外包服务的运行模式中，一般又可以分为两类：一类根据其特点可称之为安全托管服务，另一类则是我最推崇的、真正的安全管理服务。 安全托管服务比较容易理解，即将自己的需要管理的业务系统托管到安全外包服务提供商（MSSP）那里，这类的MSSP具备专业的安全托管环境，一般自己拥有或租用专业的IDC机房，提供专业的安全运维环境，比如Internet带宽、安全防护设备、安全运维平台等。 而我所推崇的安全管理服务的服务商（MSSP）一般具有完善安全解决方案（如全线的安全产品）或具备较高的安全运营管理水平，他们利用自己的核心优势，为客户提供外包的安全服务。比如某用户可选择将终端的恶意软件防护工作外包出去，那么MSSP将根据用户的环境，为其提供全系列的诸如防病毒、防垃圾、内容过滤等安全防护产品解决方案、日常人员的技术支持以及管理和应急响应等服务，这种安全管理服务的案例参考这篇文章。 MSS在国外是一个成长迅速的安全市场，根据Gartner报告，2005年有60%的组织会将其网络边界防护技术里的至少一个方面外包出去。而根据IDC的报告，MSS正以35%的年增长率在迅速增长。下图则是Gartner发布的2005年底北美市场的MSSP魔方图（Magic Quadrant）： 从图中我们可以看出，向AT&T这类公司，由于具备IDC等电信领域的先天优势，在提供托管式安全外包服务方面具有相当的优势，而另一类如Symantec、VeriSign等公司利用自己在安全方面的专业技术优势，同样能够为用户提供专业的安全管理服务。 下面我们再来看一下安全运维外包服务（MSS）的优势与风险：一、安全运维外包的优势 安全外包服务中，无论是托管式外包服务还是管理安全服务，用户本身都不再负责自身的安全运维工作，将安全运维管理的责任交由MSSP来负责。安全运维外包服务在很多方面都具备明显的优势： 运营成本 首先体现在运营成本方面，将安全服务外包出去的成本要明显低于自己负责安全运维工作。无论哪一种安全运维外包服务方式，安全外包服务提供商（MSSP）都是同时向多个客户提供相同或相似类型的服务，因此能够充分、有效的利用现有的人员、设施、环境等，从而有效地降低了每终端成本（Per Client Cost）。 人员成本 人员成本是组织安全管理方面很重要的一部分。安全专业人员的招聘、培训和管理会给组织IT运营管理带来很重的负担，而采用外包服务，这方面的人员成本就应由MSSP来负责了。 技术优势 如果企业采用自身的安全运维人员来完成安全运维工作的话，由于运维人员长期局限于自己的业务安全管理，其技术能力、经验方面也将局限在一定的范围内。相对于MSSP，其安全运维人员则负责运维管理众多不同的用户，面临诸多复杂的网络环境、异构环境等，因此从技术优势上要明显优于采用企业自己雇佣的安全人员。 设施环境 专业的MSSP一般都拥有或租用大规模的IDC专门负责运营众多不同用户的业务系统，有的MSSP还有比较优秀的安全运维管理中心（SOC，Security Operations Center）系统，能够提供更加优质的服务保障。 除此之外，安全外包服务商在管理手段、管理流程、所提供的服务能力（如可提供7*24小时不间断服务）等很多方面具备相当的优势。我们这此不一一列举。 二、安全运维外包的风险 虽然，安全外包服务能够带来很多的优势，但由于是将自身的业务系统的安全运维外包，在选择这种业务模式时必然要考虑到其可能带来一些潜在风险。 信任风险 当选择外包服务后，一个明显的问题即是如何保证与外包商（MSSP）的信任关系。由于是由MSSP负责自己业务的安全运维工作，毫无疑问，其了解并掌握着自身的信息系统的运作流程、风险弱点等，这些风险弱点一旦被泄露或被利用，其带来的后果将是不可估量的。 由于同样的原因，一旦因为某种原因需要终止安全外包服务这种关系时（替换供应商或终止外包业务），都将面临着如何安全终止合作关系的问题。 法律风险 选择外包服务的组织和外包商都必须在业务合作开始之前详细的评估采用外包服务后所带来的潜在的法律问题，因为一旦发生安全事件后，如何确定双方的职责将是非常重要的。 除对外包方的信任管理、责任分割、法律风险等外，更多的潜在风险如外包设备的运营环境（共享环境下的安全）、外包商的关系维护、一些隐含或不可预知费用等，都会是在安全外包管理时必须要考虑的因素，否则这些方面的潜在风险可能会给业务带来严重的危害。 而同样的业务类型放置到国内的环境来讲，上述问题更多的体现在信任问题和法律问题这两个关键因素上来。 一方面，由于产业发展刚处于初始期，市场上少有专业的服务提供商（MSSP），即使有一些宣称自己是MSSP的服务提供商，其服务能力、管理水平等也无法得到有效的评估，服务提供商良莠不齐，用户根本不可能将自己的核心业务交给一个自己不放心的服务商那里去管理。 另一方面，同样由于是产业发展的阶段，在国家在相关法律法规方面还有很多空白，一旦在运维中出现问题，很难通过现有的法律手段得到有效的解决。 所以虽然外包管理服务在国外发展比较迅速，已经具备了一定的市