在21世紀(jì)之初�����,“安全”這個詞就被賦予了新的定義�����。很多國家都在為安全問題而頭痛�����,公民的投票也表明安全是個嚴(yán)重問題����,企業(yè)都在學(xué)習(xí)安全方面的知識,在這個高技術(shù)時代��,企業(yè)為了保護(hù)自己的財(cái)產(chǎn)��,對安全方面的投入在不斷的增加��,安全問題成了各行各業(yè)的一個熱門話題�。對企業(yè)來說,如何管理安全性問題不僅和業(yè)務(wù)有關(guān)�,企業(yè)的名譽(yù)、信任度以及內(nèi)部穩(wěn)定性�����,都與安全管理有關(guān)�。
但是對安全管理是一個令人頭痛的問題,很容易就會誤入歧途�����,尤其是在基本的安全措施沒有做到位的情況下���。從全球范圍來看����,企業(yè)內(nèi)部的業(yè)務(wù)環(huán)境日益復(fù)雜,而來自企業(yè)內(nèi)部的攻擊數(shù)量也在不斷增加��。而對遠(yuǎn)程辦公的支持以及新技術(shù)與操作相連接時����,都會增加新的安全風(fēng)險。
一個沒有經(jīng)過良好保護(hù)的防火墻可以為黑客帶來上千個可以攻入內(nèi)部網(wǎng)絡(luò)的后門��,而垃圾郵件每年會令企業(yè)浪費(fèi)上千小時的工作時間��。系統(tǒng)停機(jī)不但會失去業(yè)務(wù)�����,而且會令客戶感覺不安��,因此安全決不是一個可以一筆帶過的話題��。
Frost & Sullivan的分析師James Turner 認(rèn)為�����,目前安全問題產(chǎn)生的動機(jī)已經(jīng)發(fā)生了改變���,其中一個主要原因是黑客對金錢更加渴望了��,因此敲詐以及身份盜用已經(jīng)變得越來越普遍����。
Turner認(rèn)為:“在這個資本消費(fèi)的世界里���,黑客也是按照市場的方式來思考�,他們在這其中找到了自己的位置��。作為應(yīng)對��,我們將會看到與此有關(guān)的互聯(lián)網(wǎng)法律法規(guī)出臺����,企業(yè)則不再只是憑興趣來實(shí)施安全項(xiàng)目,而是為了保障自己的業(yè)務(wù)能夠繼續(xù)下去���?���!?br>
為了消除安全方面的困擾���,企業(yè)都在加大對IT員工以及企業(yè)自身的安全培訓(xùn)�����,越來越多的企業(yè)通過尋找托管信息安全管理服務(wù)提供商(MSSP)來進(jìn)行實(shí)時或定期的安全服務(wù)��。市場調(diào)查公司Yankee Group表示����,到2010年,在美國將有90%的企業(yè)安全通過外包來實(shí)現(xiàn)���。
企業(yè)所需的這些安全服務(wù)���,從最簡單的系統(tǒng)補(bǔ)丁管理到比較高級的企業(yè)內(nèi)部整體網(wǎng)絡(luò)安全架構(gòu)管理等,都有涉及����。在本文中我們所指的安全服務(wù)供應(yīng)商所能提供的服務(wù)包括:網(wǎng)絡(luò)入侵監(jiān)測以及防護(hù),主機(jī)入侵防護(hù)�����,系統(tǒng)漏洞評估�����,補(bǔ)丁管理,防火墻和VPN管理��,針對病毒和垃圾郵件的電子郵件監(jiān)控等���。
Bulletproof Networks就是這樣一個托管信息安全管理服務(wù)提供商,該公司的總經(jīng)理Lorenzo Modesto認(rèn)為一個完整的外包安全解決方案應(yīng)該從企業(yè)的基礎(chǔ)架構(gòu)開始�。他說“企業(yè)應(yīng)該從自身的技術(shù)狀況和現(xiàn)有的架構(gòu)出發(fā)。管理網(wǎng)絡(luò)安全主要就是預(yù)防-阻止不利的事情發(fā)生�,這樣安全管理供應(yīng)商就不必忙著對企業(yè)的系統(tǒng)補(bǔ)漏了。因此企業(yè)應(yīng)該先從自身的情況出發(fā)�����,再考慮該需要什么樣的安全外包服務(wù)���?���!?br>
而服務(wù)本身��,則是如何管理安全架構(gòu)的:在發(fā)現(xiàn)安全漏洞后給出警報�、監(jiān)視系統(tǒng)的運(yùn)行情況��、解決錯誤��,以及準(zhǔn)備安全事件發(fā)生后的應(yīng)急措施等�����。
優(yōu)勢
當(dāng)企業(yè)找到了一個好的MSSP后����,根據(jù)企業(yè)和服務(wù)供應(yīng)商間的協(xié)定����,企業(yè)有能力對企業(yè)內(nèi)部和外部網(wǎng)絡(luò)進(jìn)行專業(yè)的監(jiān)控。而作為客戶的企業(yè)����,由于擁有了一個隨時關(guān)注補(bǔ)丁升級以及世界安全趨勢的團(tuán)隊(duì),就可以放心的專注于業(yè)務(wù)問題了����。
不過,和很多外包服務(wù)一樣����,企業(yè)幾乎不可能把全部的控制權(quán)都交給專業(yè)的安全管理供應(yīng)商�。Modesto認(rèn)為�����,雖然企業(yè)的IT人員也可以處理同樣的安全問題�����,但是和專業(yè)的安全管理供應(yīng)商相比��,就差了一大節(jié)�����。而將企業(yè)的安全管理權(quán)交給專業(yè)公司的好處還有很多�����。
“成本是這些好處中最大的一個����,對企業(yè)來說���,它的優(yōu)勢比技術(shù)性更吸引人�����。企業(yè)可以通過簽署服務(wù)等級協(xié)議(SLA)來確保供應(yīng)商提供的服務(wù)可以實(shí)現(xiàn)��。但是每個安全服務(wù)供應(yīng)商都會告訴企業(yè)���,安全是沒有100%的保障的�,因此也不應(yīng)該有這樣的幻想��。安全管理供應(yīng)商的作用就是減少花費(fèi)的同時有效的控制安全性��,這也是一些企業(yè)無法獨(dú)立完成的��。為了有很好的安全性�,企業(yè)需要有專人,專業(yè)的工具和經(jīng)驗(yàn)���,因此在安全性方面的投資肯定是不能太少的��?!?br>
Assurance.com.au的合作伙伴��,澳大利亞的郵件安全性滲透測試人員Neal Wise也持有相同看法。他認(rèn)為����,考慮到工作量和人工成本,讓其它人來負(fù)責(zé)你的安全性是很有吸引力的�。“由于聘用全職的高級安全人員非常昂貴��,因此選擇安全管理服務(wù)提供商會帶來明顯的成本下降�����,而且企業(yè)會得到隨時的服務(wù)�����,這在攻擊頻繁發(fā)生的網(wǎng)絡(luò)環(huán)境中�,是最受企業(yè)歡迎的��?�!彼€說:“但是企業(yè)的領(lǐng)導(dǎo)者必須正確的管理好安全關(guān)系��,保證除了你之外沒有沒別人能夠干預(yù)其中�����。”
Wise表示��,在持續(xù)不斷的安全補(bǔ)丁升級以及可見的Web應(yīng)用中實(shí)現(xiàn)更高的安全性���,可以大大加強(qiáng)這種安全管理服務(wù)對企業(yè)的吸引力�?����!癢eb應(yīng)用是最容易受攻擊的對象��,很多企業(yè)對此都非常重視�����。如果有人打算闖入某個系統(tǒng)��,那么不管安全管理作的多么到位�,他們還是有可能闖入的。而安全管理服務(wù)則會在最短的時間內(nèi)對這種入侵作出反應(yīng)����。”
墨爾本的MSSP公司 Dimension Data,客戶遍及歐洲�����、美國和南非���。該公司的本土安全經(jīng)理Neil Campbell對各個地區(qū)的客戶情況進(jìn)行總結(jié)認(rèn)為��,成本是客戶選擇外部安全管理的一個重要原因����。他說��,“我們的大多數(shù)客戶都沒有足夠的資源獨(dú)立完成企業(yè)的安全管理���,成本是他們選擇外部安全管理的一個原因。但是也有很多人很樂于將自己的安全風(fēng)險問題全部移交給另一個公司來管理�����。很多企業(yè)發(fā)現(xiàn)他們自身根本沒有能力完全應(yīng)付企業(yè)的安全問題�,尤其是中小企業(yè)。 ”
交付控制權(quán)
但是企業(yè)該在什么時候投奔安全管理公司呢����?Frost & Sullivan的Turner認(rèn)為“企業(yè)在對自己的安全風(fēng)險進(jìn)行評估后�,如果認(rèn)為風(fēng)險帶來的損失要大于安全服務(wù)公司的報價時�,或者大于企業(yè)自身管理這些安全風(fēng)險所付出的成本,就可以考慮尋求安全管理服務(wù)供應(yīng)商的幫助了�。 ”
他還說, “如果你的企業(yè)業(yè)務(wù)需要24x7的互連網(wǎng)連接���,那么你要么雇傭24x7的安全管理員��,要么就選擇MSSP����。因?yàn)镸SSP可以提供相當(dāng)好的網(wǎng)絡(luò)安全�����,同時價格要比企業(yè)自己實(shí)施同級別的安全措施要便宜很多����。這是由于MSSP在安全方面更專業(yè),而且由于規(guī)模效應(yīng)�,MSSP可以將實(shí)施成本降到很低的水平。 ”
總的來說��,安全管理服務(wù)正在被越來越多的企業(yè)所接受,但是不可靠的服務(wù)供應(yīng)商仍然存在��,并且在一定程度上制約這類服務(wù)的發(fā)展 �����。
這些在不可靠的安全管理服務(wù)供應(yīng)商����,被稱為業(yè)界的牛仔。很多企業(yè)和這些沒有足夠信用的供應(yīng)商簽定合同后幾個月����,才發(fā)現(xiàn)安全維護(hù)并沒有達(dá)到預(yù)先約定的水平,或者這些供應(yīng)商已經(jīng)瀕臨破產(chǎn)����,根本無力再履行合同,令企業(yè)為此蒙受巨大損失���。
Network Box是一家MSSP,該公司的Andrew Tune表示����,由于大多數(shù)用戶對這個行業(yè)仍然持有懷疑態(tài)度���,因此很多可信的供應(yīng)商仍在與用戶的這種心理做著艱苦的斗爭。
Andrew Tune提到了一些企業(yè)客戶�,它們斷開了與服務(wù)供應(yīng)商的連接,但是供應(yīng)商竟然全然不知��?!斑@個客戶打電話告訴服務(wù)供應(yīng)商,它已經(jīng)不再受服務(wù)商的安全控制了��。但是服務(wù)商竟然還說���,它仍然在監(jiān)控用戶的網(wǎng)絡(luò)��。這個服務(wù)商根本就沒有注意到自己已經(jīng)跟客戶的網(wǎng)絡(luò)斷開了���。”
Tune認(rèn)為這并不是一個獨(dú)特的案例�����,企業(yè)在選擇安全服務(wù)供應(yīng)商時�����,或者正在實(shí)施類似項(xiàng)目時,都應(yīng)該對此有所警惕�。這些負(fù)面的案例會影響用戶的信心,但是如果找對了供應(yīng)商����,用戶完全沒有必要再為自己企業(yè)的網(wǎng)絡(luò)安全擔(dān)心了。
“企業(yè)擔(dān)心會失去控制權(quán)�����,這實(shí)際是一種心理作用����。而企業(yè)的 IT員工也擔(dān)心我們會砸了他們的飯碗,這更不可能發(fā)生” Tune說�。
“實(shí)際上我們會讓企業(yè)的IT員工看上去和英雄一樣,他們會說‘看����,我們選擇了多么好的項(xiàng)目,它為公司節(jié)約了開支���,并實(shí)現(xiàn)了快速的部署��?��!毕つ岬腜ure Hacking公司為多家財(cái)務(wù)公司提供安全檢測服務(wù)。他們見到過很多公司應(yīng)用不同的安全管理措施��,有好的也有效果不佳的���。他們認(rèn)為�,選擇一個安全管理服務(wù)供應(yīng)商首先應(yīng)該確保該供應(yīng)商可以滿足企業(yè)的直接需要��,此外�,該供應(yīng)商最好對全部領(lǐng)域都精通。
Pure Hacking主管Rob McAdam 說:“這是一個特別的工作���,你需要與那些真正只關(guān)心安全問題的人一起工作����。我的格言是:如果你認(rèn)為你必須用個正方形的釘那么實(shí)際上就必須只用正方形的釘���?!?br>
【?發(fā)表評論?0條?】