在前一篇文章里,已经对安全运维外包(MSS)这种服务模式进行了简单的分析,下面我们再来看看安全运维服务的另一种模式,安全运维中心(SOC)的建设。
正是由于安全外包服务所面临的各种各样的问题,企业或组织在选择安全运维模式时,更多的是在考虑依靠自身的力量建立完全属于自己安全运维队伍,来保障自身网络与业务系统的安全。组织一旦决定建设自身的安全运维环境,那么将必然面临以下问题:
要解决以上三个问题,组织的安全运维中心的概念就应运而生了。安全运维中心有时称为安全运营中心(SOC,Security Operations Center)。
根据风险管理的概念,我们知道风险可以有4种结果:接受、降低、避免和转移。信息系统的安全风险管理相同,将安全运维外包即是风险转移的有效手段。安全运维外包即是将自己业务系统的安全运维工作完全外包给外部专业的安全服务供应商,自己不再承担系统的安全运维工作。这种方式在国外称之为Outsourcing Managed Security Services,有时直接称管理安全服务(MSS,Managed Security Services),而外部的专业安全服务供应商则称之为MSSP(Managed Security Services Provider)。国外MSS已经是非常普遍的一种安全服务模式。
安全运维外包服务可以包括以下内容:
在实际的安全运维外包服务的运行模式中,一般又可以分为两类:一类根据其特点可称之为安全托管服务,另一类则是我最推崇的、真正的安全管理服务。
安全托管服务比较容易理解,即将自己的需要管理的业务系统托管到安全外包服务提供商(MSSP)那里,这类的MSSP具备专业的安全托管环境,一般自己拥有或租用专业的IDC机房,提供专业的安全运维环境,比如Internet带宽、安全防护设备、安全运维平台等。
而我所推崇的安全管理服务的服务商(MSSP)一般具有完善安全解决方案(如全线的安全产品)或具备较高的安全运营管理水平,他们利用自己的核心优势,为客户提供外包的安全服务。比如某用户可选择将终端的恶意软件防护工作外包出去,那么MSSP将根据用户的环境,为其提供全系列的诸如防病毒、防垃圾、内容过滤等安全防护产品解决方案、日常人员的技术支持以及管理和应急响应等服务,这种安全管理服务的案例参考这篇文章。
MSS在国外是一个成长迅速的安全市场,根据Gartner报告,2005年有60%的组织会将其网络边界防护技术里的至少一个方面外包出去。而根据IDC的报告,MSS正以35%的年增长率在迅速增长。下图则是Gartner发布的2005年底北美市场的MSSP魔方图(Magic Quadrant):
从图中我们可以看出,向AT&T这类公司,由于具备IDC等电信领域的先天优势,在提供托管式安全外包服务方面具有相当的优势,而另一类如Symantec、VeriSign等公司利用自己在安全方面的专业技术优势,同样能够为用户提供专业的安全管理服务。
安全建设是与信息化建设的一个重要组成。随着IT建设的逐步完善与深入,IT运维人员就要管理越来越庞大的IT系统。仅仅在安全保障方面,很多具备一定规模的单位已经部署相当多的安全设施,但众多的安全技术与安全设备的应用在相当程度上加重了系统与IT管理人员的负担。
而在另一方面,安全设备的应用越来越多,安全手段的采用也越来越多,而安全状况却不见好转。如下这些就是经常摆在IT管理人员面前的问题:
这类问题,几乎让每个IT管理人员头痛。面对众多的设备与手段,安全管理人员却往往感到无所适从。其根源是什么呢?
我们早就知道,安全不仅仅是一个技术问题,更是一个管理问题。实际上,在整个IT产品的生命周期中,运营阶段占了整个时间和成本的70% – 80%左右,剩下的时间和成本才是花费在产品开发(或采购)上面。以往我们听说”三分技术、七分管理”是突出管理的重要性,而这个”管理”则是大部分的精力花费在”运营”方面。
效果(Effect)和效率(Efficiency)是服务管理的主要目标。安全运维的主要目的即是保证安全手段(产品 + 技术)的应用能够达到预期的良好效果(Effect)和提高效率(Efficiency)。因此,如何保证安全运维工作的有效(有效果和有效率的),是摆在IT安全管理人员面前的主要难题。
当前在通行的解决方案上,主要存在着两种安全运维管理的方式:
后面的文章,我将分别介绍一下我理解的这两种安全运维管理模式。
-TBC-
近期评论