如何外包安全管理项目[1]

　　在21世纪之初，“安全”这个词就被赋予了新的定义。很多国家都在为安全问题而头痛，公民的投票也表明安全是个严重问题，企业都在学习安全方面的知识，在这个高技术时代，企业为了保护自己的财产，对安全方面的投入在不断的增加，安全问题成了各行各业的一个热门话题。对企业来说，如何管理安全性问题不仅和业务有关，企业的名誉、信任度以及内部稳定性，都与安全管理有关。

　　但是对安全管理是一个令人头痛的问题，很容易就会误入歧途，尤其是在基本的安全措施没有做到位的情况下。从全球范围来看，企业内部的业务环境日益复杂，而来自企业内部的攻击数量也在不断增加。而对远程办公的支持以及新技术与操作相连接时，都会增加新的安全风险。

　　一个没有经过良好保护的防火墙可以为黑客带来上千个可以攻入内部网络的后门，而垃圾邮件每年会令企业浪费上千小时的工作时间。系统停机不但会失去业务，而且会令客户感觉不安，因此安全决不是一个可以一笔带过的话题。

　　Frost&Sullivan的分析师JamesTurner认为，目前安全问题产生的动机已经发生了改变，其中一个主要原因是黑客对金钱更加渴望了，因此敲诈以及身份盗用已经变得越来越普遍。

　　Turner认为：“在这个资本消费的世界里，黑客也是按照市场的方式来思考，他们在这其中找到了自己的位置。作为应对，我们将会看到与此有关的互联网法律法规出台，企业则不再只是凭兴趣来实施安全项目，而是为了保障自己的业务能够继续下去。”

　　为了消除安全方面的困扰，企业都在加大对IT员工以及企业自身的安全培训，越来越多的企业通过寻找托管信息安全管理服务提供商(MSSP)来进行实时或定期的安全服务。市场调查公司YankeeGroup表示，到2010年，在美国将有90的企业安全通过外包来实现。

　　企业所需的这些安全服务，从最简单的系统补丁管理到比较高级的企业内部整体网络安全架构管理等，都有涉及。在本文中我们所指的安全服务供应商所能提供的服务包括：网络入侵监测以及防护，主机入侵防护，系统漏洞评估，补丁管理，防火墙和VPN管理，针对病毒和垃圾邮件的电子邮件监控等。

　　BulletproofNetworks就是这样一个托管信息安全管理服务提供商，该公司的总经理LorenzoModesto认为一个完整的外包安全解决方案应该从企业的基础架构开始。他说“企业应该从自身的技术状况和现有的架构出发。管理网络安全主要就是预防-阻止不利的事情发生，这样安全管理供应商就不必忙着对企业的系统补漏了。因此企业应该先从自身的情况出发，再考虑该需要什么样的安全外包服务。”

　　而服务本身，则是如何管理安全架构的：在发现安全漏洞后给出警报、监视系统的运行情况、解决错误，以及准备安全事件发生后的应急措施等。

　　优势

　　当企业找到了一个好的MSSP后，根据企业和服务供应商间的协定，企业有能力对企业内部和外部网络进行专业的监控。而作为客户的企业，由于拥有了一个随时关注补丁升级以及世界安全趋势的团队，就可以放心的专注于业务问题了。

　　不过，和很多外包服务一样，企业几乎不可能把全部的控制权都交给专业的安全管理供应商。Modesto认为，虽然企业的IT人员也可以处理同样的安全问题，但是和专业的安全管理供应商相比，就差了一大节。而将企业的安全管理权交给专业公司的好处还有很多。

　　“成本是这些好处中最大的一个，对企业来说，它的优势比技术性更吸引人。企业可以通过签署服务等级协议(SLA)来确保供应商提供的服务可以实现。但是每个安全服务供应商都会告诉企业，安全是没有100的保障的，因此也不应该有这样的幻想。安全管理供应商的作用就是减少花费的同时有效的控制安全性，这也是一些企业无法独立完成的。为了有很好的安全性，企业需要有专人，专业的工具和经验，因此在安全性方面的投资肯定是不能太少的。”