浅析两种安全运维管理模式

一、安全运维所面临的问题

安全建设是信息化建设的一个重要组成部分。随着IT建设的逐步完善与深入，IT运维人员需要管理越来越庞大的IT系统。仅仅在安全保障方面，具有一定规模的单位已经部署相当多的安全设施，如防火墙、防病毒、远程访问设备等等。众多的安全技术与安全设备的应用却在相当程度上加重了系统与IT管理人员的负担。

另一方面，安全设备的应用越来越多，安全手段的采用也越来越多，而安全状况却不见好转。以下就是经常摆在IT管理人员面前的问题:

(1)我们已经在安全方面投入了相当多的努力，但为什么还不时出现安全问题?

(2) 我们的安全项目己制定了很多安全制度、管理流程等，但面对一大堆的文档，怎么样才能真正地执行下去?

这类问题，几乎让每个IT管理人员头痛。面对众多的设备与手段，安全管理人员却往往感到无所适从。其根源是什么呢?

我们早就知道，安全不仅仅是一个技术问题，更是一个管理问题。实际上，在整个IT产品的生命周期中，运营阶段占了整个时间和成本的70% - 80% 左右，剩下的时间和成本才是花费在产品开发(或采购)上面。以往我们听说"兰分技术、七分管理"是突出管理的重要性，而这个"管理"则是大部分的精力花费在"运营"方面。

效果(Effect) 和效率(Efficiency) 是服务管理的主要目标。安全运维的主要目的即是保证安全手段(产品+技术)的应用能够达到预期的良好效果(Effect) 和提高效率(Efficiency) 。因此，如何保证安全运维工作的有效(有效果和有效率的)，是摆在IT 安全管理人员面前的主要难题。

当前在通行的解决方案上，主要存在着两种安全运维管理的方式:

(1)安全运维外包:安全运维外包服务是将自身的安全运维管理工作外包给外部专业的安全管理服务商，依赖外部的力量未完成自身的安全运维管理任务。在这里我们称之为安全运维外包服务(Outsourcing ManagedSecurity Services)，有时候也直接称之为管理的安全服务(MSS，Managed Security Services);

(2) 安全运维中心:大部分的单位会选择依靠自身的力量来完成安全运维工作。当信息系统具备一定的规模之后，为了有效地完成安全运维，就必须建设自己的安全管理与运维中心，这个安全管理与运维中心在专业术语上就称之为安全运维中心或安全运营中心(SOC，SecurityOperations Center) 。

二、安全运维外包(MSS)

根据风险管理的概念，我们知道风险可以有四种结果接受、降低、避免和转移。信息系统的安全风险管理相同，将安全运维外包即是风险转移的有效于段。安全运维外包即是将自己业务系统的安全运维工作完全外包给外部专业的安全服务供应商，自己不再承担系统的安全运维工作。这种方式在国外称之为Outsourcing Managed SecurityServices，有时直接称管理安全服务(MSS ，ManagedSecurity Services)，而外部的专业安全服务供应商则称之为MSSP (Managed Security Services Provider) 。在国外MSS 已经是非常普遍的一种安全服务模式。

安全运维外包服务可以包括以下内容:

(1)安全设备的管理，比如防火墙系统、IDS 系统、VPN 系统等的安全策略配置，设备日常管理、日志审计等工作；

(2)网络及系统的日常安全监控、安全事件处理等;

(3)安全服务的内容，比如风险评估、渗透测试、事件响应、调查取证等方面的内容；

(4)数据安全的内容，如存储、备份、恢复等；

(5)日常安全人员外包服务等。

严格讲，安全运维外包服务也分为两类，一类我们称之为安全托管服务，另一类则称之为纯牌的安全管理服务。

安全托管服务比较容易理解，即将自己需要管理的业务系统托管到安全外包服务提供商(MSSP) 那里，这类的MSSP 具备专业的安全托管环境，一般自己拥有或租用专业的IDC 机房，提供专业的安全运维环境，比如Internet 带宽、安全防护设备、安全运维平台等。

而称之为纯粹安全管理服务的MSSP 则一般具有完善的安全解决方案(如全线的安全产品) ，或具备较高的安全运营管理水平，他们利用自己的核心优势，为客户提供外包的安全服务。比如某用户可选择将终端的恶意软件防护工作外包出去，那么MSSP 将根据用户的环境，为其提供全系列的诸如防病毒、防垃圾、内容过滤等安全防护产品解决方案、日常人员的技术支持以及管理和应急响应等服务。

MSS 在国外是一个成长迅速的安全市场，根据Ga由ler报告，2005 年有60%的组织会将其网络边界防护技术里的至少一个方面外包出去。而根据IDC 的报告，MSS 正以35% 的年增长率在迅速增长。图1则是Gartner 发布的2005 年底北美市场的MSSP 魔方图(Magic Quadrant) 。

图1 2005 年北美市场MSSP魔方图

从图1 中我们可以看出，像A T&T 这类公司，由于具备IDC 等电信领域的先天优势，在提供托管式安全外包服务方面具有相当的优势，而另一类如Symantec 、VeriSign 等公司利用自己在安全方面的专业技术优势，同样能够为用户提供专业的安全管理服务。

1 、安全外包服务的优势

2 、安全外包服务的风险

虽然，安全外包服务能够带来很多的优势，但由于是将自身的业务系统的安全运维外包，在选择这种业务模式时必然要考虑到其可能带来一些潜在风险。

(1)信任风险

当选择外包服务后，一个明显的问题即是如何保证与外包商(MSSP) 的信任关系。由于是由MSSP 负责自己业务的安全运维工作，毫无疑问，其了解并掌握着自身信息系统的运作流程、风险弱点等，这些风险弱点一旦被泄露或被利用，其带来的后果将不堪设想。

同理，一旦因为某种原因需要终止安全外包服务这种关系时(替换供应商或终止外包业务)，都将面临着如何安全终止合作关系的问题。

(2) 法律风险

选择外包服务的组织和外包商都必须在业务合作开始之前，详细地评估采用外包服务后所带来的潜在的法律问题，因为一旦发生安全事件后，如何确定双方的职责将是非常重要的。

除对外包方的信任管理、责任分割、法律风险等外，更多的潜在风险，如外包设备的运营环挽(共享环镜下的安全)、外包商的关系维护、一些隐含或不可预知费用等，都会是在安全外包管理时必须要考虑的因素，否则这些方面的潜在风险可能会给业务带来严重的危害。

而同样的业务类型放置到国内的环境来讲，上述问题则更多地体现在信任问题和法律问