對于大型的網(wǎng)絡(luò)機構(gòu)和信息中心，為了保障處理安全事務(wù)的及時性，滿足提高整體信息化安全等級的需求，付出了更多的資源和風(fēng)險成本。在信息安全市場出現(xiàn)的安全托管服務(wù)（Ｍａｎａｇｅｄ Ｓｅｃｕｒｉｔｙ Ｓｅｒｖｉｃｅｓ）業(yè)務(wù)正是迎合了上述諸多因素后孕育而生的。

安全托管服務(wù)提供商（ＭＳＳＰ，ＭＳＳ Ｐｒｏｖｉｄｅｒ）為客戶管理及監(jiān)控信息安全系統(tǒng)與設(shè)備，并在威脅事件發(fā)生的第一時間作出適當(dāng)回應(yīng)。通過ＭＳＳＰ專業(yè)的信息安全人員以及網(wǎng)絡(luò)安全經(jīng)驗，用戶可以輕松地管理防火墻、ＶＰＮ、入侵檢測系統(tǒng)、企業(yè)防毒系統(tǒng)，運行定期網(wǎng)絡(luò)安全掃描，甚至做到７×２４全天候的安全監(jiān)控與回應(yīng)，避免了管理網(wǎng)絡(luò)安全設(shè)備時經(jīng)驗不足的問題，有效降低企業(yè)整體運營成本與安全風(fēng)險。

ＭＳＳ的風(fēng)險評估

企業(yè)往往很難確切地對安全效益進(jìn)行評估，安全托管服務(wù)可以有效的緩解這些問題。利用安全托管這種業(yè)務(wù)形式，用戶可以用低于自建安全設(shè)備的成本購買到專業(yè)安全廠商提供的服務(wù)，并且這些服務(wù)的質(zhì)量往往相對較高。風(fēng)險管理作為安全體系建立的基石，它是一個識別、控制、降低或消除安全風(fēng)險的活動，通過風(fēng)險評估來識別風(fēng)險大小，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對風(fēng)險進(jìn)行控制，使風(fēng)險被避免、轉(zhuǎn)移或降至一個可被接受的水平。專業(yè)安全廠商提供的風(fēng)險管理服務(wù)一般包括：調(diào)查分析用戶的已有策略，從管理制度、實際網(wǎng)絡(luò)情況、物理安全、人員安全、第三方安全等多方面來評估分析；另外，風(fēng)險管理將調(diào)查業(yè)務(wù)流程，并對信息 資產(chǎn)進(jìn)行賦值和等級劃分；最后，結(jié)合工具掃描、人工評估對系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫以及管理制度進(jìn)行安全性評估，完成信息安全風(fēng)險報告。

主要服務(wù)范圍

目前有很多全球知名的安全廠商都向用戶提供托管形式的安全服務(wù)，國外的公司包括：防火墻軟件供應(yīng)商Check Point、以網(wǎng)絡(luò)安全產(chǎn)品而聞名的Juniper、提供全面的網(wǎng)絡(luò)安全解決方案的賽門鐵克等；國內(nèi)的綠盟科技、啟明星辰，以及眾多的信息安全響應(yīng)小組等。他們多以風(fēng)險管理服務(wù)為基礎(chǔ)，配套的安全服務(wù)覆蓋面也涉及到了安全領(lǐng)域的諸多環(huán)節(jié)。

安全顧問服務(wù)

這項服務(wù)中包括安全咨詢服務(wù)和漏洞公告服務(wù)。對于網(wǎng)絡(luò)管理人員，特別是復(fù)雜網(wǎng)絡(luò)的管理人員，由于時間和工作關(guān)系，通常會遇到無法收集并與分類相關(guān)的安全報告，使得網(wǎng)絡(luò)中總是或多或少地存在被忽視的安全漏洞。可以對客戶的互聯(lián)網(wǎng)關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行調(diào)研，結(jié)合國內(nèi)外最新的網(wǎng)絡(luò)安全技術(shù)，為托管客戶提供符合自身實際情況的網(wǎng)絡(luò)安全解決方案和安全體系設(shè)計方案。

安全加固服務(wù)

這項服務(wù)可以說在幾年前是信息安全公司“壓箱底”的招牌菜，但隨之入侵技術(shù)和防范技術(shù)的透明化和簡單化，輝煌的年代逐步退卻了。主機系統(tǒng)加固是構(gòu)成此服務(wù)項目的核心，根據(jù)安全評估結(jié)果，制定相應(yīng)的系統(tǒng)加固方案，針對不同目標(biāo)系統(tǒng)，通過打補丁、修改安全配置、增加安全機制等方法，合理進(jìn)行安全性加強。

例如：操作系統(tǒng)中的補丁、文件系統(tǒng)、賬號管理、網(wǎng)絡(luò)及服務(wù)、注冊表、共享、應(yīng)用軟件、審計與日志管理、緊急恢復(fù)、加密通信及數(shù)字簽名；數(shù)據(jù)庫系統(tǒng)中的的補丁、賬號管理、口令強度和有效期檢查、遠(yuǎn)程登陸和遠(yuǎn)程服務(wù)、存儲過程、審核層次、備份過程、角色和權(quán)限審核、并發(fā)事件資源限制、訪問時間限制、審核跟蹤、特洛伊木馬等。在網(wǎng)絡(luò)設(shè)備上，主要進(jìn)行遠(yuǎn)程管理和維護(hù)的安全、口令安全性、配置確認(rèn)與清理、系統(tǒng)升級與補丁安裝等工作。在防火墻部分，主要進(jìn)行遠(yuǎn)程維護(hù)安全性設(shè)置、防火墻規(guī)則的確認(rèn)、審計與無用策略清理等工作。

安全服務(wù)公司服務(wù)流程可以歸納為：首先針對評估分析報告的內(nèi)容提出系統(tǒng)加固報告，并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶，并由安全工程師與客戶的網(wǎng)絡(luò)管理員或者系統(tǒng)管理員一起實施加固工作。

安全接入服務(wù)

網(wǎng)絡(luò)接入安全是從2006年年初才被多數(shù)的安全服務(wù)廠商納入到服務(wù)范圍內(nèi)的項目，將最近較為火熱的“內(nèi)網(wǎng)端點安全”和原有的“身份認(rèn)證體系”、“虛擬專用網(wǎng)”共同打包，稱為安全接入服務(wù)。

1. 身份認(rèn)證體系

計算機的安全問題實質(zhì)上是整個系統(tǒng)中各種實體之間信任問題和信息交換的真實性問題。從服務(wù)器角度去看，真正的系統(tǒng)安全就是“可信的操作員”在“可信的客戶機”上運行的“可信應(yīng)用服務(wù)”。MMSP會根據(jù)安全評估的基礎(chǔ)，指導(dǎo)用戶根據(jù)業(yè)務(wù)部分情況，選擇建立或者購買第三方的數(shù)字證書產(chǎn)品。

2. 虛擬專用網(wǎng)

在規(guī)模較大的網(wǎng)絡(luò)機構(gòu)，在沒有分支（分校）機構(gòu)前，大多會使用監(jiān)控整個網(wǎng)絡(luò)健康狀況的中央化控制臺，確保關(guān)鍵任務(wù)應(yīng)用程序和系統(tǒng)順利運行。而在由分布式計算領(lǐng)域組成的分支機構(gòu)和總部之間，如果不將用戶身份信息編制到本地目錄和數(shù)據(jù)庫中（即“身份島”），就會由此產(chǎn)生大量孤立、分散的身份和訪問管理系統(tǒng)，從而帶來了繁重的管理負(fù)擔(dān)和高昂的成本。

3. 內(nèi)網(wǎng)端點安全

端點安全，即當(dāng)PC或筆記本電腦接入本地網(wǎng)絡(luò)時，通過特殊的協(xié)議對其進(jìn)行校驗，除了驗證用戶名密碼、用戶證書等用戶身份信息外，還驗證終端是否符合管理員制定好的安全策略，如：操作系統(tǒng)補丁、病毒庫版本等信息。并各自制定了自己的隔離策略，通過接入設(shè)備（防火墻、交換機、路由器等），強制將不符合要求的終端設(shè)備隔離在一個指定區(qū)域，只允許其訪問補丁服務(wù)器進(jìn)行下載更新。在驗證終端主機沒有安全問題后，再允許其接入被保護(hù)的網(wǎng)絡(luò)。

防毒防黑與應(yīng)急響應(yīng)

MSP的安全服務(wù)其實從始至終都圍繞著“防毒防黑”主題進(jìn)行。通過前面的系統(tǒng)加固，將客戶的網(wǎng)絡(luò)、主機、數(shù)據(jù)庫和CGI程序的安全漏洞掃描(Scanning)，優(yōu)化系統(tǒng)配置（Configuration）和系統(tǒng)更新（Patching)，最大可能地彌補最新的安全漏洞和消除安全隱患。而這些都是完成了網(wǎng)關(guān)級別和服務(wù)器級別的病毒防護(hù)，在一個短時間內(nèi)把不同跨度的區(qū)域網(wǎng)絡(luò)進(jìn)行同步更新，這要比更新單臺服務(wù)器的防病毒庫要困難許多倍。這就決定了我們另外選擇企業(yè)級別的防毒產(chǎn)品時要另行選擇產(chǎn)品，而產(chǎn)品選型方面可以與MSP共同協(xié)商解決。

在入侵檢測方面，技術(shù)和產(chǎn)品已經(jīng)相當(dāng)?shù)某墒欤ㄟ^在客戶的網(wǎng)絡(luò)和主機上部署入侵檢測探頭(Probing)，將黑客入侵跡象實時報警到網(wǎng)管監(jiān)控中心，這些都是很容易實現(xiàn)的技術(shù)。但作為客戶，我們應(yīng)當(dāng)發(fā)現(xiàn)入侵行為后立即及時阻斷被入侵系統(tǒng)，同時迅速與安全服務(wù)工程師進(jìn)行聯(lián)系，將記錄完整保存，為法律訴訟提供所需要的黑客入侵證據(jù)。

應(yīng)急響應(yīng)方面，大多數(shù)的網(wǎng)絡(luò)安全公司服務(wù)還是相當(dāng)?shù)轿坏模坏┏霈F(xiàn)問題，工程師會在最快的時間趕到第一現(xiàn)場。但這里存在一個問題，就是MSP的辦公地點的問題，所以我們在選擇MSP的時候一定要考慮到工作地點和公司規(guī)模等諸多因素，同時需要注意到廠商一般在服務(wù)期內(nèi)提供有限的應(yīng)急響應(yīng)，我們應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)規(guī)模的大小合理簽訂合同，避免資金的浪費。

ＭＭＳ的不足之處

安全培訓(xùn)服務(wù)

組織在購買了安全服務(wù)后，培訓(xùn)工作一般都是廠商奉送的。他們一般為客戶提供的安全培訓(xùn)包括：互聯(lián)網(wǎng)安全的最新進(jìn)展和發(fā)展趨勢；網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品；安全管理制度等。一般的單位都滿足于這樣的培訓(xùn)內(nèi)容，但我感覺這樣的培訓(xùn)并不能夠起到安全意識和安全技能“跨越性”提高的功效。我們可以根據(jù)內(nèi)部人員分工的實際情況，向廠商說明需求，要求提供不同等級和內(nèi)容的安全培訓(xùn)。

市場不規(guī)范

在MSP選擇問題上面臨很大的風(fēng)險。目前國內(nèi)市場上MSP的數(shù)目眾多，由于網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展，利潤極高，使許多IT公司開辟了此項業(yè)務(wù)，猶如雨后春筍般涌現(xiàn)出來。但是這些機構(gòu)的水平參差不齊，既有世界頂級服務(wù)提供商，也有一個人一臺電腦的安全顧問。由于行業(yè)存在不規(guī)范，我們很多時候難以對服務(wù)商的背景、資質(zhì)準(zhǔn)確了解，而真實的水平往往在過程中才能被準(zhǔn)確評估。

加快速市場化

良好的安全技術(shù)水平，確實能夠處理解決各種安全問題，但在近幾年中的失敗案例中我們看到，技術(shù)在這里不是萬能的。比如：需要熟悉客戶的業(yè)務(wù)工作，往往嚴(yán)重的安全事件都是和應(yīng)用相關(guān)聯(lián)的，必須是一個行業(yè)專家，了解客戶的業(yè)務(wù)才能做好MSs。

MSS的高速成長也造成服務(wù)價格的下跌，但安全事件發(fā)生的幾率卻有增無減,運營成本也逐步升高。由此我們看到，MS市場規(guī)范將會悄然形成，作為客戶，我們應(yīng)在不遠(yuǎn)的將來享受優(yōu)質(zhì)全面的信息安全服務(wù)以及合理的價格。