對于大型的網絡機構和信息中心,為了保障處理安全事務的及時性,滿足提高整體信息化安全等級的需求,付出了更多的資源和風險成本。在信息安全市場出現的安全托管服務(Managed Security Services)業務正是迎合了上述諸多因素后孕育而生的。
安全托管服務提供商(MSSP,MSS Provider)為客戶管理及監控信息安全系統與設備,并在威脅事件發生的第一時間作出適當回應。通過MSSP專業的信息安全人員以及網絡安全經驗,用戶可以輕松地管理防火墻、VPN、入侵檢測系統、企業防毒系統,運行定期網絡安全掃描,甚至做到7×24全天候的安全監控與回應,避免了管理網絡安全設備時經驗不足的問題,有效降低企業整體運營成本與安全風險。
MSS的風險評估
企業往往很難確切地對安全效益進行評估,安全托管服務可以有效的緩解這些問題。利用安全托管這種業務形式,用戶可以用低于自建安全設備的成本購買到專業安全廠商提供的服務,并且這些服務的質量往往相對較高。風險管理作為安全體系建立的基石,它是一個識別、控制、降低或消除安全風險的活動,通過風險評估來識別風險大小,通過制定信息安全方針,采取適當的控制目標與控制方式對風險進行控制,使風險被避免、轉移或降至一個可被接受的水平。專業安全廠商提供的風險管理服務一般包括:調查分析用戶的已有策略,從管理制度、實際網絡情況、物理安全、人員安全、第三方安全等多方面來評估分析;另外,風險管理將調查業務流程,并對信息 資產進行賦值和等級劃分;最后,結合工具掃描、人工評估對系統、網絡、數據庫以及管理制度進行安全性評估,完成信息安全風險報告。
主要服務范圍
目前有很多全球知名的安全廠商都向用戶提供托管形式的安全服務,國外的公司包括:防火墻軟件供應商Check Point、以網絡安全產品而聞名的Juniper、提供全面的網絡安全解決方案的賽門鐵克等;國內的綠盟科技、啟明星辰,以及眾多的信息安全響應小組等。他們多以風險管理服務為基礎,配套的安全服務覆蓋面也涉及到了安全領域的諸多環節。
安全顧問服務
這項服務中包括安全咨詢服務和漏洞公告服務。對于網絡管理人員,特別是復雜網絡的管理人員,由于時間和工作關系,通常會遇到無法收集并與分類相關的安全報告,使得網絡中總是或多或少地存在被忽視的安全漏洞。可以對客戶的互聯網關鍵業務應用系統進行調研,結合國內外最新的網絡安全技術,為托管客戶提供符合自身實際情況的網絡安全解決方案和安全體系設計方案。
安全加固服務
這項服務可以說在幾年前是信息安全公司“壓箱底”的招牌菜,但隨之入侵技術和防范技術的透明化和簡單化,輝煌的年代逐步退卻了。主機系統加固是構成此服務項目的核心,根據安全評估結果,制定相應的系統加固方案,針對不同目標系統,通過打補丁、修改安全配置、增加安全機制等方法,合理進行安全性加強。
例如:操作系統中的補丁、文件系統、賬號管理、網絡及服務、注冊表、共享、應用軟件、審計與日志管理、緊急恢復、加密通信及數字簽名;數據庫系統中的的補丁、賬號管理、口令強度和有效期檢查、遠程登陸和遠程服務、存儲過程、審核層次、備份過程、角色和權限審核、并發事件資源限制、訪問時間限制、審核跟蹤、特洛伊木馬等。在網絡設備上,主要進行遠程管理和維護的安全、口令安全性、配置確認與清理、系統升級與補丁安裝等工作。在防火墻部分,主要進行遠程維護安全性設置、防火墻規則的確認、審計與無用策略清理等工作。
安全服務公司服務流程可以歸納為:首先針對評估分析報告的內容提出系統加固報告,并將系統加固報告、加固步驟、所需補丁程序以光盤形式提交客戶,并由安全工程師與客戶的網絡管理員或者系統管理員一起實施加固工作。
安全接入服務
網絡接入安全是從2006年年初才被多數的安全服務廠商納入到服務范圍內的項目,將最近較為火熱的“內網端點安全”和原有的“身份認證體系”、“虛擬專用網”共同打包,稱為安全接入服務。
1. 身份認證體系
計算機的安全問題實質上是整個系統中各種實體之間信任問題和信息交換的真實性問題。從服務器角度去看,真正的系統安全就是“可信的操作員”在“可信的客戶機”上運行的“可信應用服務”。MMSP會根據安全評估的基礎,指導用戶根據業務部分情況,選擇建立或者購買第三方的數字證書產品。
2. 虛擬專用網
在規模較大的網絡機構,在沒有分支(分校)機構前,大多會使用監控整個網絡健康狀況的中央化控制臺,確保關鍵任務應用程序和系統順利運行。而在由分布式計算領域組成的分支機構和總部之間,如果不將用戶身份信息編制到本地目錄和數據庫中(即“身份島”),就會由此產生大量孤立、分散的身份和訪問管理系統,從而帶來了繁重的管理負擔和高昂的成本。
3. 內網端點安全
端點安全,即當PC或筆記本電腦接入本地網絡時,通過特殊的協議對其進行校驗,除了驗證用戶名密碼、用戶證書等用戶身份信息外,還驗證終端是否符合管理員制定好的安全策略,如:操作系統補丁、病毒庫版本等信息。并各自制定了自己的隔離策略,通過接入設備(防火墻、交換機、路由器等),強制將不符合要求的終端設備隔離在一個指定區域,只允許其訪問補丁服務器進行下載更新。在驗證終端主機沒有安全問題后,再允許其接入被保護的網絡。
防毒防黑與應急響應
MSP的安全服務其實從始至終都圍繞著“防毒防黑”主題進行。通過前面的系統加固,將客戶的網絡、主機、數據庫和CGI程序的安全漏洞掃描(Scanning),優化系統配置(Configuration)和系統更新(Patching),最大可能地彌補最新的安全漏洞和消除安全隱患。而這些都是完成了網關級別和服務器級別的病毒防護,在一個短時間內把不同跨度的區域網絡進行同步更新,這要比更新單臺服務器的防病毒庫要困難許多倍。這就決定了我們另外選擇企業級別的防毒產品時要另行選擇產品,而產品選型方面可以與MSP共同協商解決。
在入侵檢測方面,技術和產品已經相當的成熟,通過在客戶的網絡和主機上部署入侵檢測探頭(Probing),將黑客入侵跡象實時報警到網管監控中心,這些都是很容易實現的技術。但作為客戶,我們應當發現入侵行為后立即及時阻斷被入侵系統,同時迅速與安全服務工程師進行聯系,將記錄完整保存,為法律訴訟提供所需要的黑客入侵證據。
應急響應方面,大多數的網絡安全公司服務還是相當到位的,一旦出現問題,工程師會在最快的時間趕到第一現場。但這里存在一個問題,就是MSP的辦公地點的問題,所以我們在選擇MSP的時候一定要考慮到工作地點和公司規模等諸多因素,同時需要注意到廠商一般在服務期內提供有限的應急響應,我們應當根據網絡規模的大小合理簽訂合同,避免資金的浪費。
MMS的不足之處
安全培訓服務
組織在購買了安全服務后,培訓工作一般都是廠商奉送的。他們一般為客戶提供的安全培訓包括:互聯網安全的最新進展和發展趨勢;網絡安全技術和產品;安全管理制度等。一般的單位都滿足于這樣的培訓內容,但我感覺這樣的培訓并不能夠起到安全意識和安全技能“跨越性”提高的功效。我們可以根據內部人員分工的實際情況,向廠商說明需求,要求提供不同等級和內容的安全培訓。
市場不規范
在MSP選擇問題上面臨很大的風險。目前國內市場上MSP的數目眾多,由于網絡安全技術的快速發展,利潤極高,使許多IT公司開辟了此項業務,猶如雨后春筍般涌現出來。但是這些機構的水平參差不齊,既有世界頂級服務提供商,也有一個人一臺電腦的安全顧問。由于行業存在不規范,我們很多時候難以對服務商的背景、資質準確了解,而真實的水平往往在過程中才能被準確評估。
加快速市場化
良好的安全技術水平,確實能夠處理解決各種安全問題,但在近幾年中的失敗案例中我們看到,技術在這里不是萬能的。比如:需要熟悉客戶的業務工作,往往嚴重的安全事件都是和應用相關聯的,必須是一個行業專家,了解客戶的業務才能做好MSs。
MSS的高速成長也造成服務價格的下跌,但安全事件發生的幾率卻有增無減,運營成本也逐步升高。由此我們看到,MS市場規范將會悄然形成,作為客戶,我們應在不遠的將來享受優質全面的信息安全服務以及合理的價格。
68476636-8002)
