对于大型的网络机构和信息中心,为了保障处理安全事务的及时性,满足提高整体信息化安全等级的需求,付出了更多的资源和风险成本。在信息安全市场出现的安全托管服务(Managed Security Services)业务正是迎合了上述诸多因素后孕育而生的。
安全托管服务提供商(MSSP,MSS Provider)为客户管理及监控信息安全系统与设备,并在威胁事件发生的第一时间作出适当回应。通过MSSP专业的信息安全人员以及网络安全经验,用户可以轻松地管理防火墙、VPN、入侵检测系统、企业防毒系统,运行定期网络安全扫描,甚至做到7×24全天候的安全监控与回应,避免了管理网络安全设备时经验不足的问题,有效降低企业整体运营成本与安全风险。
MSS的风险评估
企业往往很难确切地对安全效益进行评估,安全托管服务可以有效的缓解这些问题。利用安全托管这种业务形式,用户可以用低于自建安全设备的成本购买到专业安全厂商提供的服务,并且这些服务的质量往往相对较高。风险管理作为安全体系建立的基石,它是一个识别、控制、降低或消除安全风险的活动,通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。专业安全厂商提供的风险管理服务一般包括:调查分析用户的已有策略,从管理制度、实际网络情况、物理安全、人员安全、第三方安全等多方面来评估分析;另外,风险管理将调查业务流程,并对信息 资产进行赋值和等级划分;最后,结合工具扫描、人工评估对系统、网络、数据库以及管理制度进行安全性评估,完成信息安全风险报告。
主要服务范围
目前有很多全球知名的安全厂商都向用户提供托管形式的安全服务,国外的公司包括:防火墙软件供应商Check Point、以网络安全产品而闻名的Juniper、提供全面的网络安全解决方案的赛门铁克等;国内的绿盟科技、启明星辰,以及众多的信息安全响应小组等。他们多以风险管理服务为基础,配套的安全服务覆盖面也涉及到了安全领域的诸多环节。
安全顾问服务
这项服务中包括安全咨询服务和漏洞公告服务。对于网络管理人员,特别是复杂网络的管理人员,由于时间和工作关系,通常会遇到无法收集并与分类相关的安全报告,使得网络中总是或多或少地存在被忽视的安全漏洞。可以对客户的互联网关键业务应用系统进行调研,结合国内外最新的网络安全技术,为托管客户提供符合自身实际情况的网络安全解决方案和安全体系设计方案。
安全加固服务
这项服务可以说在几年前是信息安全公司“压箱底”的招牌菜,但随之入侵技术和防范技术的透明化和简单化,辉煌的年代逐步退却了。主机系统加固是构成此服务项目的核心,根据安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
例如:操作系统中的补丁、文件系统、账号管理、网络及服务、注册表、共享、应用软件、审计与日志管理、紧急恢复、加密通信及数字签名;数据库系统中的的补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛伊木马等。在网络设备上,主要进行远程管理和维护的安全、口令安全性、配置确认与清理、系统升级与补丁安装等工作。在防火墙部分,主要进行远程维护安全性设置、防火墙规则的确认、审计与无用策略清理等工作。
安全服务公司服务流程可以归纳为:首先针对评估分析报告的内容提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由安全工程师与客户的网络管理员或者系统管理员一起实施加固工作。
安全接入服务
网络接入安全是从2006年年初才被多数的安全服务厂商纳入到服务范围内的项目,将最近较为火热的“内网端点安全”和原有的“身份认证体系”、“虚拟专用网”共同打包,称为安全接入服务。
1. 身份认证体系
计算机的安全问题实质上是整个系统中各种实体之间信任问题和信息交换的真实性问题。从服务器角度去看,真正的系统安全就是“可信的操作员”在“可信的客户机”上运行的“可信应用服务”。MMSP会根据安全评估的基础,指导用户根据业务部分情况,选择建立或者购买第三方的数字证书产品。
2. 虚拟专用网
在规模较大的网络机构,在没有分支(分校)机构前,大多会使用监控整个网络健康状况的中央化控制台,确保关键任务应用程序和系统顺利运行。而在由分布式计算领域组成的分支机构和总部之间,如果不将用户身份信息编制到本地目录和数据库中(即“身份岛”),就会由此产生大量孤立、分散的身份和访问管理系统,从而带来了繁重的管理负担和高昂的成本。
3. 内网端点安全
端点安全,即当PC或笔记本电脑接入本地网络时,通过特殊的协议对其进行校验,除了验证用户名密码、用户证书等用户身份信息外,还验证终端是否符合管理员制定好的安全策略,如:操作系统补丁、病毒库版本等信息。并各自制定了自己的隔离策略,通过接入设备(防火墙、交换机、路由器等),强制将不符合要求的终端设备隔离在一个指定区域,只允许其访问补丁服务器进行下载更新。在验证终端主机没有安全问题后,再允许其接入被保护的网络。
防毒防黑与应急响应
MSP的安全服务其实从始至终都围绕着“防毒防黑”主题进行。通过前面的系统加固,将客户的网络、主机、数据库和CGI程序的安全漏洞扫描(Scanning),优化系统配置(Configuration)和系统更新(Patching),最大可能地弥补最新的安全漏洞和消除安全隐患。而这些都是完成了网关级别和服务器级别的病毒防护,在一个短时间内把不同跨度的区域网络进行同步更新,这要比更新单台服务器的防病毒库要困难许多倍。这就决定了我们另外选择企业级别的防毒产品时要另行选择产品,而产品选型方面可以与MSP共同协商解决。
在入侵检测方面,技术和产品已经相当的成熟,通过在客户的网络和主机上部署入侵检测探头(Probing),将黑客入侵迹象实时报警到网管监控中心,这些都是很容易实现的技术。但作为客户,我们应当发现入侵行为后立即及时阻断被入侵系统,同时迅速与安全服务工程师进行联系,将记录完整保存,为法律诉讼提供所需要的黑客入侵证据。
应急响应方面,大多数的网络安全公司服务还是相当到位的,一旦出现问题,工程师会在最快的时间赶到第一现场。但这里存在一个问题,就是MSP的办公地点的问题,所以我们在选择MSP的时候一定要考虑到工作地点和公司规模等诸多因素,同时需要注意到厂商一般在服务期内提供有限的应急响应,我们应当根据网络规模的大小合理签订合同,避免资金的浪费。
MMS的不足之处
安全培训服务
组织在购买了安全服务后,培训工作一般都是厂商奉送的。他们一般为客户提供的安全培训包括:互联网安全的最新进展和发展趋势;网络安全技术和产品;安全管理制度等。一般的单位都满足于这样的培训内容,但我感觉这样的培训并不能够起到安全意识和安全技能“跨越性”提高的功效。我们可以根据内部人员分工的实际情况,向厂商说明需求,要求提供不同等级和内容的安全培训。
市场不规范
在MSP选择问题上面临很大的风险。目前国内市场上MSP的数目众多,由于网络安全技术的快速发展,利润极高,使许多IT公司开辟了此项业务,犹如雨后春笋般涌现出来。但是这些机构的水平参差不齐,既有世界顶级服务提供商,也有一个人一台电脑的安全顾问。由于行业存在不规范,我们很多时候难以对服务商的背景、资质准确了解,而真实的水平往往在过程中才能被准确评估。
加快速市场化
良好的安全技术水平,确实能够处理解决各种安全问题,但在近几年中的失败案例中我们看到,技术在这里不是万能的。比如:需要熟悉客户的业务工作,往往严重的安全事件都是和应用相关联的,必须是一个行业专家,了解客户的业务才能做好MSs。
MSS的高速成长也造成服务价格的下跌,但安全事件发生的几率却有增无减,运营成本也逐步升高。由此我们看到,MS市场规范将会悄然形成,作为客户,我们应在不远的将来享受优质全面的信息安全服务以及合理的价格。
68476636-8002)
