"转嫁"信息安全风险

采用外包的模式,引入服务提供商,将信息安全的风险转移出去已经成为一些企业的选择。 

在中远集装箱运输有限公司(下称"中远集运公司")电信级规模的机房内,数十台大型主机、Unix服务器、NT服务器和十几个数据库系统一字排开,国际商业机器公司(IBM)、太阳计算机系统公司(SUN)、惠普公司(HP)等各种品牌应用全有,中远集运公司的异地灾难备份就是建设在如此复杂的环境下。

在异地灾难备份建设之初,业务需求、项目规划、技术框架等问题,困扰着中远集运公司信息中心。通过采用外包的方式,引入第三方服务商,中远集运公司成功地完成了这个颇具难度的系统。对于引入服务商,拥有强大技术实力的中远集运公司信息中心也曾经受到质疑,中远集运公司信息中心主任顾钱彬如此解释:"既然有直路能通达目的地,为何要摸着石头过河呢?"

中远集运公司的这种做法正在被越来越多的企业所采用。2005年,在顾能公司(Gartner)举办的"IT安全高峰会议"上,Gartner公司分析师约翰佩斯卡特(John Pescatore)在题为"网络安全不远的未来"的发言中呼吁企业:"请尽可能早、尽可能多地外包信息安全业务。"引入服务提供商,将信息安全的风险转移出去已经成为一些企业的选择。

复杂问题简单化

对于企业的IT部门来说,信息安全是一个复杂但又不得不考虑的问题。IBM全球服务部(IGS)网络和安全解决方案经理徐欢说:"信息安全领域具有专业化、复杂化和动态化的特点,只有准确理解了信息安全的特点,才能有较好的把握。"

外包将原本由内部员工执行的任务交给专业人员,把企业面临的复杂安全问题简单化。对于很多大型企业来说,光是对信息安全设备的日常维护就已经相当头疼。北京电力公司近百台Juniper防火墙正是如此。为了保障2008年北京奥运会用电的可靠性和安全性,北京电力公司制订了"奥运电力行动计划",大幅度提高信息化水平,信息安全的工作也同时大规模展开。为了构建整个企业网络的安全防护网,北京电力公司购买了近百台Juniper防火墙设备,每台防火墙设备每天都会产生大量的日志信息,上百台设备的总记录信息量大得惊人,日常的网络安全管理工作变得非常复杂和繁重,靠内部的IT人员来维护,工作量十分巨大。"频繁的系统故障让企业无所适从。尽管IT队伍越来越壮大、IT的运营维护投入越来越高,但应用系统的运行故障依然此起彼伏,IT人员整天疲于奔命,严重影响核心业务。" 北京电力公司信息中心副主任汪皓感慨道。北京电力公司最终决定将这些工作进行外包。

类似北京电力公司这样将安全系统的维护外包出去的公司在中国已经开始逐渐出现。中远集运公司信息中心主任顾钱彬说:"引入优秀的第三方专业公司,不仅能把业界最优的实践引到项目中来,而且能为企业节约费用,缩短时间,并且潜移默化地实现知识与技能转移。"IBM公司的徐欢说:"信息安全专业性很强,客户很难像其他信息系统一样,根据自身业务的需求确定投资。部署信息安全很大程度上受厂商和集成商的引导,而厂商往往会建议用户尽可能多地投入。"通过外包,将采购产品变为购买服务,能在一定程度上使服务商与客户一起承担系统安全的风险。

从技术到策略

从采购产品到购买服务,意味着用户在信息安全领域的着眼点从IT技术转移到了IT策略。北京电力公司信息中心副主任汪皓说:"外包不代表万事大吉,企业的信息中心必须参与整体规划,并承担类似于监理的管理工作。" 徐欢也认为:"即使是外包,团队中也一定要有企业内部人员。"在信息安全领域进行外包,目标是"防患于未然",对企业来说,必须有一套明确的安全策略,并与服务方签订详细协议。

海尔集团将顾客服务系统、电话中心系统、分销系统等业务系统的安全维护与保障工作外包给东软集团有限公 司(下称"东软集团")。为此,海尔集团制订了定期维护与呼叫服务、本地支持和远程服务相结合的服务策略。东软集团每月对系统定期做两次全方位的保养,检查系统的安全性、稳定性、数据库备份等情况,得出分析报告,并且在青岛设立服务中心,部署一支软件支持队伍,采用现场、远程、电话相结合的方式进行全国范围的维护。这项外包涉及到海尔集团商流本部及42家工贸公司的计算机、外设、网络设备、操作系统等庞大硬件群,范围遍布全国,完善的服务策略保证了外包的顺利进行。

只有了解了自身业务和应用系统,企业才能制订出合理的外包策略。徐欢说:"现在很多企业对自身的应用系统都缺乏了解,在这样的情况下进行外包,出现问题以后,用户很难清晰定义出这个问题对业务的影响有多大,自己该采取什么手段来应对。"

探索合作模式

海尔集团与东软集团探索出了成功的外包模式,这得益于双方在长期合作中建立的相互了解。

从1998年开始,东软集团就参与了海尔集团的信息化建设,对于海尔集团的系统情况相当熟悉。但对于更多的企业来说,引入信息安全的外包伙伴仍然需要探索合适的模式。

IBM公司的徐欢说:"信息安全的外包实际上是安全风险的转移,企业把信息安全领域的风险转移到服务商。"如何确定这种转移的量和度是一个难题。"企业当然希望风险转移越多越好,但服务商又不敢夸口全盘接下。比如大家都说外包要达到5个9(99.999%)的系统稳定性,但那只是对某些系统而言,而企业整个系统要达到5个9的稳定性是不可能的。以这种标准去要求服务商很难有合作基础。"他说。

另外,外包合作方的选择也很重要。北京电力公司信息中心副主任汪皓说:"选择合作伙伴就像打地基,地基不牢,楼建得再高,也会轰然倒塌。"汪皓对合作伙伴的要求是:首先要有丰富的行业经验,其次有超强的技术实力,然后是能够与用户沟通默契。

虽然在国内还只是一些大企业进行了安全领域的外包尝试,但根据《InformationWeek》的统计,在美国已经有接近50%的企业进行了系统维护层面上的安全外包。 "安全外包现在不再存在争议。" Gartner公司分析师佩斯卡特说,"未来用户不需要购买他们自己的客户端设备(CPE,Customer Premises Equipment),尤其是用于边界防御的客户端设备。通过外包,网络传输流在进入企业之前,就被清除了垃圾邮件、病毒、攻击流和其他安全问题,因为防火墙和入侵检测系统(IDS)安装在运营商那里。"