万涛：电信运营商MSS安全服务演进探讨

　　演讲主题：安全推动未来，电信运营商MSS安全服务演进探讨
　　演讲内容：IBM高级安全顾问 万涛
　　大家下午好！今天我给大家演讲的题目是:安全推动未来，关于电信运营商MSS安全服务的一个演进探讨。时间已经比较晚了，我抓紧时间。其实我不知道下面的听众里面有没有电信运营商的朋友，大家对IBM都不会陌生，但是对于IBM在安全领域可能会有一点陌生。首先我先介绍一下所谓的MSS的概念，其实在国内大家会看到，它和SOC是有联系的。对于安全管理服务的内容，就是说它是从一个远端的安全运营中心的管理，监控企业的IT安全，信息支撑和流程，但是它一般来说是不包括安全外包服务里面的像咨询、开发，还有所谓的安全提升服务的。
　　MSS的服务商我们称之为就是MSSP，这是在国外的叫法，那么它主要是通过从远端的SOC对用户边界的，像防火墙，检测与防护设备提供监控与管理的服务，去保护用户。所以我今天不是在谈光电信运营商本身的安全问题。今天白天，包括明天，大家都在谈电信运营商如何去加强自身的安全问题。但是大家以往都看到，安全建设是一个逐步演进的过程，安全日益成为电信运营商的压力，安全投资不是来自于动力，而是来自于压力，安全投资以往也没有得到很好的效益回报，始终处在业务后援支撑的地位，使我们对于安全始终不能得到有效的保障。所以一直以来，安全都是一个从下而上的建设过程，直到今天随着一些国际国内标准，包括像国家等级保护等政策的推动，整体大环境才有所改善。
　　从IBM自身的实践来说，IBM去年收购了ISS，用了13亿美金，但这不是说IBM靠收购ISS来进入安全领域，IBM其实做安全已经有很多年，尤其是在安全咨询服务领域。那IBM为什么要收购ISS呢？我想有两个原因，一个当然是ISS产品本身市场技术上的优势，另外有两个最重要的，一个是ISS后面的X-FORCE团队，研究安全漏洞的朋友应该都知道。第二个就是ISS在日本与电信运营商NTT合作的，全世界目前唯一盈利的SOC中心。所以我今天会谈一谈SOC运营的盈利模式，来给大家提供一点思路。谈到MSS服务的时候，一般我们都要涉及考虑五个方面的内容，把安全服务成为一种产品，这是以后电信运营商的发展趋势之一。在看今天大会的部分演讲材料里面，包括华为等一些安全厂商，也已经看到了这个方面的趋势，其实国外这也早已成为电信运营商的转型模式之一。MSS安全服务首先要考虑的，当然是MSS这个服务的产品化，只有产品化，这个服务市场才能真正做起来。当然还要考虑像市场、业务、客户关系、销售方面的环节，才有可能解决以往单纯卖一个技术产品，或者是做一个安全解决方案的思路。
　　这是2006年北美的MSS市场的数据，我们会看到其实国外在安全服务这个市场，电信运营商已经早就取得了一定的回报，在北美的MSS的主要服务项目，最基本的还是IDS、IPS的管理和监控，它是基本的服务项目。主要的客户也是政府和金融，大型的行业，再就是大型企业。但是目前SMB，也就是中小企业的市场发展也非常迅速。这是2007年关于欧洲的一个市场分析，我们看到固网运营商利用其得天独厚的优势，通过收购合作的方式，快速的进入MSS的市场。今天可能包括中国电信在内的一些运营商都在探讨转型的问题，除了3G本身，安全会不会成为我们转型的一个内容，把安全从以往的成本变成真正的投资，可以得到回报？在中国我想这个机会一样是存在的，我们在国外看到了包括像英国电信，它在IT安全服务上有巨大的投入，他在2006年收购了两家公司，推动其MSS服务的发展，像法国电信从2005年开始转型的，它也是先通过收购的方式，德国电信是通过两个部门向其国际用户和大中型的商业用户提供端到端的这个安全服务。像印度，我们的邻居，他利用人工成本优势，语言的优势，与欧洲的MSSP合作，开始向其他领域提供MSS服务，我2003年去印度的时候，印度一些安全服务商已经成为许多美国、英国的银行的MSSP服务的合作伙伴，向外国的客户去提供端到端的安全服务。这也是在印度的高科技增长产业里面的一个亮点之一。
　　在中国我们也看到安全服务市场同样增长也很快，国内一些安全厂商，多多少少都会在安全产品里面带一些服务，只是以前可能有很多程度是服务份额比较小，比如评估服务，渗透测试服务，或者规划设计服务。但是由于以往对于咨询服务，电信运营商可能都将其作为成本考虑，不属于投资性支出，这样在项目立项可能都非常困难，而且规模非常小，没有办法根本推动安全服务市场的增长，现在国家等级保护的推广可能会带来一定的推动，但是这里面还有很多涉及到如何落地的问题。中国国内目前的安全服务它主要还是依托于产品，大家都看到了当电信运营商把安全服务作为他增值服务的部分内容的时候，对客户是有一定吸引力的，但是需要解决的可能是在收费方式，还有服务产品化，以及后面强大的运维团队的实际能力。
　　国内安全服务市场的促进因素是有很多的，我们刚刚已经提到了一些，从客户本身来说，即使是SMB中小企业，由于今天的安全问题已经不再是可以简单借助防火墙防病毒产品的实施，依靠普通运维网管人员可以去应付解决的。所以以往可能大部分SMB企业都寻求自己买产品的方式去解决自己的安全问题，今天他们已经看到了安全问题也许已经超出了他们的能力或成本控制。如果电信运营商还不能提供包含安全增值服务的内容的这种运营服务，一些大型企业就会选择自己来兴建数据中心，提供安全运维服务。我们已经看到一些大型金融企业集团已经在新建或者是已建这样的数据中心，甚至会考虑将来对社会运营。他们现在设计的数据中心都是基于十年以上扩容预备的，而且不再是仅仅考虑自己业务的发展。
　　所以我相信电信运营商以后会面临这方面的挑战，如果我们不在这个上面去加以改变。以往固网运营商在做安全投入上主要是还是在自身的内部安全需求上，我们知道电信运营商的核心还是客户，是市场，我们的安全需求其实就是为了满足客户的安全需求。比如说防止DDOS攻击，这类“攻击商业链”不是针对电信本身，而是针对你的客户，比如说像游戏厂商放在IDC的设备。所以我们传统的解决方案依然只局限在解决内部安全需求，而难以满足客户潜在的真实的需求。所以我们认为MSS的服务在满足了内部安全需求的同时，应该要考虑逐渐变成自己的一个核心增值的业务。
　　通过上述的一些简单的分析，我们可以得到一个基本的结论，就是说从未来看，管理安全服务在国内外这个市场都是非常大的，像目前国外的主要固网运营商都提供管理安全服务，而且是其当前主要的业务增长点，因为安全其实是信息化的一个副产品，大家都知道没有信息化不会有这个安全的问题。但是前阶段我们安全好象就是一个拖后腿的东西，将来我们会看到它会成为我们转型的一个切入点，在国内外来讲，相信主要都是金融、政府、医疗这种大型企业、这种大客户为主，逐步向中小企业去发展，国外的运营商在MSS的业务模式也有多种形式，少数是自建