详解启明星辰公司的M2S安全服务体系

　　启明星辰命名为M2S的安全服务，实际上相当于“安全托管”，国外早已有之，但一直以来在国内的推广并不是很顺畅。原因很简单：

　　1、国内的安全服务大环境本身较差;

　　2、安全托管或外包，需要客户与厂商之间结成相对紧密的“共同体”，但这可能又与一些企业本身的安全策略相违背。

　　无论如何，了解一下启明星辰的做法，还是能让我们学习感受一些东西的。

　　详解启明星辰公司的M2S安全服务体系

　　发布时间：2005-10-21 10:07:36

　　文章作者：安全服务中心

　　文章来源：启明星辰

　　互联网与网络技术为企业的业务增长和市场竞争创造了新的机会，同时也突显了其在保护计算机系统不受安全威胁上的必要性。2003年，来自“计算机安全研究所”（Compute Security Institute，简称CSI）的报告表明，78％的受访者通过互联网连接“经常”受到攻击，而这个比例在2000年只有59％。

　　今天，大企业、中型企业甚至是非常小的企业常常会感到有必要将自己的业务活动搬到网上，并且已开始付诸行动。然而，从事市场调研的Gartner公司认为：“它们常常忽视了安全，而安全却应当是首先要考虑的问题。”

　　在没有适当的保护下，网络的各个部分在来自黑客、竞争对手甚至雇员的未经授权的侵入面前都是脆弱的。根据Gartner的调查，截止到2005年，在只是自己管理自己的网络安全的中小企业中，其中40%体验到一次入侵成功的网络攻击，而这些公司中的一半以上甚至都不知道它们自己被攻击了。

　　据国家计算机网络应急技术处理协调中心的报告显示，以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升，2004年，他们共收到网络安全事件报告64686件，是2003年的近5倍。在收到的网络安全事件报告中，网页篡改的数量占45.91％，其余为垃圾邮件、蠕虫、网络仿冒、木马等。有数字显示，政府网站最易成为攻击者选定的目标，其安全防范有待加强。

　　在网络病毒方面，已知病毒的数量在2004年增加了28327个（已知活跃病毒的数量由此达到112438个），比2003年增加了25%。在2004年扫描的1470亿封电子邮件中，9.01亿封（总数的6.1%）包含一个病毒……

　　以上的种种信息安全现状对网络的安全性能提出了更高的要求，企业的网络必须将安全隐患全部清除并能够防患于未然。

　　信息安全服务怎样才能全面完整

　　用户需要完整的企业安全解决方案和建立完整的企业信息安全策略，这是网络安全产品无法做到的。因为，网络安全是一个动态的概念，不可能做到一劳永逸；网络安全是一个广泛而复杂的课题，一般的企业依靠自身的技术力量无法根本解决；各种类型的企业对网络安全有不同的需求，必须进行具体的分析，才能制定出适合自身要求的总体网络安全解决方案。

　　因此，信息安全服务应该适应安全管理的需要，提供包含从高端的全面安全体系到细节的技术解决措施。广义的信息安全服务通常包含以下几个方面：

　　信息安全咨询和信息安全策略服务：

　　在价值基础上建立的信息安全体系就是安全的第一位和最重要的任务，因此，安全咨询和安全策略服务就是安全服务的一项重要内容。

　　安全策略和安全实践对于企业的作用是不一样的，在进行安全服务之前，需要明确企业价值、预测安全风险、选择安全标准、制定安全策略、安排安全规划、安全产品选型等，这些方面，与技术密切相关，但不属于技术范畴，需要安全咨询和安全策略服务进行明确。

　　安全监控和安全审计服务：

　　随着观念的普及，对于很多实践层面的要求来说，许多企业已经接受了预防的观念，即系统的安全程度和安全状态如何。安全监控和安全审计包括系统的安全状态、安全漏洞、安全建议的报告内容。

　　安全响应和安全产品支持服务：

　　安全响应和安全产品技术支持服务就是我们通常所说的狭义的安全服务，它包括防病毒、防火墙、入侵检测、VPN等产品的技术支持服务，以及安全威胁的响应和消除。

　　什么是M2S信息安全服务

　　启明星辰公司根据新一代安全趋势的特点，提出“以人为本的实时安全过程”。M2S正是这样一个能够进行全面防范、即时监测、专家响应的一个实时安全过程，是一种全新服务。它具体包括以下含义：M2S（Managed Monitoring Services），它强调了启明星辰专业的监控技术与服务；MSS（Managed Security Services），它体现了启明星辰与国际通用托管式安全服务的融合；MtoS（Management To Security ），它阐明了启明星辰倡导的“通过管理达到安全”的理念。

　　M2S是在启明星辰公司TSP（诚信的安全产品、安全服务、安全解决方案提供商）理念的指导下，在公司系列产品大规模部署和使用的基础上，在30余项国家重点项目的沉淀下，结合国际上先进的安全事件预警与响应经验，在电信、政府、金融、电力、军队等上百家客户单位经过长期的实践，形成的一套全面、细致的服务体系。M2S服务理念包含应急救援、评估诊断、全心看护、专家咨询四大方面，其服务主要包括M2S 国际化管理咨询服务、M2S 安全风险评估服务、M2S 安全管理监控服务以及M2S 专家型应急响应。

　　M2S是一种信息安全系统的委托管理与服务，可以为企业提供专家级实时监控、实时响应、脆弱评估、系统加固、安全设备的部署与维护等一系列的服务体系，在这个服务体系中完成了对安全事件的事前监控、积极防御以及取证分析等等任务，完全使企业摆脱了维护系统安全的烦恼，并从最大程度上提高了企业的投资回报率。在这个服务体系中，更加强调了全面防护、实时监控以及专家响应这3个要点。

　　M2S国际化管理咨询服务及最佳实践方法论

　　在CSI/FBI 2004 计算机安全事件调查数据中显示，由恶性攻击导致的直接经济损失中，由机密信息被盗导致的直接经济损失达1.7亿美元左右，而金融欺诈带来的直接损失达1.1亿美元，内部网络资源滥用及病毒带来的直接经济损失各达5千万美元，光这4项安全事件每年带来的损失就达到了4亿美元。

　　同样，一份来自信息安全事件统计数据显示，人为错误造成的安全事件占总数的54％，物理问题（如自然灾害、电力问题等）造成的安全事件占20％，不诚实的员工（员工通过攻击获得利益）而造成的安全事件占10％，不满员工造成的安全事件占9％。

　　以上的种种数据显示出，信息安全建设所面临的挑战主要集中在以下几个方面：人员的风险意识淡薄；人员的技术水平与能力有限；风险管理关注不够；风险管理不足；已有安全策略的可操作性不强。

　　启明星辰公司认为，管理咨询的服务目标就是，在大量的顾问项目中，结合IT运营管理系统和信息安全管理系统及内控框架三个不同体系，将人员、技术、流程进行有机、和谐地集成，帮助用户建立起一套可执行的信息安全管理系统，并完成试运行，同时，通过提供培训和技术转移，帮助用户掌握自行运作和管理系统的能力