采用外包的模式,引入服務提供商,將信息安全的風險轉移出去已經成為一些企業的選擇。
在中遠集裝箱運輸有限公司(下稱“中遠集運公司”)電信級規模的機房內,數十臺大型主機、Unix服務器、NT服務器和十幾個數據庫系統一字排開,國際商業機器公司(IBM)、太陽計算機系統公司(SUN)、惠普公司(HP)等各種品牌應用全有,中遠集運公司的異地災難備份就是建設在如此復雜的環境下。
在異地災難備份建設之初,業務需求、項目規劃、技術框架等問題,困擾著中遠集運公司信息中心。通過采用外包的方式,引入第三方服務商,中遠集運公司成功地完成了這個頗具難度的系統。對于引入服務商,擁有強大技術實力的中遠集運公司信息中心也曾經受到質疑,中遠集運公司信息中心主任顧錢彬如此解釋:“既然有直路能通達目的地,為何要摸著石頭過河呢?”
中遠集運公司的這種做法正在被越來越多的企業所采用。2005年,在顧能公司(Gartner)舉辦的“IT安全高峰會議”上,Gartner公司分析師約翰佩斯卡特(John Pescatore)在題為“網絡安全不遠的未來”的發言中呼吁企業:“請盡可能早、盡可能多地外包信息安全業務。”引入服務提供商,將信息安全的風險轉移出去已經成為一些企業的選擇。
復雜問題簡單化
對于企業的IT部門來說,信息安全是一個復雜但又不得不考慮的問題。IBM全球服務部(IGS)網絡和安全解決方案經理徐歡說:“信息安全領域具有專業化、復雜化和動態化的特點,只有準確理解了信息安全的特點,才能有較好的把握。”
外包將原本由內部員工執行的任務交給專業人員,把企業面臨的復雜安全問題簡單化。對于很多大型企業來說,光是對信息安全設備的日常維護就已經相當頭疼。北京電力公司近百臺Juniper防火墻正是如此。為了保障2008年北京奧運會用電的可靠性和安全性,北京電力公司制訂了“奧運電力行動計劃”,大幅度提高信息化水平,信息安全的工作也同時大規模展開。
為了構建整個企業網絡的安全防護網,北京電力公司購買了近百臺Juniper防火墻設備,每臺防火墻設備每天都會產生大量的日志信息,上百臺設備的總記錄信息量大得驚人,日常的網絡安全管理工作變得非常復雜和繁重,靠內部的IT人員來維護,工作量十分巨大。“頻繁的系統故障讓企業無所適從。盡管IT隊伍越來越壯大、IT的運營維護投入越來越高,但應用系統的運行故障依然此起彼伏,IT人員整天疲于奔命,嚴重影響核心業務。” 北京電力公司信息中心副主任汪皓感慨道。北京電力公司最終決定將這些工作進行外包。
類似北京電力公司這樣將安全系統的維護外包出去的公司在中國已經開始逐漸出現。中遠集運公司信息中心主任顧錢彬說:“引入優秀的第三方專業公司,不僅能把業界最優的實踐引到項目中來,而且能為企業節約費用,縮短時間,并且潛移默化地實現知識與技能轉移。”IBM公司的徐歡說:“信息安全專業性很強,客戶很難像其他信息系統一樣,根據自身業務的需求確定投資。部署信息安全很大程度上受廠商和集成商的引導,而廠商往往會建議用戶盡可能多地投入。”通過外包,將采購產品變為購買服務,能在一定程度上使服務商與客戶一起承擔系統安全的風險。
從技術到策略
從采購產品到購買服務,意味著用戶在信息安全領域的著眼點從IT技術轉移到了IT策略。北京電力公司信息中心副主任汪皓說:“外包不代表萬事大吉,企業的信息中心必須參與整體規劃,并承擔類似于監理的管理工作。” 徐歡也認為:“即使是外包,團隊中也一定要有企業內部人員。”在信息安全領域進行外包,目標是“防患于未然”,對企業來說,必須有一套明確的安全策略,并與服務方簽訂詳細協議。
海爾集團將顧客服務系統、電話中心系統、分銷系統等業務系統的安全維護與保障工作外包給東軟集團有限公司(下稱“東軟集團”)。為此,海爾集團制訂了定期維護與呼叫服務、本地支持和遠程服務相結合的服務策略。東軟集團每月對系統定期做兩次全方位的保養,檢查系統的安全性、穩定性、數據庫備份等情況,得出分析報告,并且在青島設立服務中心,部署一支軟件支持隊伍,采用現場、遠程、電話相結合的方式進行全國范圍的維護。這項外包涉及到海爾集團商流本部及42家工貿公司的計算機、外設、網絡設備、操作系統等龐大硬件群,范圍遍布全國,完善的服務策略保證了外包的順利進行。
只有了解了自身業務和應用系統,企業才能制訂出合理的外包策略。徐歡說:“現在很多企業對自身的應用系統都缺乏了解,在這樣的情況下進行外包,出現問題以后,用戶很難清晰定義出這個問題對業務的影響有多大,自己該采取什么手段來應對。”
探索合作模式
海爾集團與東軟集團探索出了成功的外包模式,這得益于雙方在長期合作中建立的相互了解。
從1998年開始,東軟集團就參與了海爾集團的信息化建設,對于海爾集團的系統情況相當熟悉。但對于更多的企業來說,引入信息安全的外包伙伴仍然需要探索合適的模式。
IBM公司的徐歡說:“信息安全的外包實際上是安全風險的轉移,企業把信息安全領域的風險轉移到服務商。”如何確定這種轉移的量和度是一個難題。“企業當然希望風險轉移越多越好,但服務商又不敢夸口全盤接下。比如大家都說外包要達到5個9(99.999%)的系統穩定性,但那只是對某些系統而言,而企業整個系統要達到5個9的穩定性是不可能的。以這種標準去要求服務商很難有合作基礎。”他說。
另外,外包合作方的選擇也很重要。北京電力公司信息中心副主任汪皓說:“選擇合作伙伴就像打地基,地基不牢,樓建得再高,也會轟然倒塌。”汪皓對合作伙伴的要求是:首先要有豐富的行業經驗,其次有超強的技術實力,然后是能夠與用戶溝通默契。
雖然在國內還只是一些大企業進行了安全領域的外包嘗試,但根據《InformationWeek》的統計,在美國已經有接近50%的企業進行了系統維護層面上的安全外包。 “安全外包現在不再存在爭議。”
Gartner公司分析師佩斯卡特說,“未來用戶不需要購買他們自己的客戶端設備(CPE,Customer Premises Equipment),尤其是用于邊界防御的客戶端設備。通過外包,網絡傳輸流在進入企業之前,就被清除了垃圾郵件、病毒、攻擊流和其他安全問題,因為防火墻和入侵檢測系統(IDS)安裝在運營商那里。”
京公網安備 11010802036102號北京金支點技術服務有限公司保留所有權利 | Copyright ? 2005-2025 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved.