邹武：柏安咨询MSS业务产品介绍

邹武：今天非常开心下午跟大家有半个小时的交流。其实目前我们柏安公司之前为很多客户提供服务，通过购买产品有很多的解决方案，但是带来了一个新的问题，就是他怎么去持续的改善，持续的增强，增强自身企业的安全的水平。因为从咨询项目来说，企业的人力资源、自身优势都没有办法支撑，因此带来了企业做项目的时候是说安全做的挺好的，过了一段时间他们都走了，结果问题又有了。我们柏安公司是想持续的维护公司的安全。

在2008年的信息案件事件当中我们可以看到很多安全事件，有一些熊猫烧香啊或者是企业病毒等等，这些信息安全的事件反映的问题是不一样的，有的是系统缺陷，有的是防护缺陷，有的是管理缺陷，给企业带来了很多的困难。这里我稍微总结了一下，从目前来说，整个企业其实主要面临六大的安全威胁，哪六大呢？我稍微总结了一下。

第一个是我们内部的干预，第二是病毒的泛滥，还有我们很多企业现在提出产业细分，有很多的企业申请一些外包或者是有一些外包的团队去帮他，但是这个外包的管理非常的缺失。大家也看过315的论坛，在理论当中有很强的经济驱动力的黑客来把我们的一些财务资源和公司的财务信息，一些机密的信息进行盗用和破坏，这也是目前来说安全一个主要的趋势。我们很多企业安全很重要，但是由于人力成本，由于企业的规模没有办法去做到完善，导致了我们人员紧张的问题。我们安全都知道，只要一线被突破了，整个防护水平就会下降。

我收集了一个数据表，这些安全威胁导致了数据化损失的比例大家看一下。第一个就是病毒，这是2007年的一个数据，排名第一，大概是损失了1500多万，对企业来说是有形和无形的损失都非常的严重。通常企业会看到这些问题，那么在目前来说，整个国内的信息安全建设也是非常快的，很多企业像我图上标的做了很多的安全系统，他购买了很多的安全产品，但是导致一个问题，我们用很多的产品，那么由谁来运维，由谁来管理，由谁来进行定制分析，这种管理的效果是达不到我们设计要求的。

因此在国外其实我们有北美或者是欧洲其实也看到这些问题，我们推出了在北美或者是在国外的一些运营商或者是安全公司推出了一些服务外包型的产品，其实他在国外是非常成熟的一个产品，我这里大概简单的给大家看一下。包括安全产品的运维，包括安全危机防护还有积极响应的工作。通过为企业提供外包的服务，帮助企业去管理、发现和持续的运维，通过这样的方式使企业的信息安全的保障持续的得到提高，这是我们北美或者是在欧洲的一些比较新型的提供。我们传统的模式和新的模式的好处，从管理视角来说从离散的管理变未统一的管理，在这几个方面都有它得天独厚的优势，对我们企业来说是非常大的优势。

所以说，在我们一些成熟的欧美市场MSS服务是非常的成功，非常的成熟，而且占整个企业的比例也非常大。我接触的一些外资企业都非常倾向于用外包，如果自己做的话成本很难控制。我这里有一个比较，我摘取了一个中型保险公司的安全服务，通常来说我比较了一下，统过两年的比较来说，MSS服务来说我们基本上1-2年的节约成本应该是3、4万左右，这还包括我们持续的监控还有持续的运维导致企业IT事故下降避免了一些损失。其实这种服务模式是有前景的，而且这个服务的模式是非常可行的，相信在不远的将来这个会形成很好的局面。

从柏安公司来说，之前也看到过这些案例，也跟国外的运行商去沟通，这个图是我们柏安公司的服务体系，当中主要的一块就是安全运营。因为前期来说从柏安公司成立到现在将近10年的时间，也是陆陆续续做过非常多的一些咨询项目。从我们做的项目的经验来说是两类客户，一类是传统的咨询项目的客户，这个客户的特点就是说我们一次幸得，大概是四个月，五个月，一年的项目都有。从这个项目反映的情况来说我们还有一个项目是持续的服务项目。做一些咨询类的项目，单一的项目企业来说从我们回访的结果来看做的时候是非常好的，做完之后其实建设的保障会持续下去的。

我们做一些持续的项目的时候，我们会定期的对他的安全现状和安全的漏洞进行持续的改变，这实际上是一个阶梯型的持续的增长。这其实就是花小钱，办大事，所以说我们基于这个原因，我们整个公司和行业的业务调整也是希望我们为大多数的中小企业提供这样的一个外包型的服务。

这是我们提供外包型服务的菜单，大家可以看一下我们突出一站式服务。从我们安全事件的监控到设备的管理，当然这个设备管理主要是体现在安全层面，第三个就是企业风险的分析，这个分析包括我们漏洞的检查，包括主机和应用服务方面的，第五个方面我们会提供法律法规的遵守，我们帮他们做监控、梳理和管理。通过这样五个子服务我们可以实现为我们中小型企业达到信息安全的要求，一站式服务就到我这里来，你基本上可以监控、管理、检查，使我们企业花了小钱办了大事。

分解开来的话，我这里有一个产品的图形，我们主要是对安全设备、网络设备、企业制度进行一个监控。我们的设备管理可以提供一些像防火墙的管理，和防病毒的管理。第三个内容就是我们的视听墙，第一个是远程的电话支持，专家的在线支持，根据我们企业实际的状况，根据我们企业的预算的成本，根据企业敏感度的一些要求提供支持。第四个就是说我们的企业的风险管理，风险管理当中我们会提供定期的安全威胁的分析，通过我们的监控，通过我们设立管理，发现了一些安全威胁。还有一个是漏洞检查，有了威胁的话，我们势必要对企业自身的漏洞和自身的情况进行检查，这个检查包括主机方面的，应用服务方面的，电子商务方面的等等。还会提供企业的整体的风险分析和一些专家的建议，刚才几位专家都提到了，我们企业发生问题了，发生威胁了，我怎么去弥补，怎么下一阶段很好的做，我们会有一个专家的建议，如果你采用我们服务的话，我们会定期的提供一个安全的建议。

第五个是法律保护，从整个MSS服务来说会有健康信息的要求，通过这样五级的，五类的服务方式或者是说服务菜单来提供帮助。使我们整个企业去规避这样的问题，保障我们企业整个的信息系统的稳定运行，保护我们企业的核心的问题。从我们整个来说，MSS服务体系来说我们是建立在自己开发的一套商务平台系统，这个是实时主动，我们的机房是有的，所以在晚上或者是深夜的时候可以提供一些紧急的响应，同时可以通过账户看自己设备的状况，或者是一些威胁的状况，还有就是我们专家都会在线支持。通过这样的服务我们可以来为企业提供这样的一站式的安全服务，使企业的安全的水平不断的得到保障，这是一个持续的过程。单一的产品或者是单一的解决方案无法使企业的信息安全的水平持续的提高。

这是我们整个基于MSS服务的基础的平台的架构，我们整个平台因为我们不是主流的安全设备厂商，但是我们整个的平台来说已经开发了大概4-5年，因为前面的时间整个概念来说中国的接受程度比较低，但是现代化越来越发现企业需要我们去做持续的管理，持续的运维，从去年开始我们就重点推出了服务产品，这个服务产品是基于我们整个的基础的平台的框架，这里就不详细介绍了。这里有几个层次，这四个层次去构建我们整个的平台。

这是我们整个平台支持的设备列表，几乎主要的安全设备了一些系统的服务期都可以支持，如果我们有一些比较偏一点的设备的话我们也可以提供三个工作日的支持。这个产品是自有知识产权的，因此整个调整或者是开发都非常的快速。从MSS服务的模式来说，我跟客户沟通，有四个说明。从物理层来说，我们SOC服务的框架实现一些扩展循环的要求进行监控，从我们这里来说，从数据库，从我们前端的管理来说后台的数据库是通过管理的，就是最大限制的保障了数据库的优势和业务的持续性。

第二个从网络层来说客户的信息，客户的资料和日志都是通过我们加密过来的，因此可以保障我们传输的信息的安全。

第三，我们整个SOC采集的数据都是设备操作的信息，和自身的业务信息没有什么关系，因此不存在客户的机密信息被泄密。

第四，用户的认证，用户论证也是要保障的。

这是我们的三个方案的部署模式，从日志收集来说，从SOC平台的运作来说很大程度上依赖于数据，因此第一种方式我们数据的采集系统是放在企业的内部，通过这个采集集中发到我们的后台远端的SOC平台做运维。第二个模式是说有的企业比较小，只有一到两个设备，可能去做单独的收集系统有一些压力或者是网络上的限制，因此会通过直接的方式发送到远端的平台。第三种平台就是有一些行业客户数据量比较大，企业的要求比较高，因此我们建议用专线的方式。

这是我们在上海建立的一个主SOC中心，从硬件条件来说，里面会有一些监控的工程师，还有一线、二线的监控员，帮助企业分析，实时的监控企业的变化。我们后台有四个小组，第一个就是我们监控组、分析组、响应组和研究组，能够帮助企业解决在运维当中产生的一些问题。我们可以帮助企业实时的去发现问题，解决问题，弥补问题。这是我们整个专家的资深团队，包括我们张总是资深的小组的成员，包括我们前期的一些SOC用的都是在行业中最少有四到五年经验的工程师。这是我们整个后台的运营体系的设计，有了这些运营体系才可能让客户相信，我们各个工程师各司其职，为客户提供及时有效的服务。

下面我重点讲一下成功的案例，越来越多的企业发现单一的产品，单一的解决方案其实是没有办法完全达到企业的安全要求的，目前有很多的业务，我大概列举一下。我们做了大概三年的规划，还一些像市民热线，金融行业的一些大型的金融公司，电子商务平台，这里顺便提一下，因为整个购买产品对客户来说其实一个特质就是说业务需求非常重，我们客户的特点是有很重要的网上业务，电子商务平台。还有像电信的，因为我们整个基于SOC平台的运营来说不光是给中小企业提供外包服务，还有像电信、移动、网通如果想对自己定制化一些SOC平台，我们也可以进行帮助企业定制这样的平台。

还有零售业，我们通过零售业的MSS服务，外包服务，为企业的隐患和安全风险带来非常大的帮助。这是我们2008年MSS服务基于SOC平台运营的链条，一年来我们收到了20TB的容量，安全事件1000多件，包括蠕虫的攻击，病毒，信息泄露，违规操作等等。你讲安全，他觉得我们这个没有问题，但是从我们的监控中发现了很多的安全隐患，及时的去消灭是我们的工作。我们去年处理了188起，整个处理时间是控制在30分钟之内，大家想象一下，我们如果说我们网上的一个平台或者是重要的电子商务平台有了问题，如果我们没有及时的发现的话，他们到了早上才发现平台是瘫痪的，大家可以想象这个损失。我们大概在10分钟之内或者是5分钟之内就可以发现问题，最大限度的保护了我们企业的安全，使企业的IT经理也好，CIO也好跟我说原来你们的服务这么到位。

这是一个典型的案例介绍，我自己大概比较了一下，从我们客户的网上购物平台，因为去年是买了我们的产品，从买的产品来说，我比较了一下，在购买MSS之前和之后的比较，从业务中断来说这家企业之前是每年异常中断时间是120小时，自从购买了我们的产品每年断机的时间就大大的缩小了。因为有了监控，我们实时会检查到业务的一些情况，从比率来说下降了90%的断机时间，这个对企业来说是非常关键的。最近我去回访一家客户，他说有了这个服务我的断机时间远远降低了，从企业自身的业务来看是非常有价值的。

网站或者是商务平台断掉之后怎么发现，因为我们整个监控包括很多的方面，像磁盘、内存。昨天我处理了一个事件，我的客户由于我们监控到了他的web网站反映非常慢，我们把安全日志调过来一看里面有问题，因此我们及时的提醒他把这个在防火墙上关闭掉，这个是非常明显的，就是提前预警，帮助客户解决潜在的危险。如果我们不及时处理的话，可能过不到一会儿就会出现问题。

第三个是安全事件的发生，这个预算也非常紧，截止到目前自从购买了我们的产品，至今为止从没有发生什么事情。也是保护了他整个业务的发展。从从风险分析来说，这种类型的公司没有专业人员，没有办法进行安全规划和设计，这里我们都可以为客户进行定制，进行操作。他购买了我们的风险分析的产品，因此我们会定期跟他进行检查和分析，发现问题我们会进行一些加固。另外就是通过我们发现了一些问题，我们可以给他们一些专家的建议，我们要求他的代码编辑要规范，这样都可以很大的程度上帮助他们解决一些问题。

还有一个就是设备管理。也就是说一句话，购买了我们这样的产品其实最大的效益就是可以安心的回家睡觉，所有的工作交给我们后台来做。

通过我们提供一站式的安全外包服务，我们有几点效率，第一个是安全事故降低了，企业运营的中断问题，管理成本和效益的问题，大家可想而知，如果刚刚这家企业要买，必须最少要配两到三个专职的安全专家，两到三个安全专家是什么概念呢？最起码一年的费用在60-70万左右，但是这家企业所花了10万不到的费用就达到了这个效果，大家可以想象一下。即使招聘了两三个IT专家也没有办法实现很好的监控。

因为业务持续的中断，数据被盗和网站被黑都会对企业的管理者和运行者带来很大的麻烦。下面简单给大家看一下我们整个SOC的样子，这是我们整个SOC的画面，这是我们的一个分析系统，就是在SOC平台中的一个分析系统，最上面这张图可以为我提供将来我的平台很大，或者是我们有一些电信或者是移动的客户可以进行一个整体的趋势分析，帮助我们的企业或者是帮助我们的网络两规避来自国外的安全攻击的事件，因为我们前期有发生过一段时间俄罗斯的黑客比较多，一段时间美国的黑客比较多，还有冰岛的黑客，因此我们会通过我们这样的一个趋势展现帮助我们分析哪类的黑客比较频繁，通过我们的运营商的沟通去规避这些来源。

下面这张图是我们地球仪展开的部分，就是来自世界各个地方的排行，最右边这张图是来自国内的，红点是通讯员。通过SOC平台类似的关联分析模块可以把我们整个国内和国外的安全的威胁量化产品出来。这是我们的一个关联分析模块，初始化的大概有48种关联的一些模块，里面根据我们安全的特点定制了外包、防病毒的一些方面。这是我们知识库管理的模块，基本上一些安全威胁或者说通过什么途径进来，造成什么影响，是什么样的表象，其实我们都有研究，因此我们会提供这样一些的知识库帮助我们的SOC平台去用，还可以帮助我们企业的客户去发现或者是及时的去指引。

我今天的汇报就到这里，大家看看有没有什么问题。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。