外包模式“转嫁”企业信息安全风险.docxVIP

PAGE 1 PAGE 1 外包模式“转嫁”企业信息安全风险  通过采用外包的方式，引入第三方服务商，中远集运公司成功地完成了这个颇具难度的系统。对于引入服务商，拥有强大技术实力的中远集运公司信息中心也曾经受到质疑，中远集运公司信息中心主任顾钱彬如此解释：“既然有直路能通达目的地，为何要摸着石头过河呢？”  　　采用外包的模式，引入服务供应商，将信息安全的风险转移出去已经成为一些企业的选择。  　　在中远集装箱运输有限公司(下称“中远集运公司”)电信级规模的机房内，数十台大型主机、Unix服务器、NT服务器和十几个数据库系统一字排开，国际商业机器公司(IBM)、太阳计算机系统公司(SUN)、惠普公司(HP)等各种品牌应用全有，中远集运公司的异地灾难备份就是建设在如此复杂的环境下。  　　在异地灾难备份建设之初，业务需求、项目规划、技术框架等问题，困扰着中远集运公司信息中心。通过采用外包的方式，引入第三方服务商，中远集运公司成功地完成了这个颇具难度的系统。对于引入服务商，拥有强大技术实力的中远集运公司信息中心也曾经受到质疑，中远集运公司信息中心主任顾钱彬如此解释：“既然有直路能通达目的地，为何要摸着石头过河呢?”  　　中远集运公司的这种做法正在被越来越多的企业所采用。2005年，在顾能公司(Gartner)举办的“IT安全高峰会议”上，Gartner公司分析师约翰佩斯卡特(JohnPescatore)在题为“网络安全不远的将来”的发言中呼吁企业：“请尽可能早、尽可能多地外包信息安全业务。”引入服务供应商，将信息安全的风险转移出去已经成为一些企业的选择。  　　复杂问题简洁化  　　对于企业的IT部门来说，信息安全是一个复杂但又不得不考虑的问题。IBM全球服务部(IGS)网络和安全解决方案经理徐欢说：“信息安全领域具有专业化、复杂化和动态化的特点，只有精确理解了信息安全的特点，才能有较好的把握。”  　　外包将原本由内部员工执行的任务交给专业人员，把企业面临的复杂安全问题简洁化。对于许多大型企业来说，光是对信息安全设备的日常维护就已经相当头疼。北京电力公司近百台Juniper防火墙正是如此。为了保障2008年北京奥运会用电的牢靠性和安全性，北京电力公司制订了“奥运电力行动计划”，大幅度提高信息化水平，信息安全的工作也同时大规模绽开。  　　为了构建整个企业网络的安全防护网，北京电力公司购买了近百台Juniper防火墙设备，每台防火墙设备每天都会产生大量的日志信息，上百台设备的总记录信息量大得惊人，日常的网络安全管理工作变得特别复杂和繁重，靠内部的IT人员来维护，工作量非常巨大。“频繁的系统故障让企业无所适从。尽管IT队伍越来越壮大、IT的运营维护投入越来越高，但应用系统的运行故障依旧此起彼伏，IT人员成天疲于奔命，严重影响核心业务。”北京电力公司信息中心副主任汪皓感慨道。北京电力公司最终打算将这些工作进行外包。  　　类似北京电力公司这样将安全系统的维护外包出去的公司在中国已经开始渐渐出现。中远集运公司信息中心主任顾钱彬说：“引入优秀的第三方专业公司，不仅能把业界最优的实践引到项目中来，而且能为企业节省费用，缩短时间，并且潜移默化地实现学问与技能转移。”IBM公司的徐欢说：“信息安全专业性很强，客户很难像其他信息系统一样，依据自身业务的需求确定投资。部署信息安全很大程度上受厂商和集成商的引导，而厂商往往会建议用户尽可能多地投入。”通过外包，将选购产品变为购买服务，能在一定程度上使服务商与客户一起担当系统安全的风险。  　　从技术到策略  　　从选购产品到购买服务，意味着用户在信息安全领域的着眼点从IT技术转移到了IT策略。北京电力公司信息中心副主任汪皓说：“外包不代表万事大吉，企业的信息中心必需参与整体规划，并担当类似于监理的管理工作。”徐欢也认为：“即使是外包，团队中也一定要有企业内部人员。”在信息安全领域进行外包，目标是“防患于未然”，对企业来说，必需有一套明确的安全策略，并与服务方签订具体协议。  　　海尔集团将顾客服务系统、电话中心系统、分销系统等业务系统的安全维护与保障工作外包给东软集团有限公司(下称“东软集团”)。为此，海尔集团制订了定期维护与呼叫服务、本地支持和远程服务相结合的服务策略。东软集团每月对系统定期做两次全方位的保养，检查系统的安全性、稳定性、数据库备份等状况，得出分析报告，并且在青岛设立服务中心，部署一支软件支持队伍，采用现场、远程、电话相结合的方式进行全国范围的维护。这项外包涉及到海尔集团商流本部及42家工贸公司的计算机、外设、网络设备、操作系统等浩大硬件群，范围遍布全国，完善的服务策