演讲主题：安全推动未来，电信运营商MSS安全服务演进探讨

演讲内容：IBM高级安全顾问 万 涛


大家下午好！今天我给大家演讲的题目是:安全推动未来，关于电信运营商MSS安全服务的一个演进探讨。时间已经比较晚了，我抓紧时间。其实我不知道下面的听众里面有没有电信运营商的朋友，大家对IBM都不会陌生，但是对于IBM在安全领域可能会有一点陌生。首先我先介绍一下所谓的MSS的概念，其实在国内大家会看到，它和SOC是有联系的。对于安全管理服务的内容，就是说它是从一个远端的安全运营中心的管理，监控企业的IT安全，信息支撑和流程，但是它一般来说是不包括安全外包服务里面的像咨询、开发，还有所谓的安全提升服务的。
MSS的服务商我们称之为就是MSSP，这是在国外的叫法，那么它主要是通过从远端的SOC对用户边界的，像防火墙，检测与防护设备提供监控与管理的服务，去保护用户。所以我今天不是在谈光电信运营商本身的安全问题。今天白天，包括明天，大家都在谈电信运营商如何去加强自身的安全问题。但是大家以往都看到，安全建设是一个逐步演进的过程，安全日益成为电信运营商的压力，安全投资不是来自于动力，而是来自于压力，安全投资以往也没有得到很好的效益回报，始终处在业务后援支撑的地位，使我们对于安全始终不能得到有效的保障。所以一直以来，安全都是一个从下而上的建设过程，直到今天随着一些国际国内标准，包括像国家等级保护等政策的推动，整体大环境才有所改善。

从IBM自身的实践来说，IBM去年收购了ISS，用了13亿美金，但这不是说IBM靠收购ISS来进入安全领域，IBM其实做安全已经有很多年，尤其是在安全咨询服务领域。那IBM为什么要收购ISS呢？我想有两个原因，一个当然是ISS产品本身市场技术上的优势，另外有两个最重要的，一个是ISS后面的X-FORCE团队，研究安全漏洞的朋友应该都知道。第二个就是ISS在日本与电信运营商NTT合作的，全世界目前唯一盈利的SOC中心。所以我今天会谈一谈SOC运营的盈利模式，来给大家提供一点思路。谈到MSS服务的时候，一般我们都要涉及考虑五个方面的内容，把安全服务成为一种产品，这是以后电信运营商的发展趋势之一。在看今天大会的部分演讲材料里面，包括华为等一些安全厂商，也已经看到了这个方面的趋势，其实国外这也早已成为电信运营商的转型模式之一。MSS安全服务首先要考虑的，当然是MSS这个服务的产品化，只有产品化，这个服务市场才能真正做起来。当然还要考虑像市场、业务、客户关系、销售方面的环节，才有可能解决以往单纯卖一个技术产品，或者是做一个安全解决方案的思路。

这是2006年北美的MSS市场的数据，我们会看到其实国外在安全服务这个市场，电信运营商已经早就取得了一定的回报，在北美的MSS的主要服务项目，最基本的还是IDS、IPS的管理和监控，它是基本的服务项目。主要的客户也是政府和金融，大型的行业，再就是大型企业。但是目前SMB，也就是中小企业的市场发展也非常迅速。这是2007年关于欧洲的一个市场分析，我们看到固网运营商利用其得天独厚的优势，通过收购合作的方式，快速的进入MSS的市场。今天可能包括中国电信在内的一些运营商都在探讨转型的问题，除了3G本身，安全会不会成为我们转型的一个内容，把安全从以往的成本变成真正的投资，可以得到回报？在中国我想这个机会一样是存在的，我们在国外看到了包括像英国电信，它在IT安全服务上有巨大的投入，他在2006年收购了两家公司，推动其MSS服务的发展，像法国电信从2005年开始转型的，它也是先通过收购的方式，德国电信是通过两个部门向其国际用户和大中型的商业用户提供端到端的这个安全服务。像印度，我们的邻居，他利用人工成本优势，语言的优势，与欧洲的MSSP合作，开始向其他领域提供MSS服务，我2003年去印度的时候，印度一些安全服务商已经成为许多美国、英国的银行的MSSP服务的合作伙伴，向外国的客户去提供端到端的安全服务。这也是在印度的高科技增长产业里面的一个亮点之一。

在中国我们也看到安全服务市场同样增长也很快，国内一些安全厂商，多多少少都会在安全产品里面带一些服务，只是以前可能有很多程度是服务份额比较小，比如评估服务，渗透测试服务，或者规划设计服务。但是由于以往对于咨询服务，电信运营商可能都将其作为成本考虑，不属于投资性支出，这样在项目立项可能都非常困难，而且规模非常小，没有办法根本推动安全服务市场的增长，现在国家等级保护的推广可能会带来一定的推动，但是这里面还有很多涉及到如何落地的问题。中国国内目前的安全服务它主要还是依托于产品，大家都看到了当电信运营商把安全服务作为他增值服务的部分内容的时候，对客户是有一定吸引力的，但是需要解决的可能是在收费方式，还有服务产品化，以及后面强大的运维团队的实际能力。

国内安全服务市场的促进因素是有很多的，我们刚刚已经提到了一些，从客户本身来说，即使是SMB中小企业，由于今天的安全问题已经不再是可以简单借助防火墙防病毒产品的实施，依靠普通运维网管人员可以去应付解决的。所以以往可能大部分SMB企业都寻求自己买产品的方式去解决自己的安全问题，今天他们已经看到了安全问题也许已经超出了他们的能力或成本控制。如果电信运营商还不能提供包含安全增值服务的内容的这种运营服务，一些大型企业就会选择自己来兴建数据中心，提供安全运维服务。我们已经看到一些大型金融企业集团已经在新建或者是已建这样的数据中心，甚至会考虑将来对社会运营。他们现在设计的数据中心都是基于十年以上扩容预备的，而且不再是仅仅考虑自己业务的发展。

所以我相信电信运营商以后会面临这方面的挑战，如果我们不在这个上面去加以改变。以往固网运营商在做安全投入上主要是还是在自身的内部安全需求上，我们知道电信运营商的核心还是客户，是市场，我们的安全需求其实就是为了满足客户的安全需求。比如说防止DDOS攻击，这类“攻击商业链”不是针对电信本身，而是针对你的客户，比如说像游戏厂商放在IDC的设备。所以我们传统的解决方案依然只局限在解决内部安全需求，而难以满足客户潜在的真实的需求。所以我们认为MSS的服务在满足了内部安全需求的同时，应该要考虑逐渐变成自己的一个核心增值的业务。

通过上述的一些简单的分析，我们可以得到一个基本的结论，就是说从未来看，管理安全服务在国内外这个市场都是非常大的，像目前国外的主要固网运营商都提供管理安全服务，而且是其当前主要的业务增长点，因为安全其实是信息化的一个副产品，大家都知道没有信息化不会有这个安全的问题。但是前阶段我们安全好象就是一个拖后腿的东西，将来我们会看到它会成为我们转型的一个切入点，在国内外来讲，相信主要都是金融、政府、医疗这种大型企业、这种大客户为主，逐步向中小企业去发展，国外的运营商在MSS的业务模式也有多种形式，少数是自建的，大部分是通过收购MSSP或者是与其合作，实现快速进入MSS的市场，这个市场不会给你很长的时间去酝酿，去发展，就是谁抢得比较快。目前管理安全的服务可能在中国是刚刚进入一个增长期，在国内还没有专门的提供管理安全服务的MSSP，但是目前有一些固网运营商，或者ISP正在探索提供这种形式，我们现在可以去搜索一些运营商的网页，上面多多少少都有一些，可能目前停留在比较原始的阶段，比如说在线杀毒，或者说是在一个宽带增值业务里面进行捆绑服务，所以说它的营收方面还不是很突出的，给客户的感受是不同。最大的客户还是在这个政府、金融这些大型客户上面。但是包括在国外的MSSP都看到了中国的市场和国情这种发展过程，所以也在积极寻找国内的合作伙伴，去准备面向国内的客户提供MSS服务。

所以国内的MSS服务的增长我觉得是会非常快的，就是在看谁走出第一步了，所以我们应该优先考虑MSS服务的推出点。在提供管理安全服务一般都是通过SOC的这种形式去做的，但是很多安全从业人士都知道，大家看到以往的SOC都是失败的案例，不管它从对内对外来说都是看到失败的案例居多，那么原因在什么地方？我们先看一下三种运营模式，一种就是自建加自运营，比如说像AT&T，它的好处在什么地方？当然显而易见，它能最好的、有效利用运营商的资源优势，也比较容易得到用户的信任，这是运营商自己的。销售方式也就会比较灵活，因为自己的东西怎么都可以决定，而且可以前期充分利用像IDC已有的物理设施。不足的地方就是从电信运营商自身的历史发展来看，它在安全运营这个层面缺少技术优势，包括岗位编制，由于体制的关系，我们可能没有专门的安全运维团队，也没有这样固定的编制，人员的稳定性专业性都有所欠缺，能力也是相对不足的。相对服务的产品的开发周期也就会比较长，这是由于我们自身的特点决定的。

从业务开展来说，当然它是直接面对最终用户的，利益是独享的，而且是自有品牌的。在运营上面往往我们通常会借助向系统集成商去提供建设方案再加上实时服务，再加上这种平台的技术支持。另外一种模式，就是像日本的模式是自建和合作的运营的结合，就是NTT的模式，它的好处第一方面它是可以把运营商的优势，自建的模式全部利用上来，从环节来说。但又能最好的利用MSSP服务商本身的能力，合理利用双方的人力与技术的这种优势，加快进入市场的速度，去降低这种运营的风险。不足的地方就是说毕竟是两家公司，两种文化，不同的人员体制，所以在运维的过程中，在管理上需要磨合。此外利润是分成的。还有一种形式运营商不想做太大的投入，采用的方式是销售加MSSP的这种运营，这种情况运营商不会去投入SOC的建设，只是利用已有的用户资源，就是我提供客户，MSSP去服务。那么这样的话，它基本上完全依赖合作方，就是他要合作方来投资。他要依赖合作方的信誉、能力，他仅能够提供对最终用户的一个接口，它不能去做深度的东西，当然利益也是分配的。其实这样电信运营商只相当于MSSP的一个分销渠道。

从我们的看法上来说，最后一种模式，表面上可能进入更容易，但是它的风险更高，而且实际的效果很可能非常不理想。因为首先当你寻找一些安全产品厂商去做支持的时候，他的规模性不足以支撑电信运营商所需要的服务规模。所以，如果单方面去做，虽然你投入减少，但实际得不到的效果，你是得不偿失的。我们综合看一下作为国内的固网运营商，他在开展MSS的这个阻碍和积极因素在什么地方？阻碍来说我们刚刚讲过最主要可能是运维团队的问题，缺乏专业的安全人才，那么在人员资源上有压力。如果说你单纯引进纯技术人员的，那么可能对业务的流程不够熟悉，加上其他一些原因，你不能对所有的客户去提供定制化的服务。同时你可能缺乏必要的技能业务模式来实施管理安全的服务。这个过程你即使要去模仿国外，也需要相当长的时间。现有固网运营商的组织架构上也是对此不匹配的。如果我们要从源头上去梳理的话，那么这个过程代价可能会比较长。

另外一个就是可能会有各种各样的担心，可能会受到市场异常关注。比如如果我们去说我们能够推出什么样的服务，我们能够替客户提供什么样的保障，那么当你的客户真的选择了你的服务。可能你会率先成为攻击的对象而经受考验。这种威胁真来的时候，你可能还没有足够的能力去应对的话，可能会带来不好的负面效果。积极的因素在哪？积极的因素通常都是前瞻性的，最主要就是说首先是一个相对稳定的一个足够的客户群，那么这也是由中国市场的积极因素去决定的。国内的大型客户会相信固网运营商，而他可能不会去相信一个民营的纯粹的一个安全产品厂商或一个服务商。那么安全增值服务可以加强你跟传统客户之间的关系。再一个就是有足够的经济规模，因为你已经在基础建设上已经做了很多投入，所以你已有的资源还没有得到充分的挖掘和利用，所以你完全可以在这个服务中去做一种平衡，那么可以在多个用户之间去共享你的安全资源，可以将节省的成本与客户去分享，这将有助于向中小企业这种市场的推广。比如说作为安全产品厂商，如果他单独刚开始可能可以接一些客户，但是时间长了之后他的运维压力会很大的，则成本会大幅提高。对而电信运营商来讲，他应该是一个逐渐降低成本的过程，同时由于国家政策各种方面的优势，固网运营商在这个方面会有较强的市场地位，可以和向政府、大型企业开展广泛的紧密的联系，甚至高层次战略合作。

比如说IBM最近我们跟某省政府就签署了一个合作的战略协议，我们就会扶持他们选定的运营平台去发展全方面的IT服务，安全就是其中一部分。此外固网运营商本身由于传统建设的关系，与安全厂商有着良好的合作关系，所以安全厂商都会认为这种固网运营商是SMB市场开拓的理想合作伙伴，肯定可以提供相应的价格和技术支持。大家可以走向一个共同提高的过程，而且由于我们有带宽、线路、物理资源方面的优势，固网运营商其实最适合提出这种一揽子解决方案。他远比传统的系统集成商向这种大型客户去提供带有安全服务会有优势。所以你在提供线路的同时，可以提供预防性的保护服务，网络与安全的这种捆绑服务是非常现实的，也是容易被接受的。
由于我们另外在资金规模上的优势，我们也可以通过与领先的MSSP的合作，快速进入MSS这个市场去降低运营风险。MSS服务的必要条件，我们讲有三点，从三个方面可以看到，就是从速度、规模和对应的用户。速度上来看，它里面有包括技术上的这种前瞻性的研究，规模上来讲，它有包括像SOC的运行，程度开发，还有安全运营中心上面的这种建设，对于客户上来讲，主要是销售方式、价格、渠道这方面的一些商务上的环境。我们前面提到过说所有的以往的一些固网运营商在SOC这种MSS服务的平台上的建设都有过失败的教训，这个失败的教训的原因其实主要就是两个，一个是本身这个平台的不成熟，比如说一些传统的SOC它是从资产的角度去入手，他偏重在这种设备的日志信息，通过日志，实现对日志监控，所以他充其量是一个安全事件的采集中心，或者是一个日志监控中心。它不能去做到真正的像关联分析和到应用层面的处理。

再就是从业人员的水平不够，安全厂商帮你把SOC建起来了，但是这运维谁来做？如果是我们自己来做的话，由于我们没有专门的这种安全运维团队，那你碰到安全事件的时候，你在有效应对方面，比如一、二线人员的这种水平它是否足以去支撑客户的这种个性化需求？一般IBM会把SOC的安全从业人员所必须的技能分成五个方面，第一个就是监视，他的工作就是监视，他做的内容就是做一个监控，工单触发的时候走流程，他能去处理用户事件的这种流程。对突发事件的一些处理，像面对防火墙报警他会有一些基本的基础知识，比如说如何区分攻击行为的危害性。第二方面是控制，他可以在第一方面的基础上加一些策略的反映。所以这样的时候他能够对这些一些产品的配置可以去修改，或者是做编辑和调整，他的这种支持相对就会更专业一些，这种是两个层面。所以这是监视和控制。到第三步来讲是有一个分析和判断的能力，有的时候一些安全事件简单的本身，并不是能够反映，即使你通过一些IDS、IPS，你并不能反映这个安全事件的本质，比如说一个网络中断的事件，或者是流量异常的事件，并不一定代表着拒绝服务攻击。也有可能是蠕虫，也有可能是其他，甚至是网络设备的故障。他在这种分析判断上面就要有相当的经验，他要有一种信息分析的能力，像ISS最重要的也是其有一个强大的专家团队，有了这个团队的支撑，你的安全运维能力就会非常的强。从运营商角度来讲，来自互联网的攻击都没有边界，我们从北京发现一个安全事件，可能它的攻击源头在北京，甚至也可能在国外。所以在这种分析的时候，你要有第三线以上的人员去做。到第四步，我们来讲就是这个团队，平时是做研究的，能做漏洞的研究，能对特征码去进行编写，去主动丰富我们的安全产品以及漏洞库的更新，改善我们的安全运营环境，所以他要有安全评估能力，有异常访问的处理能力，要有特征码的编写技术。这样才有可能使我们的安全防护一直是动态的，而不是依赖于一个产品的现在的状态去实现。到第五步那就是另外一种层面的一种理解了，所以我们一般会把这个SOC的从业人员技能会分成五步。你只有这五个步骤都具备，也就是在你MSS服务这个平台里面具备这样一个运营团队，你才有可能保证你有能力做好MSS服务，才有可能保证服务的质量。

下面是一个案例，就是NTT，目前这个世界上最大的盈利的SOC一个事例。IBM跟电信运营商去合作进行MSS服务的时候，IBM不是去简单地想把产品卖给他。我们的优势，我们的做法，比如像我们跟NTT的做法，就是我们是一个逐步退出的过程，就是说刚开始我们进行合作，比如SOC业务开始，大部分情况你都会交给我们的团队，包括它的平台来去进行判断，运营商要投入的就是建设这个SOC，用的是我们的解决方案。然后到了后期运营，你会看到前面在第一阶段里面，下面四个都是有ISS来负责，就是由IBM来负责。到了第二个阶段，就是运营商开使用本公司的资源营运SOC的日常业务。这个时候我们看到第二步也交给NTT，ISS是只负责后面三个。到第三个阶段，当电信运营商可以用本公司的资源，包含各种警报的重要度进行判断、评估，这种能力都具备的时候，我们就会退到第四步，直到最后第四阶段完全成为电信运营商直接的运营。

像现在NTT只有在我们讲数据源，比如说他的一些产品数据源这些上面会继续用到ISS的服务。他甚至还可以去复制起现有的MSS服务。以上我们讲的是MSS服务的演进模式的一种探讨，作为一个探讨，中国市场还有中国市场一些特殊的因素和环境必须在实践中考虑。

最后介绍一下IBM本身，IBM大家肯定知道了，但是我们会说我们是全球排名第一的信息安全服务商，是有它的原因的。这里我就不去多说了，我只最后举一个例子，为什么IBM这样的IT巨无霸也会去关注MSS这个安全服务。首先像所有的跨国公司和运营商一样，IBM也面临自己的安全管理问题，IBM全球的分支机构遍布160多个国家，有32万名员工。我们大部分都是采用移动办公的形式。比如像我在办公室都没有固定座位的，我们主要出现在在客户现场，去公司的时间并不是太多。IBM怎么样保障自身的安全体系，不是仅仅靠一个帽子获得一些道德准则。IBM自己已经经过这么多年的运营，已经总结出了一套比较成熟的，从流程技术、手段相结合的一个管控体系。安全已经成为一种文化，渗透在IBM的整个的运维管理里面。

所以我们希望可以将IBM的心得拿出来和客户、电信运营商一起去分享，为我们的电信运营商的客户一起来去设计我们符合中国国情的MSS服务。IBM从职责、流程、人员、技术方面有一个完整的体系。IMB基本上可以说从1998年以来，在IBM内部没有出过大一点的安全事件。虽然我们的管理是比较人性化的，比如说像我们的终端管理上面，并没有采用像国内一些厂商去倡导的非常严控的方法，但是它已经足够保证其运营的安全，这是IBM在SOC在全球的一个分布的情况，可以供大家去参考。

希望以后可以有更多的时间跟大家介绍IBM的经验和成功的案例，时间的关系，今天只讲这么多，谢谢大家。