選擇安全合作伙伴，保護(hù)您的數(shù)據(jù)中心

　　數(shù)據(jù)中心不斷增加對安全的關(guān)注，但企業(yè)面臨預(yù)算緊張或內(nèi)部缺乏所需的技能。要實(shí)施必要的措施來保護(hù)他們的數(shù)據(jù)中心，以實(shí)現(xiàn)強(qiáng)大的安全性，可能會(huì)遇到困難。然而，在這種情況下，有另一種選擇:把安全管理外包給合作伙伴公司。這些合作伙伴通常被稱為管理安全服務(wù)供應(yīng)商(MSSP)，他們可以處理一定范圍內(nèi)的安全保衛(wèi)任務(wù)，使公司的職員解放出來。集中精力忙于更重要的業(yè)務(wù)工作。

　　然而，由于安全性是非常重要的領(lǐng)域，正確地選擇安全合作伙伴是非常重要的，原因有多種，包括預(yù)算、公司的聲譽(yù)、保護(hù)公司和客戶數(shù)據(jù)，等等。

　　安全性:外包?

　　盡管外包有一個(gè)壞名聲，但大多數(shù)企業(yè)在某個(gè)方面還是需要外包。外包 是一個(gè)合法的方式，讓其他專業(yè)人士做您公司想做，但又可能沒有足夠的時(shí)間或技能去做的事情，從而使您能夠?qū)Ｗ⒂谧约旱暮诵臉I(yè)務(wù)，安全可能是其中的個(gè)領(lǐng)域。如果您的公司經(jīng)營數(shù)據(jù)中心，您會(huì)面臨安全威脅，包括物理的和虛擬的，您必須做好準(zhǔn)備，以便擊退這些堅(jiān)威脅。安全漏洞不僅會(huì)損壞您的盈利能力，而且還會(huì)損害您的聲譽(yù)。

　　決定是否外包，和做任何業(yè)務(wù)決策一樣，是權(quán)衡成本和收益的事情。如果您缺乏內(nèi)部人員和必要的可用資金，來實(shí)現(xiàn)自己的全面的安全計(jì)劃，一個(gè)安全合作伙伴可能是正確的選擇。在理想的情況下，管理安全服務(wù)提供商可以根據(jù)您的情況實(shí)施適當(dāng)?shù)陌踩源胧?，他們了解最新的威脅，并有能力幫助您在預(yù)算范圍內(nèi)，選擇和實(shí)施正確的安全策略。

　　不是所有的情況都適合選擇管理安全服務(wù)提供商。例如，如果您的公司需要(或簡單地就是喜歡)保持?jǐn)?shù)據(jù)和其他信息完全在公司邊界的內(nèi)部，那么，很顯然不需要一個(gè)安全的合作伙伴。或者，您可以簡單地判斷，追求員工的培訓(xùn)和其他手段，建立內(nèi)部的安全專業(yè)經(jīng)驗(yàn)，是否是值得的投資。

　　如何選擇安全合作伙伴

　　如果你決定在安全性方面采取外包的路線，那么你就需要貨比=家，找到正確的安全合作伙伴。Computer Weekly的文章《選擇管理安全服務(wù)提供商(MSSP)》指出，"雖然外包減輕了負(fù)擔(dān)，但如果有一個(gè)安全漏洞，責(zé)任的負(fù)擔(dān)還在于管理機(jī)構(gòu)的內(nèi)部。因此，在確定管理安全服務(wù)提供商之前，要進(jìn)行徹底的盡職的調(diào)查，這是非常重要的。"在這個(gè)過程中，fg應(yīng)該考慮到以下一些注意事項(xiàng):

　　1)管理安全服務(wù)供應(yīng)商能夠提供您所需要的 安全服務(wù)。這句話似乎是一個(gè)沒有腦子的人說的話，但不要以為每一個(gè)供應(yīng)商都能夠做同樣的事情。檢查每個(gè)候選合作伙伴的安全服務(wù)組合，并縮小您的列表，這個(gè)列表包括您需要的一切，包括潛在的，在未來所有您可能需要的預(yù)期。這樣做很方便從現(xiàn)有的供應(yīng)商處添加服務(wù)，而不用完全切換到另一個(gè)供應(yīng)商。

　　2)管理安全服務(wù)供應(yīng)商應(yīng)了解并遵守必要 的法規(guī)。例如，如果您正在處理醫(yī)療或財(cái)務(wù)數(shù)據(jù)，那么你已經(jīng)非常清楚法規(guī)對您的業(yè)務(wù)所產(chǎn)生的影響。您的安全合作伙伴也應(yīng)該知道這個(gè)事實(shí)，并知道監(jiān)管對您的影響，合作伙伴應(yīng)該是知識淵博的。確定的候選供應(yīng)商能夠處理公司遵守法規(guī)和監(jiān)管機(jī)構(gòu)本身的問題，他們應(yīng)該有一個(gè)良好的歷史經(jīng)驗(yàn)。

　　3)管理安全服務(wù)供應(yīng)商是一個(gè)穩(wěn)定的組織。

　　雖然你不一定需要和一個(gè)巨大的公司合作，但您的安全供應(yīng)商應(yīng)該是一個(gè)穩(wěn)定的合法的機(jī)構(gòu)。您不想您的數(shù)據(jù)中心有一天，因?yàn)槟陌踩?yīng)商突然閉店或申請破產(chǎn)保護(hù)而遭受損失。可能越小的專業(yè)公司越危險(xiǎn)，但這樣的困難，規(guī)模較大的公司也不能幸免。這些公司可能會(huì)放棄或終止部分業(yè)務(wù)，而不會(huì)影響整體組織。看看候選合作伙伴的客戶列表(如果有的話)，看看他們的財(cái)務(wù)狀況。IBM白皮書《選擇安全管理服務(wù)供應(yīng)商:要考慮的1 0個(gè)最重要的標(biāo)準(zhǔn)》指出，"大量的客戶的管理安全外包的方式需要大量的資金和資源的支出，以經(jīng)營一個(gè)全球性的網(wǎng)絡(luò)安全運(yùn)營中心，開發(fā)新技術(shù)，并吸引和國住知識淵博、有積極性的工作人員。"

　　4)管理安全服務(wù)供應(yīng)商要處理來自多個(gè)設(shè)備 供應(yīng)商的解決方案。如果你想避免設(shè)備供應(yīng)商鎖定您的安全實(shí)施，那么你的安全合作伙伴應(yīng)該能夠與不同的設(shè)備廠商協(xié)商。當(dāng)然，如果這不是你的問題，安全供應(yīng)商與您知道和信任的設(shè)備供應(yīng)商協(xié)商工作，這個(gè)考慮對您來說可能是不太重要的。但是，如果有一個(gè)機(jī)會(huì)，您可以調(diào)整您的策略，在這個(gè)意義上，從協(xié)調(diào)不同廠商產(chǎn)品的角度，評估候選合作伙伴的能力。

　　5)管理安全服務(wù)供應(yīng)商提供充足的服務(wù)水平 協(xié)議。當(dāng)一個(gè)安全漏洞或其他事故發(fā)生時(shí)，誰負(fù)責(zé)這個(gè)任務(wù)，以及必要的響應(yīng)時(shí)間是什么?這樣的問題必須以書面形式回答清楚，使您和您的安全合作伙伴了解當(dāng)一個(gè)安全事件發(fā)生肘，必須采取什么樣的行動(dòng)。安全供應(yīng)商應(yīng)提供滿足您期望的服務(wù)水平協(xié)議。當(dāng)然，這是一個(gè)有代價(jià)的平衡，供應(yīng)商對威脅提供快速的徹底的服務(wù)越多，您支付這些服務(wù)的費(fèi)用越多。

　　6)管理安全服務(wù)供應(yīng)商的聲譽(yù)是優(yōu)秀的。如 果你能發(fā)現(xiàn)與這個(gè)安全供應(yīng)商合作過的其他公司，應(yīng)昕昕他們的說法。如果候選合作伙伴的聲譽(yù)是不盡如人意的，您可能要到別處尋找。但不要把聲譽(yù)和提供的服務(wù)范圍混為一談。一個(gè)特定的供應(yīng)商可能無法涵蓋所有的服務(wù)，但仍然能在其專業(yè)領(lǐng)域做出色的工作。您并不需要找一個(gè)能做一切的人，你只需要有人能做您需要的工作，而且要做得很好，這就行了。

　　結(jié)論

　　安全工作外包不一定是全有或全無的，您可能只需要外包某些方面的安全性，同時(shí)自己保證其他方面的安全性。選擇安全合作伙伴的技術(shù)方面會(huì)有所不同，具體取決于您的具體情況和需求，但總體來說，包括上面列出的幾個(gè)主要方面。您的安全合作伙伴應(yīng)該是一個(gè)15信任的公司，畢竟，您要相信這家公司能夠保護(hù)您的業(yè)務(wù)的重要組成部分。

　　責(zé)任編輯：scarlett

　　更多內(nèi)容請關(guān)注機(jī)房360，www.jifang360.com，中國綠色數(shù)據(jù)中心