对于大型的网络机构和信息中心，为了保障处理安全事务的及时性，满足提高整体信息化安全等级的需求，付出了更多的资源和风险成本。在信息安全市场出现的安全托管服务（Ｍａｎａｇｅｄ Ｓｅｃｕｒｉｔｙ Ｓｅｒｖｉｃｅｓ）业务正是迎合了上述诸多因素后孕育而生的。

安全托管服务提供商（ＭＳＳＰ，ＭＳＳ Ｐｒｏｖｉｄｅｒ）为客户管理及监控信息安全系统与设备，并在威胁事件发生的第一时间作出适当回应。通过ＭＳＳＰ专业的信息安全人员以及网络安全经验，用户可以轻松地管理防火墙、ＶＰＮ、入侵检测系统、企业防毒系统，运行定期网络安全扫描，甚至做到７×２４全天候的安全监控与回应，避免了管理网络安全设备时经验不足的问题，有效降低企业整体运营成本与安全风险。

ＭＳＳ的风险评估

企业往往很难确切地对安全效益进行评估，安全托管服务可以有效的缓解这些问题。利用安全托管这种业务形式，用户可以用低于自建安全设备的成本购买到专业安全厂商提供的服务，并且这些服务的质量往往相对较高。风险管理作为安全体系建立的基石，它是一个识别、控制、降低或消除安全风险的活动，通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。专业安全厂商提供的风险管理服务一般包括：调查分析用户的已有策略，从管理制度、实际网络情况、物理安全、人员安全、第三方安全等多方面来评估分析；另外，风险管理将调查业务流程，并对信息 资产进行赋值和等级划分；最后，结合工具扫描、人工评估对系统、网络、数据库以及管理制度进行安全性评估，完成信息安全风险报告。

主要服务范围

目前有很多全球知名的安全厂商都向用户提供托管形式的安全服务，国外的公司包括：防火墙软件供应商Check Point、以网络安全产品而闻名的Juniper、提供全面的网络安全解决方案的赛门铁克等；国内的绿盟科技、启明星辰，以及众多的信息安全响应小组等。他们多以风险管理服务为基础，配套的安全服务覆盖面也涉及到了安全领域的诸多环节。

安全顾问服务

这项服务中包括安全咨询服务和漏洞公告服务。对于网络管理人员，特别是复杂网络的管理人员，由于时间和工作关系，通常会遇到无法收集并与分类相关的安全报告，使得网络中总是或多或少地存在被忽视的安全漏洞。可以对客户的互联网关键业务应用系统进行调研，结合国内外最新的网络安全技术，为托管客户提供符合自身实际情况的网络安全解决方案和安全体系设计方案。

安全加固服务

这项服务可以说在几年前是信息安全公司“压箱底”的招牌菜，但随之入侵技术和防范技术的透明化和简单化，辉煌的年代逐步退却了。主机系统加固是构成此服务项目的核心，根据安全评估结果，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。

例如：操作系统中的补丁、文件系统、账号管理、网络及服务、注册表、共享、应用软件、审计与日志管理、紧急恢复、加密通信及数字签名；数据库系统中的的补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛伊木马等。在网络设备上，主要进行远程管理和维护的安全、口令安全性、配置确认与清理、系统升级与补丁安装等工作。在防火墙部分，主要进行远程维护安全性设置、防火墙规则的确认、审计与无用策略清理等工作。

安全服务公司服务流

[1] [2] [3] 下一页