江苏龙网

  1. 首页 > 资讯 > 科技 > >

「」原创 IT安全交给MSP,企业能当“甩手掌柜”吗?( 二 )


曲骏认为 , 国内大部分的MSP服务商 , 都会强调自己拥有云管理平台、专业的工程师、半自动化或全自动化的工具 , 去帮助客户解决各种各样的问题 , 但是往往会忽略一个关键点:数据资产和网络安全风险 。
一旦2020年出现更多针对MSP攻击的案例 , 无论是MSP服务商还是企业客户 , 都会把安全作为一个头等大事来对待 , 其防御等级和安全意识会随之提升 。
「」原创 IT安全交给MSP,企业能当“甩手掌柜”吗?
文章图片

文章图片

MSP服务模式下如何确保企业IT安全?
当网络攻击的重点转向了MSP , 这是否意味着企业将IT系统全权托管给MSP的方式不再安全?
事实上 , 这个问题并不能一概而论 。在MSP服务过程中 , 往往涉及多方参与 , 包括最终用户、MSP服务商和众多的第三方合作伙伴 。无论是哪一方 , 都有可能成为网络攻击的入口 , 因此需要各方合力做好网络安全防护 。
从企业用户的角度看 , 根据国家《网络安全法》和等保2.0等规定 , 企业在网络安全防护和信息安全管理方面须具备相应的能力 。
尤其是在金融、游戏、教育、电商、网贷、通讯、能源、运输等行业 , 企业的网络安全建设必须符合等保2.0的要求 。换句话说 , 企业要做好自己内部的安全防护 , 才能不让网络攻击有机可乘 。
从MSP服务商的角度看 , 和各行业的企业一样 , MSP服务商首先必须保证自身的安全治理符合等保2.0的规定 。
此外 , MSP服务商因承诺为企业客户提供安全可靠的IT托管服务 , 因而在技术、管理、咨询等层面 , 都须具备更高的要求和能力 。
在曲骏看来 , MSP在提供服务之前 , 需要从两个方面来确保企业客户的网络安全和数据安全:
第一 , MSP的运维人员是否具备基本的安全意识 , 尤其是基于安全体系的操作认知 , 必须强化在每一个工程师心中 。
第二 , MSP的管理平台是否具备严格的安全管理和运维规范 。
例如 , 在不影响企业客户授权和安全审计体系的前提下 , MSP平台需要通过严谨的管理体系和标准作业流程 , 对拥有客户权限的MSP工程师 , 在操作行为上进行管控和规范 , 杜绝因MSP工程师主动意愿或误操作带来的安全隐患 。
针对企业客户的授权方式 , 安畅网络一般采用“多鉴权的方式”去管理客户的数字资产 , 如:通过非明文密码、多因子认证等方式进行授权 , 确保授权过程及授权后的数据安全 。
在获得授权后 , 安畅网络的CMP平台对客户数据也只做导入 , 对数据进行分析和判断 , 整个过程清晰可视化 , 从根本上保证客户的数据安全 。
此外 , 由于不同企业客户在托管方式和交互方式上具有很大的差异 , MSP服务商需要面对多样化的企业客户需求 , 如:半托管和全托管 , 公有云、私有云和混合云管理 , 以及密钥管理、API接口等交互方式 。
因此 , 要保障企业客户的数据资产和网络安全 , 一套完整的方法论和丰富的行业服务经验也必不可少 。
在贝斯平 , 为了避免由于MSP受到攻击而影响最终企业客户行为的发生 , 其经验是从技术和管理两个维度进行有效控制 。
以勒索病毒为例 , 在技术层面 , 贝斯平在网络边界隔离、系统加固、补丁安装、端口开放、杀毒软件、漏洞扫描、备份、网络准入、双因素认证、访问控制、最小权限、审计等方面进行有效管理 。
在管理层面 , 对MSP的运维人员从运维SOP、技术培训、安全意识培训等方面进行管理 。在有效缓解被攻击的可能性同时 , 也降低了特殊情况下所影响的客户面 。
一般情况下 , 在管理层面先有需求后 , 随之在技术层面执行落地 。因此 , 在这种管理指导技术实现的方式下 , 无须过多强调它们之间的界限 。
「」原创 IT安全交给MSP,企业能当“甩手掌柜”吗?


推荐阅读


上一篇:##红魔5G真的只能用来“打游戏”?

下一篇:『苹果手机』为什么手机“飞行模式”基本没用,却还保留着,究竟有什么用?