台湾MCI报告：Security SaaS风潮渐起

这篇文章是台湾产业情报研究所（MCI）在2008年所作的一份有关Security-as-a-Serivce（Security SaaS，为了区别Software-as-a-Serivce，特称呼为Security SaaS）的报告。这里有该文章的繁体版下载。这份报告引用了较多Gartner在207年的Security SaaS的报告内容，也参照了Forrester在同期的相关报告。该文章给出了Gartner对于Security SaaS的定义，而MCI对Security SaaS的界定也显而易见。不过，目前为止，业界对于Security SaaS的定义尚未统一，内涵不尽相同。
值得一提的是，Gartner在2007年的报告中认为SIEM和NBA是不适合作为Security SaaS的。可以说，安全SaaS是MSS（可管理安全服务）的一种形式，并且是一种更加低成本的业务模式。

为了方便读者，现将简体版的转载如下（注：文字繁简转换的时候略有改动）。

Security as a Service风潮渐起

作　　者：王义智
产出单位：资策会MIC
产出领域：信息软件
出版日期：2008/09/19

SaaS风潮蔓延至Security市场，Security-as-a-Service市场成长可期
企业选购与建置信息安全产品的时候，将有更多的选择。随着「软件即服务（Software-as-a-Service，SaaS）」在信息软件市场上逐渐火红，信息安全市场上也兴起所谓的「Security-as-a-Service」的信息安全服务，将大为改变传统信息安全产品的使用与付费方式。

关于Security-as-a-Service的市场未来展望，Gartner于2007年11月提出预估，一直到2012年为止，全球Security-as-a-Service市场规模之年复合平均成长率将享有30%的高度成长。这个成长率，高过Gartner于2007年10月针对全球Software-as-a-Service市场规模的预估（2006-2011年CAGR为22.1%），也明显高过IDC于2007年12月针对全球信息安全服务市场的预估（2006-2011年CAGR为17.4%）。

管理安全服务所费不菲，企业对信息安全外包服务的需求逐渐转变
过去几年，管理安全服务（Managed Security Services，MSS）扮演信息安全外包市场的重要角色。但最近，企业对于信息安全外包服务的需求逐渐起了变化，也加速驱动Security-as-a-Service的风潮。

传统上，企业对于管理安全服务的采用动机，主要是想要向外寻求企业内部所欠缺的信息安全专业能力。企业除了委托这些管理安全服务供货商来代管与监控企业的信息安全设备外（如防火墙与入侵检测系统），也十分仰赖他们来进行信息安全事件的确认与关连分析，来预防并降低信息安全事件所造成的损失。

不过，这样的管理安全服务所费不菲，供货商要提供7天24小时不间断的监控服务需要投入庞大的专业人力成本。一般而言，仅有信息安全预算较为充足的大型企业才负担的起。也因此，企业对信息安全外包服务的需求已悄悄起了变化，而这个需求的转变趋势，跟全球性悲观的经济情势与企业缩减IT服务支出等大环境因素密切相关。

Security-as-a-Service同时满足企业对信息安全外包与降低成本的需求
关于企业缩减IT服务支出的需求，我们可在Forrester于2008年3月发表的调查报告中（“The State Of Enterprise IT Budgets：2008”）找到端倪。第一，企业鲜少将原本外包的系统与业务收回来自己做（In-Source），信息外包趋势将持续下去。第二，「降低IT服务支出」为2008年欧美企业所有IT服务计划中最为优先的选项，比任何的信息外包计划还要优先。

168264
图一　2008年北美与欧洲企业主要IT服务计划

换言之，包含信息安全在内的任何信息外包计划应力求能够降低IT服务支出，而Security-as-a-Service同时满足企业对信息安全委外与降低IT服务成本的需求。IT服务供货商无法再像过去一样，寄望企业能够大幅增加IT服务投资，反而需站在企业角度出发，不论是透过SaaS或节能等方式，设法去降低企业IT服务支出。特别对信息安全预算不足的众多中小企业来说，Security-as-a-Service相较于管理安全服务更具有成本节省上的吸引力。

Security-as-a-Service改变传统信息安全产品的「传递模式」与「付费方式」
Gartner在2007年11月出版的报告（“Defining the Security-as-a-Service Market”）中，阐述其对Security-as-a-Service的基本概念：「信息安全产品被一家或多家供货商所拥有、传递与远程管理，且产品上的信息安全功能将被共同的拥有，且以一种『一对多的传递模式（One-to-Many Delivery Model）』，让所有的契约客户以『年费订阅（Subscription）』或是『用多少算多少（Pay-for -Use）』的方式在任意时间进行消费。」

Security-as-a-Service具备「成本节省」与「加速建设进度」两大优势
在Forrester于2008年2月发表的调查报告中（“SMB SaaS Adoption：Road Bumps Ahead In 2008”），受访的103位已经采用SaaS方案的美国中小企业IT决策者表示，会采用SaaS方案的重要决策考虑要素为「降低整体的成本」与「建设与部署的速度」。

168265
图二　2007年美国中小企业采用SaaS决策的考虑要素

Security-as-a-Service就如同Software-as-a-Service带来的好处一样，具备「成本节省」与「加速建设进度」两大优势。从前文提及的基本概念来看，由于Security-as-a-Service的信息安全产品是被共同的享有，不必支付庞大的授权使用费（License），降低企业使用信息安全产品的基本门坎，也提供了企业IT投资节省上的诱因。

另一方面，Security-as-a-Service一大特点在于不需要在客户端建置任何的信息安全设备或软件（On-Premise）。也因此，传统采购信息安全产品所需的「购买、安装、建设与管理」等冗长流程将不再需要。这一个特点，在现今信息安全威胁日趋复杂与快速变化下，Security-as-a-Service提供了企业更为敏捷（Agile）与快速因应信息安全威胁的基本防护能力。

Security-as-a-Service已在诸多领域获得证实，但并非所有信息安全产品都适合发展
目前，Security-as-a-Service已在诸多领域，证实获得不错的营收：
一、拒绝式服务（Denial of Service，DOS）保护：代表性业者如Perimeter、Prolexic Technologies等。

二、消息安全（Message Security）：代表性业者如MessageLabs、Microsoft、Google（Postini）、Websense（BlackSpider）等。

三、远程弱点扫瞄（Remote Vulnerability Assessment）：代表性业者如Alert Logic、McAfee、Qualys、Rapid7、Veracode、WhiteHat Security等。

四、网页安全网关（Secure Web Gateway）：代表性业者如MessageLabs、ScanSafe、Websense等。

五、信息安全情报服务（Security Intelligence）：代表性业者如Internet Security Systems、Secunia、Symantec、VeriSign等。

Security-as-a-Service非常适合某些信息安全产品，但并非所有的信息安全产品都适合发展。Security-as-a-Service适合的信息安全产品需具备哪些特性？基本上，在于企业使用这项信息安全产品所需的客制化程度要够低，且存取企业网络流量的需求也不能太高。

换言之，客制化程度与访问网络流量需求高的信息安全产品类别将不适合发展Security-as-a-Service。Gartner在2007年12月出版的报告（“Selecting the Right Targets for Security as a Service”）中，特别点名下列三大类型的信息安全产品，将不适合采用Security-as-a-Service：
一、防火墙、入侵检测系统、网络端的防间谍/防毒/网页安全、网址过滤（URL Filtering）：主要原因在于这些信息安全功能的发挥均需要访问企业的网络流量。

二、信息安全事件管理（Security Event Management）：主要原因在于除了要访问企业网络流量外，也需要对大量的数据进行实时的事件关连分析。

三、网络行为分析（Network Behavioral Analysis）、网络访问控制（Network Access Control）、内容监控与过滤（Content Monitoring and Filtering）、数据库访问监控（Database Access Monitoring）：主要原因在于这些信息安全功能的发挥必须去访问用户端的数据，对此，每家企业对于能否让供货商去远程访问用户端数据的规范政策均不相同。