【前言】MSS，英文叫做Managed Security Service，这个名词最早出现在上世纪90年代中期，伴随着互联网的兴起而迅速发展起来。而从事MSS的服务商称作MSSP，MSS Provider。至于这个专有名词的产生，则很可能是衍生自更早的MNS（Managed Network Service）这个词，在我的博文《三论SOC的起源》有提及。从本世纪初传入中国后，国内对MSS的翻译不一，有的叫“可管理安全服务”，也有的叫“安全管理服务”，或者“安全管理外包服务”、“管理安全服务”。如果不加特殊说明，本人都将他们看作一个意思，即MSS。

【关于这个报告】
2010年8月，国内的一家咨询公司——诺达咨询——发布了一份《中国管理安全服务（MSS）市场研究报告（2010）》，是我看到的第一份关于中国MSS市场的此类正式研究报告。该报告“对安全管理服务发展状况、企业对安全服务以及MSS服务的需求状况、MSS服务商竞争特点、以及业务未来趋势展望等进行了系统研究。”
报告发布的同时，还公开发表了四篇摘自其报告的概要性论述文章，各位可以看看：
1）国内安全管理外包服务提供商(MSSP)的四种类型
2）国内安全管理外包服务（MSS）发展因素分析
3）国内安全管理外包服务（MSS）发展还处于初级阶段
4）国内企业对安全管理外包服务（MSS）认知使用状况不高

【读后感】
看完这份报告的概述，佐证了我之前对于国内MSS市场的感性认知，即客户认知及接受程度不高。报告指出，对MSS“不了解和极少了解的企业累计占62%，而一般了解以上的企业有38%，对MSS非常了解的企业仅有4%。”其实，我觉得真实的数字应该比这个还要令人吃惊。报告还指出，“使用安全服务的企业中有45%的企业选择使用了MSS服务，而有55%的企业没有选择使用MSS服务。”我不知道这个使用安全服务的企业样本空间有多大，我猜想有可能小到不足以作出统计性的分析。因而这个45%可能也只是对某几个企业而言。

对于国内目前MSSP的分类，我比较认同：1）传统安全产品及解决方案服务商；2）提供IDC、***等电信增值业务的服务商；3）基础电信运营商；4）企业ICT集成服务商。
在文章《Forrester发表2010年度MSS市场分析报告 》中，我给国际MSSP也做过四个分类：1）运营商；2）综合性IT服务厂商；3）综合性安全厂商；4）专业MSS服务商。
对比两种分类，很显然是差不多的。只是我从国外的综合性安全厂商中细化出了一个专业MSS服务商。而诺达从国内的运营商中细化出了一个增值服务提供商（IDC）。在国外，很多专业的MSSP同时也是IDC，或者与IDC保持紧密合作。在台湾地区，的确很多IDC在做MSS，甚于运营商，而成为主力军。

关于国内MSS的发展动因，报告认为“包括网络安全威胁因素增加，企业安全管理压力和难度增大、国家政策大力支持安全服务以及安全管理外包服务行业的发展”。同时，报告指出阻碍国内MSS发展的因素包括“MSS服务市场存在较高信任风险和法律风险、我国在安全管理技术和服务能力上的不足以及行业发展实施细则的缺乏。”对此论点，我深表赞同，尤其是对阻碍因素的分析。不过，对于发展动因，我觉得国家政策这块重点不在于报表所列举的那几个政策。事实上，对于涉密系统，国家是不主张进行服务外包的，MSS就更加慎重了。即便你有涉密集成资质和安全服务资质，也不代表你就有了做涉密系统的MSS的可能性！事实上，就在2010年8月12日，工业和信息化部、国家质量监督检验检疫总局、中国人民银行、国务院国有资产监督管理委员会、国家保密局、国家认证认可监督管理委员会联合发布的《关于加强信息安全管理体系认证安全管理的通知》就是一个信号。对ISO27001的限制间接影响了MSS的开展。
此外，还有一类文件其实应该关注，例如这个《关于鼓励政府和企业发包促进我国服务外包产业发展的指导意见》及《国务院办公厅关于促进服务外包产业发展问题的复函》。

关于国内发展现状的分析，我想说其实国内还没有什么真正的成功案例，大部分都还在实验中。国内安全厂商开展MSS基本都是跟第三方合作（运营商和IDC为主），自己开展的MSS内容和形式都及其有限，基本就是远程安全评估、WEB安全这块。实际上，WEB安全更加容易以MSS的方式提供，有一些新兴的小厂商正在这块尝试中。对于叫纯正意义上的MSS，国内都在实验中，不论是上海电信，还是广东电信，抑或是北京网通（现在应该叫北京联通了）。我觉得现在运营商的业务并购整合还未完全结束，业务梳理还没有轮到增值服务这块，而且运营商的重兵都部署在3G等核心业务上，作为非主营的增值服务中的一个小点的MSS就更加不知道何时才会引起高层的重视了。所谓有前景，没钱赚。我倒建议可以跟IDC们谈谈，毕竟增值业务是他们的重点。

最后，对于这个报告中MSS中文提法，标题是“安全管理服务”，内容却总说“安全管理外包服务”。呵呵，作为报告，名词的一致性还是应该注意的。