在 MOF 模型的所有層面中都嵌入了安全管理。每個層面必須遵守設立的安全策略，包括 ASP 內部安全策略以及在 SLA 中與客戶約定的安全策略。對于每個層面，安全性必須涉及：

機密性
完整性
可用性
安全性的維護對 ASP 而言是一筆巨大的開銷，但是若沒有好的安全性，將會付出更大的代價，因為這樣將使客戶失去信心。安全管理的目的是確保業務的連續性以及將破壞 ASP 安全的損害減至最小。

有關 Microsoft 操作框架過程模型的詳細信息，請參見 http://www.microsoft.com/enterpriseservices/MOF.htm 。

MOF 和 ITIL
MOF 認識到，英國中央計算機與電信局 (Central Computer and Telecommunications Agency, CCTA) 的 IT Infrastructure Library (ITIL) 中已很好地記錄了 IT 服務管理的當前行業最佳做法。

CCTA 是英國政府的一個行政部門，它針對服務管理和操作中信息技術的應用，開發和制訂最佳做法建議及指導方針。為實現此目標，CCTA 在全球范圍內追蹤領先的 IT 公司的項目，以記錄和驗證 IT 服務管理方面的最佳做法。

MOF 將這些合作行業標準與運行在 Microsoft 平臺上的具體指導方針相結合，運用到多種商業方案中。MOF 擴展了 ITIL 操作規程，使其能支持分布式 IT 環境和當前行業方向，如應用程序托管、移動設備計算和基于 Web 的事務性和電子商務系統。

ASP 安全管理概述
目標
安全管理的目標是在 ASP 的解決方案上管理一定級別的安全性，包括管理對安全事件的反應。通過這樣做，安全管理可確保連續性并保護 ASP 及其客戶的信息，還可幫助將破壞 ASP 安全的損害減至最小。

安全管理為什么對 ASP 非常重要？
提供客戶解決方案是 ASP 最重要的目標。沒有它，ASP 就無事可做。對 ASP 來說，安全地與客戶共享信息以及創建安全的解決方案是至關重要的。

傳遞和接收信息是 ASP 存在的關鍵。任何威脅信息或信息處理的事情都將直接危及 ASP。無論是涉及信息的機密性、正確性、適時性，還是涉及解決方案的可用性，那些會形成風險的威脅都必須通過安全措施來預防。這里所談到的是 ASP 結構方面的問題。這意味著結構上的風險需要有結構上的對策來解決。

安全管理可幫助 ASP 確定和實施針對安全風險的對策。

選擇 ASP 的客戶越來越希望確信所選的 ASP 可以確保其解決方案的安全。Gartner Group 的 J.Pecatore（DF-10-0972，2000 年 2 月）已經明確提出了一些客戶可能向其 ASP 解決方案提供商詢問的問題。示例如下：

“ASP 是否為防火墻及其它關鍵的安全因素提供冗余和負載平衡服務？”
“ASP 至少按季度進行（或讓有經驗的咨詢公司來進行）外部滲透測試并且至少每年進行一次內部網絡安全性審核嗎？”
“ASP 可否出示對客戶網絡安全的書面要求（以及 ASP 審核步驟），以確保其它的 ASP 客戶不會危及 ASP 主干的安全？”
“ASP 能提供鞏固 Web 和其它服務器的操作系統的書面策略嗎？如果 ASP 在物理服務器上配置客戶應用程序，它是否有書面記錄的控制步驟，用來確保客戶應用程序之間數據和安全信息的分離？”
“ASP 如何檢查添加到它所提供的商業應用程序中的腳本和集成代碼的安全性？”
“ASP 是否提供基于應用程序或事務的入侵檢測服務？”
“ASP 是否對可以管理員身份訪問服務器和應用程序的人員進行背景檢查？”
“ASP 是否可以出示書面記錄的流程，用于評估 OS 和應用程序供應商安全警報并安裝安全修補程序和服務包？”
“ASP 是否可以出示書面記錄的進行入侵檢測、事件響應和事件升級/調查的步驟？”
“ASP 是‘事件響應和安全小組論壇’的成員嗎？或它使用的安全服務提供商是該論壇的成員嗎？”
“ASP 安全管理的員工是否在信息/網絡安全方面有平均三年以上的經驗？”
對以上問題的肯定回答非常重要。能夠這么做的 ASP 將具有競爭優勢。

有關本章主題的詳細信息，請參見 http://www.itil.co.uk/ 中 ITIL Library Security Management 部分或 ITIL Security Management 一書 (ISBN 0 11 330014 X)。

有關 Gartner Group 論文的詳細信息可在 Critical Security Questions to an ASP（DF-10-0972，J.Pecatore，Gartner Group，2000 年 2 月）中找到。

ASP 執行安全管理的時間
安全管理應是任何 ASP 永遠關注的問題。每當解決方案或環境變化時，ASP 應該花時間檢查一下所采用的安全措施。根據客戶要求，針對特定客戶解決方案的對策可能需要有所改變。應該始終考慮人員培訓和安全措施的測試。因為在出現攻擊時，就沒有時間再來仔細考慮。

ASP 安全管理的基本概念
安全管理是根據對信息和 ASP 解決方案安全策略中的設定來管理已定義的安全級別的過程。其中包括管理對違反安全行為的反應。可以控制攻擊而不用擔心 ASP 以及 ASP 客戶業務的持續性，能夠這樣來對付惡意方的攻擊可真是一門藝術。

安全管理在很大程度上依賴于安全策略。這些策略可從不同來源中產生。設計安全性時要考慮的策略有：

服務級別協議中定義的外部客戶需求
關于安全的外部法律要求
外部供應商安全策略
內部 ASP 安全策略
在 ASP 和客戶環境的集成情況下，內部/外部的安全策略
對于每個解決方案，ASP 必須定義安全策略。該策略應是基于上述各個方面的最可靠的組合。

根據客戶的需求，即使是基本結構的設計也會很不相同。通常使用三種安全設計：

專用。ASP 解決方案和安全措施完全由 ASP 進行端對端的控制。通常，這意味著 ASP 對所有的基本結構組件具有完全的控制，包括 ASP 和客戶之間的專用網絡連接。
公用。ASP 解決方案和安全措施由 ASP 部分控制。通常，這意味著 ASP 在自己的站點內具有控制權，但是不保證對用來提供解決方案的公用網絡具有控制權。然而，ASP 可使用像“虛擬專用網絡”(VPN) 這樣的技術來進行 ASP 和客戶安全之間的連接。
混合。該解決方案是前面兩種的組合。“專用”和“公用”解決方案都使用。在確保安全的解決方案時，同時涉及到 ASP 和客戶。
該過程有五個層面需要遵照 MOF 模型進行改進：

規劃。規劃活動包括在客戶要求、內部和外部策略以及合法要求的基礎上建立 SLA 安全部分的方式。在與客戶進行對話的同時，可能有必要確定或調整內部安全策略。當然要由 ASP 來決定是否這樣做。此層面的結果是產生一個安全規劃，其中包括安全策略和所有方面的設計（基本結構、人員、步驟、環境、基礎合同等等）。
實施。實施層面執行所有必要的安全措施，以遵守 SLA 中已經定義的安全部分。必要時，此階段還將實施更改過的內部安全策略。
評估。評估是結束安全管理過程所必不可少的。它涉及所采用措施和所確定策略的狀態和有效性。
維護。安全措施的維護建立在以下方面的基礎上：定期檢查的結果、對變化的風險狀況的洞察，以及 SLA 或其它條件的更改。
控制。控制活動可組織并指導安全管理過程本身。控制活動定義子進程、功能、角色、責任分配、組織結構和報告結構。它是過程的引擎并確保進行持續的改進。
安全管理過程必須不斷地進行自身改進。新解決方案、新技術、新人員、新步驟、疏忽都可能導致攻擊者攻破所安裝的安全解決方案。

下圖將安全性過程表示為一個根據策略和協議不斷改進的過程。