安全是一种能力 安全政策是安全基石

互联网 | 编辑: 何毅 2011-12-12 05:45:00转载

就好像云计算一样,安全概念也覆盖了非常多的领域,并且对企业极其重要。“安全问题已经受到管理层的高度重视,”IBM新兴市场CIO办公室副总裁Rekha Garapati女士在接受比特网记者采访时表示。

就好像云计算一样,安全概念也覆盖了非常多的领域,并且对企业极其重要。“安全问题已经受到管理层的高度重视,”IBM新兴市场CIO办公室副总裁Rekha Garapati女士在接受比特网记者采访时表示,“安全问题存在于企业生产运营当中的各个环节,保护重要的关键信息、确保关键业务流程的连续性,以及保护品牌形象,这三方面的需求促进了企业对安全问题的重视。”

实际上,随着安全问题变得越来越复杂,安全也越来越成为厂商能够为最终客户提供的一种能力。IBM软件集团大中华区战略及市场总监吴立东女士补充说,“安全力是IBM六大软件能力之一,能够为企业提供一个整合的安全解决方案来提升其安全水平。IBM软件部已经通过一系列的收购和对IBM原有产品的重组,在全球成立了专门的部门负责安全能力解决方案。”

从企业受到安全威胁的演变过程可以看出,早期的安全威胁主要是各种群发邮件病毒,而从2009年以后则是各种针对性攻击,防护范围也从单纯的防病毒变成了防病毒、防止入侵以及异常检测等在一起的综合防护措施。那么,应该如何建立一个相对完善的的安全体系?Rekha Garapati女士说,“从CIO的角度来看,所有的安全问题都可以划分为五层:物理层安全、身份识别、网络服务器和工作站安全、应用和流程安全、数据信息合规安全。”在这些领域,IBM都提供了有效的解决方案。Rekha Garapati女士还以IBM为例,阐述了建立完善安全体系的方式和方法。“目前,IBM有40万员工分布在全球各地,拥有大约20万家承包商、供应商。”Rekha Garapati说,“因此,IBM的安全工作十分复杂并且重要——IBM需要管理好内部员工的安全需求,还要管理好公司和承包商、供应商的安全需求。此外,IBM还需要保护各种各样与公司有商务往来的客户、研发中心以及知识产权的安全等。”

同时,IBM还可以为CIO提供一个安全仪表盘,其中可以将各类风险列出来,包括IT风险、业务流程风险、终端设备安全风险等等。其中,业务流程还有等级划分,有一些是业务关键型的,还有一些是普通员工都可以进行的操作。

安全政策是整体安全的基石

制定相关政策对企业的安全非常重要。IBM在衡量IT风险基础上确定了其安全政策,通过制定政策来实现更好的管理。“CIO一方面有责任加速企业的流程运行,另一方面不能以安全损失为代价。例如,我使用的终端机是Mac,这在IBM当中并不多,但我的Mac机器仍旧需要保证遵循整体的安全工作指南。也就是说,不管是云计算还是其他应用设备,只要应用到IBM的系统当中,就必须遵守这个系统当中发出的一系列的安全策略。IBM的TEM终端管理解决方案就可以管理移动产品,使之符合企业的安全规定。

同时,通过衡量管理技术,还可以改善IT风险的整体管理能力。“IT风险管理是整个业务风险当中不可分割的一部分。我们可以看到风险的定义、管理、衡量和改善这四点是紧密联系的。如果不了解政策、就无法定义标准,导致无法管理风险;如果不能管理风险,就不能很好地与员工就风险问题进行交流,从而不能有效地衡量;而不能衡量风险,就不可能进行改善。”Rekha Garapati说。“IBM是第一家发布博客安全指南的企业。我我们制定了政策之后,花了大量资源和时间来教育员工,让员工了解相关的安全策略,这样我们能够更好地进行安全方面的管理、评估和改善。”

提供端到端的安全防护

在制定好安全政策之后,还需要有完善的产品技术和解决方案来保障。Rekha Garapat介绍说,IBM有很多相关的软件产品,例如提供管理安全服务、安全管理、漏洞管理、IPS监测以及防御的ISS系列产品,提供隐私扫描的Rational Policy Rational AppScan、Tivoli Identity Manager、Tivoli Endpoint Manager(TEM)等多种产品。

据悉,TEM终端管理解决方案可以使所有移动设备都能够实现重要的安全性,确保他们在接入到IBM网络的时候一定是安全地接入。同时,通过Lotus Traveler,即便IBM员工不在网络内,也可以通过他们的移动终端,安全的进入到IBM的备忘录、日历表和IBM的邮件系统。

“我们在半年时间内成功地部署了TEM以及公司内部的相关产品,全面提升了公司终端设备的合规性和其他安全领域的合规性。现在,IBM能够对不同地区的恶意软件检测有非常清晰的图表,这也是TEM终端管理解决方案帮助公司得以实现的。此外,ISS Xforce安全智能产品能够大大加强企业的安全能力,不但能够帮助公司内部,还能够帮助IBM的客户发现网络风险和网络漏洞,变被动为主动地进行防御。”

而在身份识别方面,IBM将原来的20多个系统进行了调整和整合,通过使用Tivoli Identity Manager、Tivoli Access Manager和Tivoli相关的其他产品,实现了IBM内部员工单一身份识别。这样,通过一个内联网的单一身份进行登陆,IBM员工就可以找到自己准入的内容。据悉,IBM通过应用Tivoli Identity Manager以及Tivoli Access  Manager的应用,节省了两千万美元成本。

小结

Rekha Garapati还表示,IBM还借助可视化的内部风险地图来作为制定安全规划时的参考,并通过合规性了解全球风险内容。此外,通过把IT划分成具体的风险内容,IBM可以有针对性的将风险降低到可控范围内。
 

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑