| 出版日期:2005-06-13 总期号:1419 本年期号:42 |
|
 |
软件+服务安全才能快跑?
刘磊 昨天杀毒,今天防毒,明天建防火墙……难道面对安全威胁,我们的企业只能做这些事情?当今天企业的IT系统变得越来越复杂的时候,也许安全并不仅仅代表反垃圾邮件、病毒或防火墙,而是一整套根据业务风险来制定、部署符合业务与IT需求的安全策略与运营过程。 从管理资源到管理流程 原来企业安全管理,比如邮件系统、数据库等,只关心IT设备是否正常工作,或者是否做好了对外来攻击的防御,仅仅是对单个企业资源的管理。但是正如IBM软件集团Tivoli安全软件业务亚太区总经理Con Yianakos所说:“对于客户而言,传统的安全防范意识和手段已经不能让客户真正处于安全的环境中。他们需要的是对IT系统进行管理,将安全管理的视角从以前的分步式系统管理,发展到对IT系统的各个部分的管理,即面向流程的管理”。 然而从管理资源到管理流程,两个阶段之间的过渡并不容易。因为资源单元级的管理并不需要了解企业的业务,而一旦进入到流程管理的阶段,要实现对系统的管理,保证企业的安全,就必须要对企业的业务有所认识。正如IBM软件集团Tivoli中国区技术支持经理秦磊所说:“这时我要解决客户的安全问题就不再基于IBM的技术,而是基于客户业务的要求。比如我需要了解客户的业务,分析他们的重要性优先级,达成一个协议;然后再根据这个协议,决定一旦系统出了问题,我要优先解决哪里的问题。” 软件+服务=安全? 正如前文所说,当安全成为一整套根据业务风险来制定、部署符合业务与IT需求的安全策略与运营过程的时候,安全管理的实现变得更困难了,仅从软件出发,已经无法完成这一不可能的任务。 安全的技术实现是软件的任务,而企业业务的分析则是咨询服务的问题。当安全已经成为管理的问题、商业业务的问题,引入专业的咨询服务企业,为客户提供信息安全咨询服务,变得不可或缺。咨询人员通过和客户的业务部门和IT部门沟通,进行业务流程的分析、业务风险的分析,比如信息资产面临的风险威胁等等,帮客户进行梳理、意识到要保护的信息是什么,下一步将要采用什么手段来保护这些信息。 来自IBM大中华区信息系统服务事业部企业信息系统基础架构业务技术总监周国祥表示:“这既要采用管理的手段,也要采用技术手段。”在采用管理手段的时候,离不开咨询服务;采用技术手段的时候,则离不开软件公司。 因此,全球服务部在IBM的商业安全战略中扮演的是“风险导向”的角色。在IBM全球服务部针对企业经营策略和业务管理需求所提供的安全蓝图中,包含三个主要模块:以咨询为主的信息安全规划与管理系统、以运维为主的企业安全监控中心、以实施为主的安全解决方案。而Tivoli软件所扮演的,则是“智能整合”的角色。IBM Tivoli软件试图通过提供端到端的管理,运用自身所提供的不同工具,在系统层面上做好管理服务,提供给用户。 |
||||||||||||||||||||
