为企业竖起一道安全门
《IT时代周刊》:每一个企业,都有一套自己的安全系统,但为什么还会屡屡发生企业机密外泄的事件呢?
卢汝文:生活在信息时代的人们,已经习惯了同时具备多重身份。通常,一个人都会拥有几个不同的ID账户,也有很多密码。在网络中,拥有了账户和密码,很多时候便可畅行无阻。这种现象对于企业来说,意味着在控制外部人员登录企业系统的同时,也要控制对企业内部系统的访问。有数据显示,企业的安全威胁有很大一部分是来自内部员工的失误或者管理不当,而核心技术人员别有用心的越权操作,更会给企业带来无法估量的损失。
《IT时代周刊》:企业在安装了CA的企业管理软件后,有成功拦截过来自内部员工偷取机密的事件吗?
卢汝文:有!在台湾省台积电公司就发生过这样的事。根据我们数据库的记录,发现有一个人正试图破解安全防护系统,进入保险库。然而,在一阵徒劳的努力之后,他最终无功而返。这个人不是别人,正是台积电公司的某工程师,但是他的级别不够进入保险库。而每个月,和他一样想对保险库一探究竟,进而顺手牵羊的工程师还有好几个。他们所不知道的是,他们对保险库安全系统的每次攻击,都被记录在案。
《IT时代周刊》:CA公司的这种安全概念是什么时候推出来的?
Dave·Hansen:在2002年,CA就开始理顺安全概念,并将信息安全概括为身份和访问管理、安全信息管理和威胁管理3部分。CA不再把信息安全仅仅当作一种科学技术,而把它看作管理、应用的科学。
在此基础上,我们开发了安全成熟度模型,该模型分为3层:防御层、授权层和管理层。防御层是地基,具体表现为入侵检测系统、防病毒软件和防火墙。这一部分是纯粹成本,没有回报;授权层是框架,主要实现接入控制和身份认证,这一部分是有投资回报的;管理层是顶层,对整个安全设备和系统进行统筹管理,以最大程度地发挥企业安全系统的能力,这一部分也包括法规遵从。
通过这个模型,企业可以更加容易理解安全的概念,从而更加客观地评价自身的信息安全水平。
《IT时代周刊》:在对待网络系统安全的问题上,企业应该避免哪些认识上的误区?
Dave·Hansen:许多企业已经认识到网络安全的重要性,遗憾的是,不知什么原因,他们更青睐硬件设备而忽略了在授权层和管理层的投入,而这恰恰是整个安全系统的价值所在。在过去很长一段时间里,企业包括像我们这样专门从事安全的技术公司曾犯过一个错误,认为网络要么安全,要么不安全,而实际上,绝对的安全是不存在的。网络、系统、安全、存储和管理是一个有机的整体,同属企业IT框架的关键组成部分,将企业IT管理统一和简化,就可以省略掉很多麻烦。
提升业绩
《IT时代周刊》:企业IT管理(EITM)除了能够为企业构筑一道“安全门”之外,还有什么特殊作用么?
卢汝文:企业IT管理除了提供安全外,还包括3部分内容。IT治理、IT管理和保护。
IT治理的目标是使服务组合符合业务目标要求,实现成本、资源和业务风险之间的平衡,提高业务价值。在企业决策者决定投入的时候,公司的IT服务管理(ITSM)要严格按照守则实施和进行财务管理、杜绝浪费。
而IT管理通过自动执行,优化IT基础设施提供可靠的高质量服务,满足业务需求。第3个层面是保护,即安全信息管理、防病毒管理、身份认证以及企业级的安全管理。通过安全措施的实施,能够保护企业资产并控制风险。
通过对企业IT管理体系进行整合和梳理, 就可以实现企业用户减少IT管理风险和压缩管理成本、释放IT与业务融合价值的目标。
