IBM:CIO如何应对企业IT安全隐患?

随着感知化、互联化和智能化的不断推进,当今各种不同的终端都会给企业带来安全隐患,例如由特权用户违规操作造成的敏感信息泄露;由企业业务合作伙伴及承包商无意泄密造成的安全风险;通过恶意软件篡改企业内部安全操作,从而窃取企业内部敏感信息等,都是企业正在面临的越来越复杂,且具有针对性的安全和风险威胁。

近日,IBM宣布通过一系列在安全领域的研发、收购和产品重组,IBM软件能够完全满足企业对自身风险管理、安全和合规的业务需求。此举不仅为企业设计和提供了安全框架,更有效地帮助企业管理内部业务风险,迅速应对最新威胁并对审计做出及时处理,降低安全隐患对企业业务成长产生的影响。

作为一家全球整合型企业,IBM拥有40万员工、约20万承包商,2010年收入达990亿美元。面对如此庞大的全球员工、承包商和业务运营量,IBM CIO们越来越重视如何完善的管理复杂的工作流程,确保IBM内部员工、承包商和供应商、客户、研发中心、知识产权等安全,以及如何更好地应对系统、应用、网络和关键数据资产的私密性、安全性和合规性管理。针对企业面临的内外部IT信息安全挑战,IBM CIO必须要时时提高警惕,强化IT信息安全以减少企业出现安全问题的机率。因为企业IT信息安全问题不仅牵系着企业用户业务能否正常运行,而且还直接影响到企业效能和核心竞争力的发挥。

IBM新兴市场CIO办公室副总裁嘉瑞卡(Rekha Garapati)女士表示:“企业CIO在应对这些盘根错节、看似繁杂无序的信息安全问题时,通常会涉及五大领域,包括物理层面安全、数据信息合规、身份识别、网络服务器和工作站安全、应用和流程安全。IBM全球最新成立的安全部门,融合了领先的安全解决方案、服务和支持,可以更好地推动产品开发、加快产品整合和创新。通过卓越的软件安全解决方案和服务,IBM不仅可以快速高效地解决企业内部所有安全问题,还可以为企业系统提供固若磐石的安全保障。”

为实现IBM 企业内部对风险、安全、合规管理的需求,IBM建立了一套完善的IT风险管理架构,并总结归纳了针对十大重点内容进行的安全实践活动。此外,通过ISS、 Rational App Scan、Tivoli Identity Manager、Tivoli Endpoint Manager、Q1 Lab等多样化自主研发和收购的安全管理解决方案,IBM对十大安全实践内容进行了全方位技术部署和实际应用,有力地保障了企业信息安全,从而实现更高价值的业务收益。

IBM IT风险管理旨在通过管理系统,对IT风险进行集中定义、分类和排序,并作出明智的风险管理政策。通过专业的政策团队,IBM可以在衡量IT风险的基础上制定相应政策和标准;投资管理团队会推行一系列全新举措和维护服务项目;合规管理团队可以对最新管理项目进行评估并提交合规情况报告;IT风险管理战略团队将绘制风险战略图,制定风险状况改善策略。由此可见,若不了解政策,就无法定义风险标准,导致无法有效地管理风险;若不能对风险进行管理,就不能很好地和员工对风险进行交流,从而不能做出合规衡量;没有好衡量就无法对IT风险管理能力进行改善。因此IT风险管理四部曲中定义、管理、衡量、改善之间是环环相扣、紧密而不可分割的闭环,缺一不可。

除IT风险管理外,IBM还针对内部需求推出了安全实践十大重点内容。第一,建立风险意识和管理系统,以加强管理层和员工之间的沟通工作,让大家全面了解安全政策。第二,事件管理及响应,加强对事件的管理以及对管理流程的定义。第三,创建未来工作环境,即对员工和客户在未来移动终端应用的策略制定。第四,在早期应用和设计中考虑并提供安全服务。第五,采取有效维护措施以确保基础设施安全。第六,控制网络访问,以加强入侵防御,并减少数字损失和数字泄漏方面的风险。第七,解决云计算和虚拟化带来的复杂挑战并制定相关策略。第八,确保全球供应链安全和政策遵循。第九,保护结构化和非结构化数据,确保适当职务的人接触到适当的信息内容。第十,管理身份识别生命周期,以确保和管理IBM内部40万员工在有效身份生命周期内接入IBM上千个应用程序。

面对以上十大重点安全实践内容,IBM推出了丰富且全面的解决方案。例如:

• TEM终端管理解决方案(TEM:Tivoli Endpoint Manager)成功地帮助IBM实现了工作站的合规性和其他安全领域合规性的全面提升,同时还能对不同地区的恶意软件检测有非常清晰的图表显示。

• ISS X-force安全智能产品能够大大加强企业的安全能力,不但能够帮助公司内部,还能够帮助IBM的客户发现网络风险和网络漏洞,变被动为主动地进行防御。

• Rational AppScan可以对新部署的应用以及IBM已经在使用的应用进行扫描。

• Tivoli Identity Manager、Tivoli Access Manager和Tivoli相关的其他产品,帮助IBM实现了IBM内部员工身份管理中单一身份识别。IBM员工通过一个内联网的单一身份单一登陆,就可以找到相应的准入内容。

• Q1 Labs是IBM今年最新收购的一家独立的综合安全智能解决方案提供商,通过与Q1 Labs开展合作,IBM推出新一代安全产品,运用先进的关联技术和深入的分析,更有效地识别并预防安全漏洞,解决传统安全问题,维护网络、云端和移动领域的安全。

除一系列安全举措和实践外,IBM还提出了四大“信息技术安全”标准,即基础设施安全标准、员工安全标准、第三方安全及隐私标准、关键业务流程标准以及数据分类标准。基于行业领先的解决方案以及IBM员工和合作伙伴给予的大力配合和严格的自我约束,IBM为全球40多万名员工及承包商提供了最佳的安全服务,有效地管理了企业内部业务风险,快速且合规地应对安全威胁,大大降低了安全隐患对企业业务成长产生的影响,有力地保障了企业系统和信息安全,成功地提升了业务收益。

IBM软件集团大中华区Tivoli软件总经理许伟利先生表示:“安全威胁已日益成为企业中CIO们关注的首要任务,针对企业需求我们在安全领域推出了一系列解决方案,该举措为我们赋予了独特的技术优势,建立了坚实的行业地位,赢得了高度的客户信任。我们愿意并且有能力帮助企业达到最佳安全业务需求水平,将企业可能面临的安全风险消弭于无形。未来,我们还将针对行业需求不断耕耘创新发展以提升IBM软件‘安全力’,携手用户和合作伙伴共同打造‘智慧的地球’。”