CIO重视安全 IBM十大举措提升安全力

信息安全问题在企业IT战略中受CIO重视的程度正日益提升。作为拥有40多万员工的百年老店,IBM在信息安全领域有一整套严密的流程和规范。

常驻上海的IBM新兴市场CIO办公室副总裁嘉瑞卡(Rekha Garapati)女士在北京接受ZDNet采访时表示,CIO在应对信息安全时通常会涉及五大领域:物理层安全、IT基础设施、身份识别、数据信息合规、应用系统和流程,而IBM针对这些领域已经总结出十条提升安全力的规范和措施。

IBM提升安全力的十大举措包括:

第一,建立风险意识和管理系统。IBM CIO办公室会针对管理层和员工做好沟通工作,让40多万员工了解安全政策。“员工认知能力的提升是阻挡恶意软件的第一道屏障,为了加强对员工的安全性的教育,IBM推出了《安全指南》,比如IT CS300和IT CS104是针对工作站的安全指南。IBM还是第一家发布博客安全指南的企业,我们制定了安全政策后,还花了大量金钱和时间让员工对于相关安全策略有所了解。”

第二,事件管理及响应。对出现的任何一个安全事件,都可以在管理流程上进行定义。IBM对恶意软件的汇报流程进行了简化,IBM全球任何一个地区的用户,如果遇到恶意软件都能采用明确清晰的信息和统一的途径进行汇报。“IBM有一个安全仪表盘,上面会把IT风险、业务流程风险、工作站安全风险等不同风险列出来。同时也对业务流程进行等级划分。”

第三,创建未来的工作场所。IBM有45万台PC、1.6万台服务器,目前IBM重点针对移动终端应用的策略以及如何对于客户和员工设定策略。

第四,通过设计提供安全服务。IBM强调使用应用系统和服务时,它们内部已经对于安全方面有所考虑,在设计当中有所体现。

第五,采取有效维护措施以确保基础设施安全。这里的重点是接入安全,IBM客户在接入网络和服务器时也按照相关的合规标准来保证其安全性。

第六,控制网络访问。通过建立入侵防御体系减少数据损失和泄露的风险。“目前IBM遇到的恶意软件数量已经达到了1200万个,当然其中只有几个是我们必须保证每个员工都要进行防范的。我们处理安全性问题的时候,先抓大问题。”

第七,解决云计算和虚拟化带来的问题。云计算和虚拟化是IT应用的热点和趋势,但这也给企业内外部都带来了很多复杂的挑战,因此要设立相关的策略。IBM在虚拟化方面对于专有使用准入方面强化了安全防控。

第八,确保供应链安全和政策遵循。IBM有20多万家承包商和供应商,这些伙伴有自己的制造基地,IBM需要这些伙伴在安全策略也要遵循全球统一的标准。“IBM有一个风险地图,根据这个风险地图,将风险可视化,并通过合规性了解全球风险内容。此外,通过把IT划分成具体的风险内容,我们可以有针对性的将风险降低到可控范围内。”

第九,保护结构化和非结构化数据。IBM根据数据的重要性进行分类,如客户数据、准入信息等,以确保不同职务的人接触适当的信息。

第十,管理身份识别生命周期。IBM内部40多万员工使用着CIO办公室所提供的上千个应用程序,IBM需要对每名员工的身份生命周期都要进行很好的管理。

嘉瑞卡还透露,目前IBM自身部署的安全解决方案大部分采用了IBM自己的产品,如ISS Xforce安全智能产品、Rational App Scan、Tivoli 身份管理、TEM终端管理解决方案(Tivoli Endpoint Manager)等,同时IBM也使用了一小部分第三方的安全方案。“在身份管理方面我们使用了自己的26个系统,通过深入应用Tivoli Identity Manager和Tivoli Access Manager的应用,我们省了2000万美元。”

嘉瑞卡还告诉ZDNet记者,“IBM CIO部门的最终目标是更好地支持业务部门,所以我们这个部门并没有计划和目标在未来全部使用IBM安全产品。”