安全管理迈上新台阶

（记者 田梦）近日，IBM在三亚举行了“2007 IBM亚太区IT治理与风险管理峰会”，来自IBM全球的专家与来自亚太地区各领域的用户、合作伙伴共同分享了IT治理与风险管理的发展趋势。另外，IBM还宣布，在2008年将投入15亿美元以加强安全及风险管理。

“企业正面临着前所未有的IT治理与风险管理难题，传统上基于局部的、纯人工控制的安全防御措施已经显得力不从心。在风险和法规遵从性的问题上，企业必须做到未雨绸缪。”IBM软件集团Tivoli软件总经理Alfred Zollar强调说。

2007年年初，IBM完成了对安全和法规遵从管理公司Consul的收购；同年6月，IBM又完成了对网络应用安全公司Watchfire的收购。经过一系列的战略收购（也包括MRO和Micromuse等），Tivoli将管理的外延从IT延伸到所有的企业资产。同时，这也实现了IT资源管理从原来的“系统管理”向“服务管理”的快速转型。

现在，用户可以将安全、遵从性和质量测试作为Web应用程序开发的一部分，而这就确保了应用程序在投入使用之前就具有业务的完整性。

安全管理迈向新高度

在今天越来越多的协作模式不断涌现、各类攻击越发猛烈以及复杂的IT基础架构组成的IT环境中，企业的业务安全正在经历巨大的挑战。而如何通过应用IT的手段来防范和控制这些威胁和风险也成为了企业所面临的重大难题。

“很多用户都面临着重大的威胁和风险，然而这些威胁并不一定完全都与安全挂钩，很可能是来自于企业的内部。”IBM治理与风险管理战略总监Kristin Lovejoy说。研究统计也表明，有85%威胁和风险问题是来自于企业的内部，而这其中又有很大一部分威胁是来自于企业内部跟IT相关的管理。也就是说，安全管理和防范已经不仅仅是构建一道外界防御的工具，而越来越多的人也已经认识到了这一点。

“事实上，治理与风险管理是一个由若干步骤组成的过程，企业的风险管理开始于发现风险，而这些风险将影响企业的核心业务流程，接着是根据这些风险对业务的冲击力来评估风险，随后是定义将采取的行动，最后就是配置控件并监控这些控件。”Kristin Lovejoy说: “而安全管理将提供跨越整个风险管理过程的能力，特别是在整个风险管理和操作过程中提供控件帮助减少风险。”

调查发现，79%的首席财务官（CFO）已经计划将在今后三年内逐步构建IT治理架构来整合信息；与此同时，64%的首席信息官（CIO）认为，统一安全策略和保护数据安全是IT部门当前面临的最大挑战之一。在这样的背景下，安全管理作为IT治理与风险管理的重要一环，已经走到了更高的战略位置。

“在2008年，IBM计划在与安全相关的领域投资15亿美元，这些资金将被用于研发更尖端的安全产品和服务。同时，IBM在全球配备了200多位顶级的技术专家专门从事与安全相关的研究。”Alfred Zollar强调说。

ISS为安全管理添柴加火

现在，IBM全球信息科技服务部（GTS）也已经成为了IBM治理与风险管理的重要力量，特别是在收购了互联网安全系统公司ISS后，GTS把ISS独有的预防性安全解决方案带给了用户。

“面对企业越来越全面的风险管理和控制需求，IBM做了许多有选择的战略性收购。其实，IBM和ISS从1999年起就一直保持合作关系，收购完成后，我们将ISS的主动防御集成安全平台融入到了IBM的产品组合中，以提供全面的、‘端到端’的安全解决方案。”IBM全球信息科技服务部亚太区企业IT安全服务总经理Maneesh Tripathi介绍说。

“很多企业都存在着安全问题。”IBM全球信息科技服务部ISS大中华区总经理黄德荣说，“随着安全威胁的不断升级，安装单点解决方案消除隐患的时代早已过去了，已经不再是企业安全的保障了。”

此次，IBM综合其服务、软件和硬件的优势，在对企业减少威胁和风险监控管理需求的整体分析的基础上，了‘端到端’安全解决方案，其中包括：信息安全，通过对传输和静止状态的数据进行全生命周期的保护，将安全延伸到电子协作中去；威胁和攻击管理，对网络、服务器和战略端等系统组件上的威胁提前采取行动；身份识别和访问管理，确保合适的人因为合适的原因在合适的时候能访问合适的信息系统；应用安全，确保应用和业务流程在整个软件生命周期内的安全；物理安全等。

另外要强调的是，IBM正与全球众多的业务合作伙伴开展协作，致力于为中小型企业（SMB）用户提供最适用的安全解决方案。

评论

“安全”与“遵从”从软件开发开始

2007年6月，IBM宣布收购了安全和遵从性测试软件公司Watchfire。日前，IBM Rational已经完成了对Watchfire的技术整合，并把Rational的安全和遵从性测试功能进行了全面的升级。

收购Watchfire后，Rational将安全和遵从性的集成融入到了软件的开发过程中，使客户能够把安全、遵从性和质量测试作为软件开发的一部分包括进来，随时测试并跟踪，从而确保应用程序在投入使用之前就具有业务完整性。

可以说，IBM将IT治理和法规性遵从管理理念引入到了软件开发领域。IBM大中华区Rational软件总经理桂荣青表示: “基于对Watchfire的收购，IBM将安全和遵从引入到了Rational软件生命周期管理平台，使Rational在IT治理和风险管理方面的能力进一步增强。”

的确，随着网络复杂程度的日益加深，在线安全和隐私事件问题日益突出，这与法规遵从的欠缺一样，都有可能会导致客户信任度的丧失、代价高昂的技术和业务补救以及法律纠纷等。桂荣青认为: “网络安全形势的严峻和各种法律法规的出台，对企业的软件开发提出了更高的要求。为了保障软件生产企业能交付出高质量、符合特定行业规范需求的软件，我们必须在软件开发阶段就加强安全和法规性遵从管理。”

而安全和遵从性测试技术与软件开发工具的结合将可能会导致软件开发方式的一种变革。据桂荣青介绍，Rational与Watchfire的结合让Rational走出了传统软件开发的框架，向IT治理与风险管理能力的软件生命周期管理平台迈出了重要的一步。

“以前很多用户的做法是在软件开发完成后再进行安全和遵从性的测试。但现在的趋势是安全和遵从性的测试应该嵌入到整个软件开发生命周期中。”桂荣青说，“软件开发者也应该增强这样的意识，在开发的初期就重视产品的安全性和遵从性，并通过测试对软件进行持续性的改进。”

可见，这种在软件开发过程中就引入安全和法规遵从设计的方式，已经逐渐成为软件开发技术向前推进的一种必然。（田梦）