“2009 IT风险管理”之道.docVIP

“2009 IT风险管理”之道 　　随着IT技术的发展，全球越来越多的企业正在逐步完善业务流程及信息处理，将其从人工操作转移到IT平台上来。 　　由于微软的Windows操作系统有着易于使用、成本较低等特性，许多企业已经或者正在把Windows作为主要的业务流程和信息处理平台。从边界服务器到内部网络，从企业总部到各分支机构，企业中存在着大量使用Windows操作系统的服务器和客户端。 　　但是，随着Windows作为主流平台的广泛使用，也随之出现了层出不穷的安全威胁。而当金融风暴汹涌来袭，全球企业的生存环境发生了剧烈的变化。包括敏感数据、客户信息以及公司基础设施等都面临着日益严峻的IT风险，而在经济动荡时期，企业更加无法承受自身安全所带来的问题。 　　所以，如何在目前这个非常时期，严格控制有可能发生的隐患，对企业进行有效的IT风险管理，是所有企业都必须直面的问题。 　　对此，畅享网走访了国际信息系统审计和控制协会(ISACA)北京事务委员会主席及微软大中华区信息安全总监 何迪生先生，请他来深入剖析现今“IT风险管理之道”。 　　多角度认知IT风险 　　何迪生有着多重身份： 国际信息系统审计和控制协会(ISACA)北京事务委员会主席、信息系统安全协会(ISSA)香港分会总裁、中国信息化推进联盟 (CFIP) -信息安全专业委员会 (ISA) 副主任、-业务持续管理专业委员会(BCM)高级顾问、微软大中华区信息安全总监。复杂的身份帮助他从不同的角度去思考IT风险管理的问题，因此也就对IT风险管理有了更加全景的认知。 　　谈到IT风险管理，首先需要了解威胁是什么?今天有哪些威胁?未来又会有哪些威胁? 　　对企业来说，任何安全技术和手段所要保护的核心内容都是数据，目的也是为了企业正常网络业务的运转。在此基础上，何迪生解释说：从企业外部来看，IT风险一直在不断加剧。对于企业IT系统的恶意攻击也在变得越来越复杂，有越来越多的方法可以对IT系统进行攻击。同时，威胁已经不仅仅单纯来自于企业外部，更多来自企业内部的威胁已经变的越发严重。 　　在开放的网络环境中开展业务，至少面对四大挑战：第一，内部身份认证的安全性;第二，有组织犯罪的威胁;第三，各种来自于网络的内外部攻击;第四，各种软硬件的安全漏洞。 　　从业务角度来看，在上个世纪80年代时，完全并不需要管理很多的身份，但是随着IT应用越来越复杂，越来越多的功能开始被启用。因为，需要用不同的功能应对业务发展需求，比如：进入财务系统时，有很多网关保护着数据。在访问数据之前，就首先需要经过身份的认证。显然，随着IT应用愈加复杂、数据量的激增，所以，身份认证所带来的问题也就越来越复杂。 　　外部环境的变化也正在逼迫企业积极主动的应对IT风险。从发布更新到漏洞被利用的时间间隔已经越来越短，从最开始的1年降到了2天甚至是1天。另外，过往的黑客更多是出于技术目的，只是想进入系统，炫耀自己的技术水平以获得成就感。但是今天的黑客不是为了破坏系统，他们更看重的是系统里面的数据，并从中获利。所以，黑客已经从过去的技术目的，变成现在的业务目的。而且，他们所能采用的恶意攻击的形式也越来越复杂。 　　此外，还有一个极其重要的问题，IT风险最重要的部分是人。人永远是最薄弱的一个环节，必须教育员工，让他们有足够的知识来理解有关的防护措施。否则，即使防护再完备，企业依然会面临巨大的风险。 　　所以，IT风险是复杂的，包括了很多因素，可以想见，今天的CIO们工作异常艰巨，需要找到正确的战略、方法去管理系统。 　　对于IT风险，微软提出了信息安全的纵深防御模型，除物理安全、边界安全、内部网络安全、主机安全、应用安全和数据安全六个技术层面进行的安全防护外，再加上法规政策、安全模型等安全指导思想，合理的规章制度、应急处理机制等信息安全管理手段和完整的安全培训体系，组成了微软总体安全架构体系。何迪生介绍说。 　　硬币的两面——安全与管理 　　根据IDC发布的调研报告显示：目前，当IT投资每增加100美元，其中的70%用于运营，只有30%是用于支持一个新的应用。由此可见，对于现有IT设施的管理是多么重要，占据了大部分的IT投资。 　　但是，企业需要成长，当然不能把大部分资金都花费在老旧系统的运维上。那么，如何把IT预算中更大的比例划拨到新应用的层面上，更好帮助企业发展?通过服务等级的管理、容量管理、可用性管理等，就可更好更有效的管理系统， 把IT运维的成本降到最低。从解决方案角度来讲，微软提供了安全和管理相结合解决方案 - system center 帮助用户监管IT资产，包括软件、硬件和网络资源。Forefront针对Exchange和SharePoint的保护程序集成了多个厂商的扫描引擎，加上微软自己研发的一共是8个，也是业内唯一的多