IBM十大举措提升安全力

ZDNet至顶网软件频道消息（文/蒋湘辉） 信息安全问题在企业IT战略中受CIO重视的程度正日益提升。作为拥有40多万员工的百年老店，IBM在信息安全领域有一整套严密的流程和规范。

常驻上海的IBM新兴市场CIO办公室副总裁嘉瑞卡（Rekha Garapati）女士在北京接受ZDNet采访时表示，CIO在应对信息安全时通常会涉及五大领域：物理层安全、IT基础设施、身份识别、数据信息合规、应用系统和流程，而IBM针对这些领域已经总结出十条提升安全力的规范和措施。

IBM提升安全力的十大举措包括：

第一，建立风险意识和管理系统。IBM CIO办公室会针对管理层和员工做好沟通工作，让40多万员工了解安全政策。“员工认知能力的提升是阻挡恶意软件的第一道屏障，为了加强对员工的安全性的教育，IBM推出了《安全指南》，比如IT CS300和IT CS104是针对工作站的安全指南。IBM还是第一家发布博客安全指南的企业，我们制定了安全政策后，还花了大量金钱和时间让员工对于相关安全策略有所了解。”

第二，事件管理及响应。对出现的任何一个安全事件，都可以在管理流程上进行定义。IBM对恶意软件的汇报流程进行了简化，IBM全球任何一个地区的用户，如果遇到恶意软件都能采用明确清晰的信息和统一的途径进行汇报。“IBM有一个安全仪表盘，上面会把IT风险、业务流程风险、工作站安全风险等不同风险列出来。同时也对业务流程进行等级划分。”

第三，创建未来的工作场所。IBM有45万台PC、1.6万台服务器，目前IBM重点针对移动终端应用的策略以及如何对于客户和员工设定策略。

第四，通过设计提供安全服务。IBM强调使用应用系统和服务时，它们内部已经对于安全方面有所考虑，在设计当中有所体现。

第五，采取有效维护措施以确保基础设施安全。这里的重点是接入安全，IBM客户在接入网络和服务器时也按照相关的合规标准来保证其安全性。

第六，控制网络访问。通过建立入侵防御体系减少数据损失和泄露的风险。“目前IBM遇到的恶意软件数量已经达到了1200万个，当然其中只有几个是我们必须保证每个员工都要进行防范的。我们处理安全性问题的时候，先抓大问题。”

第七，解决云计算和虚拟化带来的问题。云计算和虚拟化是IT应用的热点和趋势，但这也给企业内外部都带来了很多复杂的挑战，因此要设立相关的策略。IBM在虚拟化方面对于专有使用准入方面强化了安全防控。

第八，确保供应链安全和政策遵循。IBM有20多万家承包商和供应商，这些伙伴有自己的制造基地，IBM需要这些伙伴在安全策略也要遵循全球统一的标准。“IBM有一个风险地图，根据这个风险地图，将风险可视化，并通过合规性了解全球风险内容。此外，通过把IT划分成具体的风险内容，我们可以有针对性的将风险降低到可控范围内。”

第九，保护结构化和非结构化数据。IBM根据数据的重要性进行分类，如客户数据、准入信息等，以确保不同职务的人接触适当的信息。

第十，管理身份识别生命周期。IBM内部40多万员工使用着CIO办公室所提供的上千个应用程序，IBM需要对每名员工的身份生命周期都要进行很好的管理。

图注：IBM的40多万员工分布在全球170多个国家，IBM有45万台PC、1.6万台服务器和上千个应用程序。

嘉瑞卡还透露，目前IBM自身部署的安全解决方案大部分采用了IBM自己的产品，如ISS  Xforce安全智能产品、Rational   App Scan、Tivoli 身份管理、TEM终端管理解决方案（Tivoli  Endpoint  Manager）等，同时IBM也使用了一小部分第三方的安全方案。“在身份管理方面我们使用了自己的26个系统，通过深入应用Tivoli  Identity Manager和Tivoli Access  Manager的应用，我们省了2000万美元。”

嘉瑞卡还告诉ZDNet记者，“IBM CIO部门的最终目标是更好地支持业务部门，所以我们这个部门并没有计划和目标在未来全部使用IBM安全产品。“