·如何用IT管理杜绝企业内部泄密
    在企业信息安全方面，泄露机密是最让CEO伤神的事件。但随着企业IT管理的施行，这一曾经困扰企业决策层的难题，如今已迎刃而解。

　  《IT时代周刊》对话CA高级副总裁兼首席信息官Dave·Hansen、大中华区总经理卢汝文
　　内鬼窃取企业机密是CEO最头疼的事情！但随着IT管理的施行，这一曾经困扰企业CEO的难题，如今已不再让企业领导者担心。
　　早上8点到深夜12点，这16个小时，是让很多企业CIO或CEO最为担心的时间段。因为这是企业领导者在进行企业IT战略和规划、应用开发、运营、确保信息安全乃至降低企业管理成本……的工作时间！

　　纷繁复杂的挑战让很多企业的领导者焦头烂额！面对这种局面，有没有一个好的解决方法？
　　7月2日下午，在位于北京嘉里中心11层的CA中国公司，CA高级副总裁兼首席信息官Dave·Hansen和CA大中华区总经理卢汝文面对《IT时代周刊》的提问，侃侃而谈。在2个小时的对话中，他们认为企业遭遇信息安全等方面的挑战，归根到底是因为缺少一个统一而简化的IT架构。

　　最可怕的是内鬼泄密
　　《IT时代周刊》：目前，很多公司设立了CIO的职位，但在很多情况下只是一个摆设而已。CIO具体负责的工作内容往往受到很多限制，比如从公司运营层面上来说，就很难得到公司董事会的认可。您怎么看待CIO在公司中的职能？
　　Dave·Hansen：在以前，一家企业如果有IT系统的话，肯定需要有人去管理它。CIO应该是一个管理IT系统的人，只不过在20世纪80年代的时候，出现了“CIO”这样的叫法。当出现“CIO”这个概念的时候，实际上是提升了CIO对于企业的价值和意义，这也是企业必须满足法规遵从和IT治理要求所带来的。
　　《IT时代周刊》：CIO现在面临着各种挑战，您作为CA的CIO，CA在运营管理方面面临的挑战是不是跟其他企业CIO遭遇的挑战类似？
　　Dave·Hansen： 从技术的角度来说，以前CIO注重的是IT基础设施的管理，不论是CA，还是IBM、HP，他们都着重于提供这方面的工具。但是，现在CA更加重视的是从业务角度来递送价值。比如说更多地从风险（防范）和法规遵从的角度去协助。CIO所面临的最大挑战是信息安全，特别是来自企业的内鬼。因为，来自外部的攻击可以控制。
　　《IT时代周刊》：说到内鬼泄密，其中最著名的当属可口可乐公司的泄密事件。有“内鬼”企图将包括其新饮料样品在内的商业机密出卖给其主要竞争对手百事可乐。可口可乐在保密方面一向以严谨出名，其饮料配方已保密长达一百多年。如今出了“内鬼”，暴露出这家百年老店在信息安全管理上的脆弱。类似的事件还发生过么？
    Dave·Hansen：我讲一个发生在美国万事达卡国际组织身上的故事。2005年6月17日。美国万事达卡国际组织称，该组织发现包括万事达、维萨、运通、Discover在内高达4000多万信用卡用户的银行资料面临泄密风险，其中万事达信用卡用户达1390万，维萨用户高达2200万。
　  Dave·Hansen： 对信息安全缺乏足够重视是丢失客户数据的主要原因。据了解，每年为10万家企业处理信用卡信息的这家公司，却很少进行数据检查，直到专业信息安全公司介入调查后，才发现了一个其实并不隐秘的“木马”程序。
　　《IT时代周刊》：信息安全确实很重要。那么，企业为了防止机密泄露，现在基本上都在采取哪些方法来预防？
　　卢汝文：信息安全确实让很多企业的领导者伤透了脑筋。为了防止泄密，很多企业采取了各种方法防范，有些比较极端，如规定员工在办公环境下不得使用U盘，普通员工没有权限访问互联网。
　　《IT时代周刊》：这种治标不治本的方法，根本无法解决企业信息安全问题。企业信息安全仍然面临着巨大的挑战，难道就没有方法解决这个难题吗？
　　卢汝文：其实，通过IT治理的方法就可以解决企业信息安全的问题，而CA就可以提供全面的模块化IT管理解决方案！

　　为企业竖起一道安全门
　　《IT时代周刊》：每一个企业，都有一套自己的安全系统，但为什么还会屡屡发生企业机密外泄的事件呢？
　　卢汝文：生活在信息时代的人们，已经习惯了同时具备多重身份。通常，一个人都会拥有几个不同的ID账户，也有很多密码。在网络中，拥有了账户和密码，很多时候便可畅行无阻。这种现象对于企业来说，意味着在控制外部人员登录企业系统的同时，也要控制对企业内部系统的访问。有数据显示，企业的安全威胁有很大一部分是来自内部员工的失误或者管理不当，而核心技术人员别有用心的越权操作，更会给企业带来无法估量的损失。
　　《IT时代周刊》：企业在安装了CA的企业管理软件后，有成功拦截过来自内部员工偷取机密的事件吗？
　　卢汝文：有！在台湾省台积电公司就发生过这样的事。根据我们数据库的记录，发现有一个人正试图破解安全防护系统，进入保险库。然而，在一阵徒劳的努力之后，他最终无功而返。这个人不是别人，正是台积电公司的某工程师，但是他的级别不够进入保险库。而每个月，和他一样想对保险库一探究竟，进而顺手牵羊的工程师还有好几个。他们所不知道的是，他们对保险库安全系统的每次攻击，都被记录在案。

　　《IT时代周刊》：CA公司的这种安全概念是什么时候推出来的？
　　Dave·Hansen：在2002年，CA就开始理顺安全概念，并将信息安全概括为身份和访问管理、安全信息管理和威胁管理3部分。CA不再把信息安全仅仅当作一种科学技术，而把它看作管理、应用的科学。
　　在此基础上，我们开发了安全成熟度模型，该模型分为3层：防御层、授权层和管理层。防御层是地基，具体表现为入侵检测系统、防病毒软件和防火墙。这一部分是纯粹成本，没有回报；授权层是框架，主要实现接入控制和身份认证，这一部分是有投资回报的；管理层是顶层，对整个安全设备和系统进行统筹管理，以最大程度地发挥企业安全系统的能力，这一部分也包括法规遵从。
　　通过这个模型，企业可以更加容易理解安全的概念，从而更加客观地评价自身的信息安全水平。
　　Dave·Hansen：许多企业已经认识到网络安全的重要性，遗憾的是，不知什么原因，他们更青睐硬件设备而忽略了在授权层和管理层的投入，而这恰恰是整个安全系统的价值所在。在过去很长一段时间里，企业包括像我们这样专门从事安全的技术公司曾犯过一个错误，认为网络要么安全，要么不安全，而实际上，绝对的安全是不存在的。网络、系统、安全、存储和管理是一个有机的整体，同属企业IT框架的关键组成部分，将企业IT管理统一和简化，就可以省略掉很多麻烦。

　　提升业绩
　  《IT时代周刊》：企业IT管理（EITM）除了能够为企业构筑一道“安全门”之外，还有什么特殊作用么？

　　卢汝文：企业IT管理除了提供安全外，还包括3部分内容。IT治理、IT管理和保护。
　　IT治理的目标是使服务组合符合业务目标要求，实现成本、资源和业务风险之间的平衡，提高业务价值。在企业决策者决定投入的时候，公司的IT服务管理（ITSM）要严格按照守则实施和进行财务管理、杜绝浪费。
　　而IT管理通过自动执行，优化IT基础设施提供可靠的高质量服务，满足业务需求。第3个层面是保护，即安全信息管理、防病毒管理、身份认证以及企业级的安全管理。通过安全措施的实施，能够保护企业资产并控制风险。
　  通过对企业IT管理体系进行整合和梳理， 就可以实现企业用户减少IT管理风险和压缩管理成本、释放IT与业务融合价值的目标。

　　《IT时代周刊》：有没有成功的案例？
　　卢汝文：中国外运股份有限公司就是一个比较成功的典范。身处飞速发展的物流行业，信息技术的应用必然成为中国外运保持强大竞争力的重要手段。为了实现对企业各个环节的有效管理，中国外运进行了大规模的IT建设，目前已经建成了覆盖全国180多个节点的网络系统。通过应用CA的系统，大大缩短了数据备份和数据恢复所花费的时间，提高了工作效率。并借助软件的功能，保证数据迁移时的数据安全。

　　《IT时代周刊》：Dave·Hansen先生，您作为一位信息官，关注的事项有哪些？
　　Dave·Hansen：追求IT与业务同步、提高IT治理、衡量与沟通IT的价值，是CIO们2007年最关注的3个任务。据调研机构Forrester Research对239位IT高管2007年度最关注事件的调查显示，50%的受访者认为“证明和提升IT与业务策略一致”是其2007年的首要任务。
　　《IT时代周刊》：目前除了金融、电信等重点行业的IT系统承担着大规模的关键业务之外，其他众多中小企业并不一定要用复杂的工具、功能和巨大的投资来管理自己的系统。对于这样的中小企业，又怎样来实施自己的IT企业管理呢？
　　Dave·Hansen：目前在市场上，为了应对各种各样非常复杂的挑战，厂商所提供的解决方案本身也是多种多样的。而这些厂商存在的问题是厂商与厂商之间在解决方案上的集成性非常差，甚至是一个厂商内部，技术和产品的集成性都没有做好。对于中小企业来说，IT企业管理能提供一个高度集成性的解决方案，而不是执行某一个厂商的单一产品，因此能够给企业带来更高的投资回报率。
　　《IT时代周刊》：在企业经历过信息安全的危险后，在企业决策层中，他们现在对企业IT管理的认识如何？
　　Dave·Hansen：事实很明显。在解决了令人心烦的企业泄密等事件后，企业IT管理正在被越来越多的领导者认知和熟悉！