实际上，随着安全问题变得越来越复杂，安全也越来越成为厂商能够为最终客户提供的一种能力。IBM软件集团大中华区战略及市场总监吴立东女士补充说，“安全力是IBM六大软件能力之一，能够为企业提供一个整合的安全解决方案来提升其安全水平。IBM软件部已经通过一系列的收购和对IBM原有产品的重组，在全球成立了专门的部门负责安全能力解决方案。”
　　从企业受到安全威胁的演变过程可以看出，早期的安全威胁主要是各种群发邮件病毒，而从2009年以后则是各种针对性攻击，防护范围也从单纯的防病毒变成了防病毒、防止入侵以及异常检测等在一起的综合防护措施。那么，应该如何建立一个相对完善的的安全体系？Rekha Garapati女士说，“从CIO的角度来看，所有的安全问题都可以划分为五层：物理层安全、身份识别、网络服务器和工作站安全、应用和流程安全、数据信息合规安全。”在这些领域，IBM都提供了有效的解决方案。Rekha Garapati女士还以IBM为例，阐述了建立完善安全体系的方式和方法。“目前，IBM有40万员工分布在全球各地，拥有大约20万家承包商、供应商。”RekhaGarapati说，“因此，IBM的安全工作十分复杂并且重要——IBM需要管理好内部员工的安全需求，还要管理好公司和承包商、供应商的安全需求。此外，IBM还需要保护各种各样与公司有商务往来的客户、研发中心以及知识产权的安全等。”
　　同时，IBM还可以为CIO提供一个安全仪表盘，其中可以将各类风险列出来，包括IT风险、业务流程风险、终端设备安全风险等等。其中，业务流程还有等级划分，有一些是业务关键型的，还有一些是普通员工都可以进行的操作。
　　安全政策是整体安全的基石
　　制定相关政策对企业的安全非常重要。IBM在衡量IT风险基础上确定了其安全政策，通过制定政策来实现更好的管理。“CIO一方面有责任加速企业的流程运行，另一方面不能以安全损失为代价。例如，我使用的终端机是Mac，这在IBM当中并不多，但我的Mac机器仍旧需要保证遵循整体的安全工作指南。也就是说，不管是云计算还是其他应用设备，只要应用到IBM的系统当中，就必须遵守这个系统当中发出的一系列的安全策略。IBM的TEM终端管理解决方案就可以管理移动产品，使之符合企业的安全规定。
　　同时，通过衡量管理技术，还可以改善IT风险的整体管理能力。“IT风险管理是整个业务风险当中不可分割的一部分。我们可以看到风险的定义、管理、衡量和改善这四点是紧密联系的。如果不了解政策、就无法定义标准，导致无法管理风险;如果不能管理风险，就不能很好地与员工就风险问题进行交流，从而不能有效地衡量;而不能衡量风险，就不可能进行改善。”RekhaGarapati说。“IBM是第一家发布博客安全指南的企业。我我们制定了政策之后，花了大量资源和时间来教育员工，让员工了解相关的安全策略，这样我们能够更好地进行安全方面的管理、评估和改善。”
　　提供端到端的安全防护
　　在制定好安全政策之后，还需要有完善的产品技术和解决方案来保障。Rekha Garapat介绍说，IBM有很多相关的软件产品，例如提供管理安全服务、安全管理、漏洞管理、IPS监测以及防御的ISS系列产品，提供隐私扫描的Rational Policy Rational App Scan、Tivoli Identity Manager、Tivoli Endpoint Manager(TEM)等多种产品。
　　据悉，TEM终端管理解决方案可以使所有移动设备都能够实现重要的安全性，确保他们在接入到IBM网络的时候一定是安全地接入。同时，通过LotusTraveler，即便IBM员工不在网络内，也可以通过他们的移动终端，安全的进入到IBM的备忘录、日历表和IBM的邮件系统。
　　“我们在半年时间内成功地部署了TEM以及公司内部的相关产品，全面提升了公司终端设备的合规性和其他安全领域的合规性。现在，IBM能够对不同地区的恶意软件检测有非常清晰的图表，这也是TEM终端管理解决方案帮助公司得以实现的。此外，ISSXforce安全智能产品能够大大加强企业的安全能力，不但能够帮助公司内部，还能够帮助IBM的客户发现网络风险和网络漏洞，变被动为主动地进行防御。”
　　而在身份识别方面，IBM将原来的20多个系统进行了调整和整合，通过使用Tivoli Identity Manager、Tivoli Access Manager和Tivoli相关的其他产品，实现了IBM内部员工单一身份识别。这样，通过一个内联网的单一身份进行登陆，IBM员工就可以找到自己准入的内容。据悉，IBM通过应用Tivoli Identity Manager以及Tivoli Access Manager的应用，节省了两千万美元成本。
　　小结
　　Rekha Garapati还表示，IBM还借助可视化的内部风险地图来作为制定安全规划时的参考，并通过合规性了解全球风险内容。此外，通过把IT划分成具体的风险内容，IBM可以有针对性的将风险降低到可控范围内。
 

(责任编辑：闫小琪)