全面升级 IT 安全为 IBM 全球信息保驾护航

IT 信息安全已引起 CIO 的共同关注

　　作为一家全球整合型企业，IBM 拥有 40万员工、约 20万承包商，2010年收入达 990亿美元。面对如此庞大的全球员工、承包商和业务运营量，IBM CIO 们越来越重视如何完善的管理复杂的工作流程，确保IBM内部员工、承包商和供应商、客户、研发中心、知识产权等安全，以及如何更好地应对系统、应用、网络和关键数据资产的私密性、安全性和合规性管理。针对企业面临的内外部IT信息安全挑战，IBM CIO 必须要时时提高警惕，强化IT信息安全以减少企业出现安全问题的机率。因为企业 IT 信息安全问题不仅牵系着企业用户业务能否正常运行，而且还直接影响到企业效能和核心竞争力的发挥。

引入 IT 风险管理系统，保障企业系统及信息安全

　　为实现 IBM 企业内部对风险、安全、合规管理的需求，IBM 建立了一套完善的 IT 风险管理架构，并总结归纳了针对十大重点内容进行的安全实践活动。此外，通过 ISS、Rational App Scan、Tivoli Identity Manager、TivoliEndpoint Manager、Q1 Lab 等多样化自主研发和收购的安全管理解决方案，IBM 对十大安全实践内容进行了全方位技术部署和实际应用，有力地保障了企业信息安全，从而实现更高价值的业务收益。

　　IBM IT 风险管理旨在通过管理系统，对 IT 风险进行集中定义、分类和排序，并作出明智的风险管理政策。通过专业的政策团队，IBM 可以在衡量 IT 风险的基础上制定相应政策和标准；投资管理团队会推行一系列全新举措和维护服务项目；合规管理团队可以对最新管理项目进行评估并提交合规情况报告；IT 风险管理战略团队将绘制风险战略图，制定风险状况改善策略。由此可见，若不了解政策，就无法定义风险标准，导致无法有效地管理风险；若不能对风险进行管理，就不能很好地和员工对风险进行交流，从而不能做出合规衡量；没有好衡量就无法对 IT 风险管理能力进行改善。因此 IT风险管理四部曲中定义、管理、衡量、改善之间是环环相扣、紧密而不可分割的闭环，缺一不可。

　　除 IT 风险管理外，IBM 还针对内部需求推出了安全实践十大重点内容。

　　1.建立风险意识和管理系统，以加强管理层和员工之间的沟通工作，让大家全面了解安全政策。

　　2.事件管理及响应，加强对事件的管理以及对管理流程的定义。

　　3.创建未来工作环境，即对员工和客户在未来移动终端应用的策略制定。

　　4.在早期应用和设计中考虑并提供安全服务。

　　5.采取有效维护措施以确保基础设施安全。

　　6.控制网络访问，以加强入侵防御，并减少数字损失和数字泄漏方面的风险。

　　7.解决云计算和虚拟化带来的复杂挑战并制定相关策略。

　　8.确保全球供应链安全和政策遵循。

　　9.保护结构化和非结构化数据，确保适当职务的人接触到适当的信息内容。

　　10.管理身份识别生命周期，以确保和管理 IBM 内部 40万员工在有效身份生命周期内接入 IBM 上千个应用程序。面对以上十大重点安全实践内容，IBM 推出了丰富且全面的解决方案。例如：

　　● TEM 终端管理解决方案（TEM：Tivoli Endpoint Manager）成功地帮助 IBM 实现了工作站的合规性和其他安全领域合规性的全面提升，同时还能对不同地区的恶意软件检测有非常清晰的图表显示。

　　● ISS X-force 安全智能产品能够大大加强企业的安全能力，不但能够帮助公司内部，还能够帮助 IBM 的客户发现网络风险和网络漏洞，变被动为主动地进行防御。

　　● Rational AppScan 可以对新部署的应用以及 IBM 已经在使用的应用进行扫描。

　　● Tivoli Identity Manager、Tivoli Access Manager 和Tivoli 相关的其他产品，帮助 IBM 实现了IBM 内部员工身份管理中单一身份识别。IBM 员工通过一个内联网的单一身份单一登陆，就可以找到相应的准入内容。

　　● Q1 Labs 是 IBM 今年最新收购的一家独立的综合安全智能解决方案提供商，通过与 Q1 Labs 开展合作，IBM推出新一代安全产品，运用先进的关联技术和深入的分析，更有效地识别并预防安全漏洞，解决传统安全问题，维护网络、云端和移动领域的安全。除一系列安全举措和实践外，IBM 还提出了四大"信息技术安全"标准，即基础设施安全标准、员工安全标准、第三方安全及隐私标准、关键业务流程标准以及数据分类标准。

成效

　　基于行业领先的解决方案以及 IBM 员工和合作伙伴给予的大力配合和严格的自我约束，IBM 为全球 40 多万名员工及承包商提供了最佳的安全服务，有效地管理了企业内部业务风险，快速且合规地应对安全威胁，大大降低了安全隐患对企业业务成长产生的影响，有力地保障了企业系统和信息安全，成功地提升了业务收益。

本案例分析中使用的 IBM 产品

　　Tivoli Endpoint Manager, Rational AppScan, Tivoli Identity Manager, Tivoli Access Manager