★IBM 发起企业风险控制与 IT 管理革命

    【聆听IT专家讲座，了解如何驾驭IT风险，更有机会获得限量蓝牙耳机！】

    【了解更多IT风险管理产品信息。】

2007年11月28日，中国北京讯——IBM（NYSE：IBM）今日对外发布了其专为协助企业更有效地管理运营和信息技术风险而设计的新型安全服务、产品和研究突破。

IBM认为，随着协作业务模式、犯罪攻击手段和基础设施的不断涌现和日趋复杂，信息技术安全也随之发生改变。可是，现有的各种战略性分散实施的安全技术还不足以应对新的风险形势。IBM的方法是跨越全部五大信息技术安全领域——信息安全、威胁与漏洞、应用安全、身份与访问管理和物理安全，进行端到端的战略风险管理。

“很多企业都存在着安全问题。”IBM互联网安全系统部门的总经理说道，“随着安全威胁的不断升级，安装单点解决方案清除隐患的时代早已过去，它再也不是企业安全的有效保障了。我们现在倡导采用全新的方法来降低解决方案的复杂性，顺应新的企业形势，在抵御威胁的同时确保商业价值。在通往安全世界的征途上，我们首先应采纳风险管理战略，它可以抑制威胁，提高企业的灵活应变能力，从而构建一个远离安全问题的企业。”

全球各大企业正面临不断增长的管制和隐私审查问题，加上最近安全企业收购事件频有发生，由此IBM的这一企业级计划应运而生。
日常安全暴露风险及其防御成本在不断增长。据AMR Research公司*今年估算，仅在北美地区，企业在治理、风险和一致性标准方面的花费预计将达到300亿美元。
第一波IBM安全服务和产品主要用于处理从企业到企业网络范围的信息安全问题。IBM于一年前收购的互联网安全系统（ISS）部门，正与IBM研究部门协作，并与IBM的软件和系统业务整合，以期率先为用户提供全球最先进的风险管理性能力。

面向信息安全的全新技术、服务和软件

IBM ISS今天公布了面向信息安全的全新技术，它专为解决日益增多的机密信息管理难题而设计。

IBM Proventia内容分析器技术——支持全新的数据检查功能，内建于引领市场的Proventia网络入侵防护系统系列产品中。该技术支持对在网络上传输的数据包进行分析，检测多种机密信息的传输，有效提高潜在数据丢失的能见度。此嵌入式功能支持客户利用现有的IPS基础设施，深入了解信息流，从而更好地确立、管理和优化其数据保护解决方案。基于IPS的内容分析器可扩大IBM的信息生命周期覆盖范围，并提供网络流量分析，便于提高数据丢失问题的能见度。IBM将与包括Fidelis Security Systems公司和Verdasys公司在内的技术合作伙伴展开合作，为用户提供更全面的数据丢失防护（DLP）服务，实现丰富和扩展这一功能的目标。

为使整个信息生命周期都能应用总体数据保护解决方案，IBM ISS部门正与领先的数据安全厂商开展合作，其中（包括Application Security、Fidelis Security Systems、PGP和Verdasys等公司）开展合作。通过充分利用来自这些合作伙伴和IBM Tivoli的关键技术，IBM ISS将为用户提供一套全面的基于资产的数据安全服务：

用于活动一致性监控和报告的IBM数据安全服务——一项新服务，通过评估、监控和告警恶意、不一致的数据库活动和漏洞，帮助企业避免内部滥用数据的问题并提升其审计准备能力。
用于端点数据保护的IBM数据安全服务——一项在端点设备（如笔记本电脑和台式机）上帮助客户加密和管理数据的新型服务。
用于企业内容保护的IBM数据安全服务——新型数据丢失防护服务，用于监控和避免重要数据发生有意或无意的泄漏。

此外，IBM今天还推出了几款新的数据安全性和一致性管理解决方案，帮助企业跟踪、报告和调查数据基础设施中的不一致行为。这些解决方案包括：

IBM用户一致性管理软件——通过已确立的操作规定持续执行审计，并在检测到可能影响创收应用可用性的违反事件时发出告警。这一综合型IBM Tivoli和服务解决方案，完全涵盖了用户供应、访问控制、联合协作、用户活动监控以及有关异构环境一致性的报告等方面。

针对Tivoli一致性检查管理器（Tivoli Compliance Insight Manager）的IBM QuickStart服务——推动了IBM自动化安全信息和事件管理软件的实施，有助于客户更好地管理一致性、更快地实现价值。IBM Tivoli根据所选择的报告（与每个事件来源类型相对应），提供与常用实践、安装、定制软件配置服务以及审计设置推荐相关的信息。

IBM Web应用安全与一致性管理——来自最近收购的Watchfire公司的Web应用安全与在线一致性管理软件。IBM Rational AppScan与IBM Rational Policy Tester可识别漏洞，减轻因数据破坏导致的风险，帮助用户确保不违反在线安全、隐私和一致性要求，并可使手动流程自动化，帮助他们降低成本。

IBM的全新大型机强度信息安全

IBM System z大型机引入安全机制帮助保护数据安全，比如安全访问控制、强大的审查能力、采用高度可用的密钥存储和防篡改密钥处理技术的加密解决方案，以及像内建的入侵侦测服务和网络安全政策代理等网络安全特性。这些机制可共同对抗身份盗窃事件。更新包括：
IBM大型机z/OS——近期操作系统更新包括提升软件已经十分坚固的在线商务特性以及新一代高度可靠的商务交易。例如，z/OS结合使用密码协处理器硬件设备，有助于限制非授权用户访问敏感信息，如客户的信用卡信息、地址和社会保障号码等。

IBM Tivoli zSecure——IBM Tivoli zSecure套件采用Consul公司（于2007年1月被IBM收购）的技术，是专为大型机计算环境而开发的安全管理、一致性和审计软件。该软件可自动完成安全管理和审计流程。

五三银行（Fifth Third Bank）首席信息安全官Debbie Wheeler表示：“不管您实施安全项目的目的是为了符合安全一致性要求，还是为了契合业务持续性计划，您都需要配备数据完整性机制。我们十分自豪采用了IBM久经40年验证的大型机加密技术，使用它进一步增强了客户对我们的信任。五三银行专门组建了一支内部团队，重点关注如何正确而有效使用密码控制。该团队与IBM密切协作，不仅能够确保IBM及时获知我们的新需求，还能维系发展IBM与其他厂商之间的战略合作伙伴关系，最大限度地提升双方当前及未来的投资价值。”

IBM的风险管理方案完全不同于那些出售部件而非整体解决方案的厂商。IBM能为商户提供全系列产品和服务，充分满足其安全一致性要求。为此，IBM ISS今天公布了业界第一款用于解决PCI一致性问题的端到端解决方案。

端到端PCI一致性

作为IBM新近研发的一项程序，该解决方案可为商户提供所需产品和服务，以此符合支付卡行业数据安全标准（PCI DSS）的全部12项要求。与同类产品不同，这一完善的程序设计提供的是包揽全程的一站式服务。从评估、一致性到最终取得认证，它可以引导企业顺利完成整个PCI一致性流程。利用主要由IBM ISS、Tivoli、Rational和IBM系统与科技事业部提供的IBM服务和技术，IBM可帮助商户满足PCI要求，确保客户支付卡数据的安全。

宽带卫星网络及服务的全球领先提供商Hughes Network Systems，选择了与IBM协作完成其HughesNet® 宽带网络服务的PCI一致性认证流程。
Hughes Network Systems高级副总裁Mike Cook表示：“作为一家常年为大型企业提供管理服务的领先提供商，Hughes始终致力于为我们的客户提供更广泛的服务和应用。PCI DSS一致性对我们客户的运营至关重要，这就要求我们所提供的网络服务必须满足所有PCI要求。从最初的评估到最终的认证，IBM完善的程序引导我们成功地完成了整个流程。”

IBM研究项目——安全风险管理

为向首席信息官（CIO）和首席信息安全官（CISO）提供新的风险管理工具，IBM专门制定了一项完备的管理战略。该战略中的一个重要组成部分便是：IBM研究部门与IBM软件集团开展的一个协作项目，学术界将其称为安全风险管理（SRM）。
目前，越来越多的CIO和CISO开始将其关注重心转向重要业务流程（不仅限于基础IT资产）的安全方面，并将运营指标作为业务衡量的标准。众多CIO和CISO目前正在利用这一功能管理IT安全这一运营风险。

SRM完美融合了安全控制与重要业务流程及其风险管理目标。有了它，IT管理人员就能在所有安全域间管理和分配风险，优化业务成果。通过SRM可执行临界评估，比较整个企业的业务级风险，量化要管理的风险以及各项IT控制成本，并进行自动化控制测试，从而帮助企业节省大量的成本。

SRM的功能包括：

动态风险量化：临界评估，即以一种更精确、客观的自动化方式执行风险商务价值评估。
部门间的风险比较：CISO可随时比较企业内部不同部门之间的业务级风险。如果某业务线的风险正从其它部门渐渐消失，那么相比从前单纯依靠IT运营指标做出判断，现在的管理人员可凭借SRM做出更及时的响应。
业务控制优化：SRM可量化要管理的风险和各项IT控制成本，并可实现控制测试自动化。这不仅能够改善企业的运营管理，还能帮助企业大幅缩减成本。
安全产品组合优化：狡猾的系统攻击者的目标并非技术本身，而是找寻业务流程的弱点。SRM为CISO提供了一种行之有效的方式来评估这些弱点，帮助其优化与管理企业面临实际风险相关的安全投资。
事件风险计算：用于评估外部事件对企业产生的实际影响并做出适当改进，以便CIO/CISO能够像其他同级人员那样处理业务管理事宜，而非扮演“IT警察”的角色。
随着风险管理日益成为审计和评估的一项重要衡量标准，安全风险管理强有力地证明了IT安全运营风险管理的有效性。闭合环路流程改进模式（如业务整合和风险量化等）有助于企业长期优化业绩。

推动风险管理开放标准的制定

作为协作工业开放标准的重要推进者，IBM最近在由Web标准国际协会W3C推荐的Web服务策略1.5的接纳方面起到了良好的带头作用。Web服务策略框架提供了一项开放标准，以便企业能在基于Web服务的系统上管理针对计算机系统和用户的策略。

Web服务策略框架的实施涉及不同的策略域。Web服务安全策略规定了适用于该框架的安全策略以及支持这些标准的策略实施，用于自动化用户供应及系统访问安全管理流程，借助策略加快流程执行，帮助降低因手动处理或未规定策略而产生错误的风险。

IBM Tivoli首席安全架构师Anthony Nadalin表示：“用户借助安全性等高级服务质量特性，部署基于Web服务的解决方案，可避免手动交换配置信息。Web服务策略规范有助于促进Web服务生产商和用户在“服务质量”策略环境中的交互。IBM在IBM WebSphere和Tivoli产品中为这些重要的标准提供了支持，并帮助我们的客户管理业务策略，提升其整体风险管理能力。”

全球中小型企业的安全管理

IBM正与全球众多具备创新精神的业务合作伙伴开展协作，致力于为中小型企业（SMB）用户提供最先进的安全解决方案。例如：德国的渠道分销商Azlan便进一步加深了其与IBM的合作关系，引入了ISS安全服务产品组合。

Azlan公司总经理Marc Muller表示：“IBM ISS产品组合为中小型企业提供了独特的交叉销售机遇。我在此对IBM为渠道和SMB所付出的努力表示衷心的感谢。我们将与德国的增值经销商（VAR）一道，秉承我们在SMB市场的成功战略，在我们的站点和VAR社群投入销售、营销和技术资源，满足新老企业客户在业务整合、数据保护和安全集成方面的需求。”