首席医官【ＭｃＡｆｅｅ首席安全官：管理安全风险需广泛合作】

　　5月31日，在《计算机世界》举办的第五届信息安全大会上，McAfee首席安全官（CSO）Martin Carmichael先生专程从美国飞到中国，根据其自身的长期经验，就McAfee公司一直倡导的安全风险管理的概念及其对中国用户的意义进行了主题演讲，引起了对安全日益重视的中国企业的CIO或CSO的兴趣。
　　他说，安全问题日益威胁企业网络，但目前没有一家公司提供的产品能解决所有的安全问题。因此，对于企业而言，必须制定一个全面的、集成的防御方案，才是应对安全威胁的最有效方法。这就是安全风险管理的含义。
　　但实施安全风险管理时，不同的人有不同的反映：在运营专业人员看来，风险管理意味着保障正常运行的时间和配置，使他们的设备遵从内部策略和法规，并能保持网络通畅；在审核人员看来，风险管理意味着遵从外部法规和内部规章制度；在安全专业人员看来，风险管理意味着最大限度地减少关键设备上的漏洞和威胁；对于企业所有者而言，风险管理意味着要确保业务的连续性，能够持续开展业务和实现盈利。
　　从他们各自角度而言，这些定义都没有错。然而，由于定义无法统一，就造成了业务运营甚至管理上的摩擦。各团队都设置不同的优先级和策略来管理安全风险。这样做好处是会促使策略增强；坏处是会导致在 IT 监控和防护方面的投资发生冲突。这会使业务面临危险，威胁到法规遵从，并使企业浪费大量钱财，甚至错失商机。
　　那么，该如何解决这些矛盾呢？他认为，企业应该从业务角度出发，着手制定安全战略，并要正确理解，进行安全风险管理的真正目的是为了保护数据，这是企业的命脉。因此，安全风险管理是一个动态的流程，需要把决策、行动及所支持的业务需求更加紧密地联系起来，这种战略融合正在从根本上颠覆人们对 IT 安全风险管理的理解 ―传统的IT 安全防护实质上只是企业整体风险管理的一个方面。
　　“但是，最重要的一点是，IT部门要与业务部门形成合作伙伴关系，而不仅仅是供需关系，不能像过去一样，IT部门通过吓唬等手段逼迫业务部门采用新的安全策略，这样只能是一种被动的威胁管理。”他说。
　　正确的做法是，安全主管们和 IT 运营人员必须在 CIO 的率领下采用一种新的合作议程，将 IT 风险管理放在企业资源风险规划、风险优先级确定和风险管理的最前面。这支团队应该由管理层设立，并且直接在管理层领导下开展工作。
　　此外，在实施安全风险管理时，采用的技术也非常重要: 企业必须将漏洞管理、网络访问控制、身份管理、数据泄漏防护以及补救措施等技术纳入框架，以确保实现对数据的保护。同样，传统上的防火墙、反病毒、入侵防御等产品和技术都不可缺少。日前，迈克菲公司推出了一整套新版本的风险和法规遵从解决方案，其中包括 McAfee Foundstone? 6.0、McAfee Remediation Manager 4.5 和 McAfee Policy Auditor 4.5，可帮助企业防范可能危及企业业务的威胁和安全漏洞，使企业能够发现、评估和修补 IT 漏洞并修正策略违规行为。
　　最后，企业不仅仅要采用安全产品，还需要一种全面的服务战略来应用这些产品，将它们集成在一起，并与企业整体战略共同发挥作用。通过正确地集成解决方案，可以实现“格式塔”（gestalt）效果――整体所产生的效果大于各部分产生的效果之和。