为企业装“防盗门” 专防内鬼窃取企业机密

　　记者：信息安全确实很重要。那么，企业为了防止机密泄露，现在基本上都在采取哪些方法来预防?

　　卢汝文：信息安全确实让很多企业的领导者伤透了脑筋。为了防止泄密，很多企业采取了各种方法防范，有些比较极端，如规定员工在办公环境下不得使用U盘，普通员工没有权限访问互联网。

　　记者：这种治标不治本的方法，根本无法解决企业信息安全问题。企业信息安全仍然面临着巨大的挑战，难道就没有方法解决这个难题吗?

　　卢汝文：其实，通过IT治理的方法就可以解决企业信息安全的问题，而CA就可以提供全面的模块化IT管理解决方案!

　　为企业竖起一道安全门

　　记者：每一个企业，都有一套自己的安全系统，但为什么还会屡屡发生企业机密外泄的事件呢?

　　卢汝文：生活在信息时代的人们，已经习惯了同时具备多重身份。通常，一个人都会拥有几个不同的ID账户，也有很多密码。在网络中，拥有了账户和密码，很多时候便可畅行无阻。这种现象对于企业来说，意味着在控制外部人员登录企业系统的同时，也要控制对企业内部系统的访问。有数据显示，企业的安全威胁有很大一部分是来自内部员工的失误或者管理不当，而核心技术人员别有用心的越权操作，更会给企业带来无法估量的损失。

　　记者：企业在安装了CA的企业管理软件后，有成功拦截过来自内部员工偷取机密的事件吗?

　　卢汝文：有!在台湾省台积电公司就发生过这样的事。根据我们数据库的记录，发现有一个人正试图破解安全防护系统，进入保险库。然而，在一阵徒劳的努力之后，他最终无功而返。这个人不是别人，正是台积电公司的某工程师，但是他的级别不够进入保险库。而每个月，和他一样想对保险库一探究竟，进而顺手牵羊的工程师还有好几个。他们所不知道的是，他们对保险库安全系统的每次攻击，都被记录在案。

　　记者：CA公司的这种安全概念是什么时候推出来的?

　　Dave·Hansen：在2002年，CA就开始理顺安全概念，并将信息安全概括为身份和访问管理、安全信息管理和威胁管理3部分。CA不再把信息安全仅仅当作一种科学技术，而把它看作管理、应用的科学。

　　在此基础上，我们开发了安全成熟度模型，该模型分为3层：防御层、授权层和管理层。防御层是地基，具体表现为入侵检测系统、防病毒软件和防火墙。这一部分是纯粹成本，没有回报;授权层是框架，主要实现接入控制和身份认证，这一部分是有投资回报的;管理层是顶层，对整个安全设备和系统进行统筹管理，以最大程度地发挥企业安全系统的能力，这一部分也包括法规遵从。

　　通过这个模型，企业可以更加容易理解安全的概念，从而更加客观地评价自身的信息安全水平。

　　记者：在对待网络系统安全的问题上，企业应该避免哪些认识上的误区?

　　Dave·Hansen：许多企业已经认识到网络安全的重要性，遗憾的是，不知什么原因，他们更青睐硬件设备而忽略了在授权层和管理层的投入，而这恰恰是整个安全系统的价值所在。在过去很长一段时间里，企业包括像我们这样专门从事安全的技术公司曾犯过一个错误，认为网络要么安全，要么不安全，而实际上，绝对的安全是不存在的。网络、系统、安全、存储和管理是一个有机的整体，同属企业IT框架的关键组成部分，将企业IT管理统一和简化，就可以省略掉很多麻烦。