这是一个不安全的世界,IT安全威胁和互联网攻击从未如此让人担忧。IT供应商对此应承担哪些责任?企业IT安全未来是否能够得到保障?日前,《信息周刊》专访了国际商业机器公司(IBM)互联网安全系统(ISS)亚太区总经理西恩·道肯斯(Sean Dolkens)。
信息周刊:企业IT安全的形势在不断发生着变化,在您眼中,现在IT安全有哪些特点?
道肯斯:亚洲各个国家对安全的需求差异很大,但也有共性的地方。以前的做法是基于已经发生的事故来寻求解决的方法,现在我们看到越来越多的做法是如何预测安全风险和威胁,并对这些安全问题进行预先管理,进行风险防治,而不是在出了问题以后进行修补。
中国的企业在寻求更简单的解决方案,并且这些解决方案需要很容易就购买到。他们希望通过一套机制帮他们解决99%的问题,让安全管理和业务相关,并保持业务的持续性,而不是每天都被一个具体的事件所困扰。举个例子,以前的安全就像房屋漏水一样,屋子盖好以后,不小心漏个洞,以前会打个伞或者拿个什么东西来糊住。现在客户的需求已经变成说怎样在设计房屋、建设房屋的时候就不出现漏洞。
以前是找一个安全厂商买安全技术和产品,现在越来越多从长期配合方面来看这个问题。厂商要给客户提供一定的可信性,就是如果客户跟你合作,那客户就得到了厂商一定的承诺,在一定程度上就是安全的。
承诺是通过管理实现的,比如以前安全是提供单一的产品,就像买防盗门一样,但是买了防盗门只是意味着你的门以前是2秒钟被打开,现在是5秒钟被打开。这并不一定真的解决问题。管理服务就是在“防盗门”上配一个“虚拟警察”,这个“虚拟警察”对客户来说就是保安,它对客户承诺在某种情况下,比如被通缉的这些安全事件下,是不可能被攻破的。
信息周刊:现在的企业客户特别是中国客户对IT安全解决方案有哪些具体的需求?
道肯斯:目前很多公司都在谈IT安全,也在尝试提供安全解决方案。但是在中国市场内,很多公司还停留在提供防火墙服务的水平上。但同时我们开始发现市场很多潜在需求,客户要求更高级的安全解决方案来帮助阻挡威胁入侵。
中国和美国市场也有所不同,中国客户大部分是以产品为主要的采购对象;但同时也有很多咨询服务,咨询服务就代表着客户已经开始考虑一个整体的安全策略。预计市场很快就会走向整体解决方案,而不是只买一个防火墙或者是某一个单一产品。
信息周刊:客户希望安全解决方案的效果可见和可控,如何来实现这一点呢?
道肯斯:现在绝大部分技术厂商都在往这方面努力,但是还没有站到一定的高度上。而IBM正在逐步向更安全、更一致化的计算基础设施演进,以适应客户需要。以前我们推动安全解决方案的时候,都是以很专业的产品和技术为核心来做,纵向发展;现在我们要做的是根据客户的需求横向整合,把其他企业的专业技术、我们的管理服务,以及其他的流程集合在一起,针对客户某一个方面的问题提供解决方案。
信息周刊:安全攻击的形式总是快过各种防御手段推出的速度,企业究竟应该怎样采取更合理的安全措施呢?
道肯斯:现在的安全威胁与以前不同,以前多是个人的行为,散播一些病毒或程序,现在多是以盈利为目的的组织犯罪。以前主要是个人对个人,现在是企业对企业,组织对组织。大家觉得“道高一尺魔高一丈”,安全攻击总是在变化的,防不胜防。
