“2009 IT风险管理”之道

2009 IT风险理道
　　着IT技术发展全球越越企业正逐步完善业务流程信息处理工操作转移IT台
　　微软Windows操作系统着易成较低等特性许企业已者正Windows作业务流程信息处理台边界服务器部网络企业总部分支机构企业中存着量Windows操作系统服务器客户端
　　着Windows作流台广泛出现层出穷安全威胁金融风暴汹涌袭全球企业生存环境发生剧烈变化包括敏感数客户信息公司基础设施等面着日益严峻IT风险济动荡时期企业更加法承受身安全带问题
　　目前非常时期严格控制发生隐患企业进行效IT风险理企业必须直面问题
　　畅享网走访国际信息系统审计控制协会(ISACA)北京事务委员会席微软中华区信息安全总监 迪生先生请深入剖析现IT风险理道
　　角度认知IT风险
　　迪生着重身份： 国际信息系统审计控制协会(ISACA)北京事务委员会席信息系统安全协会(ISSA)香港分会总裁中国信息化推进联盟 (CFIP) 信息安全专业委员会 (ISA) 副业务持续理专业委员会(BCM)高级顾问微软中华区信息安全总监复杂身份帮助角度思考IT风险理问题IT风险理更加全景认知
　　谈IT风险理首先需解威胁什天威胁未会威胁
　　企业说安全技术手段保护核心容数目企业正常网络业务运转基础迪生解释说：企业外部IT风险直断加剧企业IT系统恶意攻击变越越复杂越越方法IT系统进行攻
击时威胁已仅仅单纯企业外部更企业部威胁已变越发严重
　　开放网络环境中开展业务少面四挑战：第部身份认证安全性第二组织犯罪威胁第三种网络外部攻击第四种软硬件安全漏洞
　　业务角度世纪80年代时完全需理身份着IT应越越复杂越越功开始启需功应业务发展需求：进入财务系统时网关保护着数访问数前首先需身份认证显然着IT应愈加复杂数量激增身份认证带问题越越复杂
　　外部环境变化正逼迫企业积极动应IT风险发布更新漏洞利时间间隔已越越短开始1年降2天甚1天外黑客更出技术目想进入系统炫耀技术水获成感天黑客破坏系统更重系统里面数中获利黑客已技术目变成现业务目采恶意攻击形式越越复杂
　　外极重问题IT风险重部分永远薄弱环节必须教育员工足够知识理解关防护措施否防护完备企业然会面巨风险
　　IT风险复杂包括素想见天CIO工作异常艰巨需找正确战略方法理系统
　　IT风险微软提出信息安全深防御模型物理安全边界安全部网络安全机安全应安全数安全六技术层面进行安全防护外加法规政策安全模型等安全指导思想合理规章制度应急处理机制等信息安全理手段完整安全培训体系组成微软总体安全架构体系迪生介绍说
　　硬币两面——安全理
　　根IDC发布调研报告显示：目前IT投资增加100美元中70运营
30支持新应见现IT设施理重占部分IT投资
　　企业需成长然部分资金花费老旧系统运维IT预算中更例划拨新应层面更帮助企业发展通服务等级理容量理性理等更更效理系统 IT运维成降低解决方案角度讲微软提供安全理相结合解决方案 system center 帮助户监IT资产包括软件硬件网络资源Forefront针ExchangeSharePoint保护程序集成厂商扫描引擎加微软研发8业唯引擎解决方案户根性病毒捕获率性化求调整引擎工作数量工作性间衡通集成引擎程度避免杀毒短板效应广泛集成业界专业杀毒引擎幅度提升方案整体安全防护效果助种手段微软安全解决方案业界新技术紧密联系起种整体防护构建信赖计算企业计算环境说极重安全理相结合天企业IT治理里重部分
　　企业IT理实际操作中存问题挑战越越IT架构理软件防病毒入侵软件难台匹配理变异常复杂许安全软件法满足安全需求难台实现缝连接时越越复杂企业IT环境越越高维护成理者深陷中业务目标难实现理安全特性兼备家企业言成优化核心基础设施分割关键部分
　　针IT理中方方面面挑战微软核心理念理安全视机整体单独理安全某问题——迪生样解释微软理安全进行融合意
　　微软样理安全相结合户带样处
　　迪生解答说：实现生产力化提供高度简化理够现基础设施整合户缩减成商务发展提供动力理处户掌控表现三方面：
　　提高生产力——通动执行重复性务嵌入微软知识增强企业生产力企业够效益化时维持生产力
　　二简化企业工作环境部署配置理安全特性——通提高见度企业IT理够时作出必反应
　　三高度整合——方案Windows台应理基础设施实现整合提高企业系统整体效性响应度帮助企业实现投资价值化
　　简言微软理念安全易理令理更加安全两者相辅相成密分硬币两面立统密分
　　宏观策略微观措施相结合
　　构建更安全IT环境IT系统宏观战略微观措施样重
　　前非常时期然企业受济滑影响IT预算相前缩减企业然希节约IT成情况相甚更解决方案加固企业IT系统面断变化安全威胁
　　迪生抱充分信心：首先IT已仅仅企业成中心套完善健康IT系统完全成企业业务助推器帮助企业成功少花钱办事落实方面——第企业部理成信息理复杂复杂理必须花时间花钱参加培训者招聘更理员第二企业希厂商够提供站式服务具体说信息部门尤安全部门希减少服务交付时间需简化服务供应商数量服务提供商量单厂商前户方案集成商家厂商产品包做成显然高单厂商集成解决方案
　　迪生特强调ROSI——安全投资回报率通指标企业负责介绍安全投资回报业务表现
　　果CIO者CEO者相关利益方够认识保护数重性难说服投入足够资源解决IT风险问题商业直接密切相关股东权益直接相关信息必须采取措施保证投入足够钱资源解决安全防护问题显然轻松工作ROSI充分说明重性
　　具体措施致分步骤：
　　首先应进行商业风险评估商业发展角度什重东西保护
　　然进入制定策略公司流程阶段讨安全组织架构实施战略基础组成虚拟安全团队动员部门力量参进包括力资源部门营销部门理解安全性重性
　　步安全架构控制关公司政策流程
　　进行安全确保令部分运转正常通系列测试验证否防止黑客侵犯
　　通安全监测确保整流程效公司需季度进行次者月次确保网络天安全
　　安全评估安全需知道领导进行沟通展示系统功效
　　微软样安全厂商说构建套完整安全生态系统必须够应挑战包括防御攻击必通信干扰量预知户业务发展趋势努力提高身安全透明度便户提供优安全防御方案
　　技术革新目前微软代表安全厂商正努力推动分层系统安全建设模式包括：负责ACLRMS数加密数层强化防病毒结构应程序层负责操作系统强化修补理身份认证HIDS机层统筹网络段开展IPSecNIDS部网络层理防火墙VPN等设备周边设备层提供防护锁定追踪功物力安全策略通告层技术层非技术层组合起构成企业实践中深层防御(DID)机制
　　迪生建议目前效企业安全生态系统建设战略技术进行革新时企业提供佳安全实践操作方式指导时安全厂商企业CIO够国际安全组织进行合作ISACA ISSA CFIPISABCM保持交流获新安全防御指导意见助安全生态圈搭建
　　解般方法评估安全理效果户改善安全防护水提升保护IT环境力技术方面素样保护系统加密等深层次技术知识利日常保护IT工作中IT风险理技术远远够更关战略流程框架等种元素组成部分非常重
　　中迪生特提流程——安全效果获赖安全效理流程涉流程问题单独安全厂商够需户企业努力中少体现：第企业决策层支持安全流程建立第二需进行专业商业风险分析第三业务IT员起建立安全策略第四构建安全架构进行部署第五持续断开展系统安全监控
　　迪生指出安全理流程深层防御体系组合起构成佳企业安全策略企业建设安全生态圈终获安全体验必路
　　结语
　　三年前迪生媒体表示担忧：中国企业信息安全重视非常够现承认种情况已发生变化
　　中国企业信息安全IT风险重视程度越越高应该做什做够清晰观思想重视程度已达相高度许发展需求处起步阶段发展速度非常快
　　中国企业安全建设问题存着定误区认购买昂贵型防火墙杀毒软件者关安全产品提供防护昂贵防护门没锁然起安全防护作迪生表示昂贵产品解决方案定适合企业身需求
　　实两年中发生迪生身改变仅仅外界变化认知两年前汉语话现已够讲口流利普通话然身未改变安全理念传播意愿布道精神
　　微软身份ISACAISSACFIP ISABCM身份迪生直努力中国企业解IT安全问题重性分享解决IT风险理种验提供行效解决方案
　　中国太会花费量时间精力作中国愿意付出努力迪生说
 
文档香网(httpswwwxiangdangnet)户传

《香当网》用户分享的内容，不代表《香当网》观点或立场，请自行判断内容的真实性和可靠性！
该内容是文档的文本内容，更好的格式请下载文档