IDC亚太安全论坛提出4P企业安全管理理念

  在MyDoom、Bagle.B等蠕虫病毒肆虐、引起全球恐慌的今天,企业安全可谓岌岌可危,负责信息安全的经理们都在提高警惕严防死守。国际著名的市场调研和咨询机构IDC(国际数据公司)3月5日在京隆重举行2004年亚太安全论坛,召集了企业首席安全官及著名IT厂商等业界安全专家一起共商安全大计。在专家云集的论坛上,IDC提出了"4P"安全管理新理念,即企业的信息安全应从管理策略、管理人才、管理流程和安全产品四个方面入手。

  根据IDC 2003年数据分析显示,目前安全市场的增长远远高于整个IT市场的增长。IDC预测,2007年全球安全市场的总额将从2002年的639亿美元增长为1,188亿美元,其中硬件、软件和服务的市场占有率将分别为32.4%、34%和33.6,其市场规模平均增长率分别是11.8%、12.2%和15.8%。按照IDC对安全的新定义,安全领域可细分为物理安全、信息安全和业务连续性安全,信息安全是安全市场增长最多的领域。IDC预测,亚太区信息安全的市场规模将从将从2003年的37亿美元增长为2007年的83.4亿美元,而中国信息安全市场则从2亿美元增长为6.7亿美元,年均增长率为34%,远远超过整个亚太市场22.9%的年均增长率。

  在信息化的今天,企业应用IT系统已经变得非常频繁,并通过多种途径实施,这些应用的最终目的是为了增加收入,保持业务的持续增长。然而安全漏洞却无处不在,给企业带来诸多的问题。为此,企业网络的安全保护普遍经历了4个阶段:裸网、隔离、安全保护和监控,对不同的安全威胁实施不同的保护措施和保护层,加强对企业的安全保护。但是在网络安全漏洞迅速增长的同时,电子商务交易额的增长却远远超过了企业安全投资的增长。

  中国IT用户网络安全投资分析

  数据来源:IDC,2003年
  在此次大会上,IDC提出了全新的"4P"安全管理理念,认为企业要确保业务连续性安全,必须从四个方面入手,即Policy(管理制度和策略),People(管理人才), Process(管理流程),Product(安全管理软、硬件)。

  IDC中国跨产品组/数据中心总监武连峰先生介绍说:"关于安全管理的制度和策略,是指企业需要兼顾隐密性、安全性和业务连续性等问题。企业必须部署基于政策的安全技术,同时需要回答这样一个问题:这一技术或安全设备与我们的业务目标一致吗?这些政策必须由公司内的高层管理人员制定并控制,然后实施到技术层面。因此,安全不再是防火墙、病毒更新或邮件扫描,它是一个宠大架构里的组成部分。"

  "同时,安全方案必须能够适用于最终用户层。今天的企业安全已远不仅指防火墙,所辖领地还包括PDA、手机、笔记本电脑、WLAN等一切办公设施。 这就是第二个'P' --管理人才,这也意味着变革管理,涉及到人员的培训、树立安全意识、各种IT资源以及决定谁是安全策略的制定者等内容。我们认为高层管理人员是安全策略的制定者。而目前,全球60%的企业正由他们的IT或者IS经理负责安全策略制定,只有17%的企业是由业务管理层来决定。这一问题已逐渐明显,并成为企业面临的大问题。"

  武连峰先生也对第三个"P"--Process(管理流程)作出了解释。"随着企业进行资源整合,企业需要面对并解决因硬件设备和网络安全的整合所带来的问题,安全管理流程在企业的整体安全发展中担当了关键的角色。安全管理流程首先会确定一个安全需求的优先级,比如验证过程或身份管理,然后明确涉及各业务领域的安全管理程序细节。从前端访问到在线用户交易,都必须提前确定潜在的风险并制定相关安全管理流程。"

  武连峰先生在谈及各种攻击频频威胁企业安全时说,"安全对企业的重要性与日俱增。我们希望通过此次安全论坛,将安全领域最新的信息与大家分享,引导大家选择符合未来规划的解决方案,帮助大家在保持业务持续发展的同时获取最大的投资回报。"

  此次论坛还邀请了国内外知名的安全厂商,来自联想、赛门铁克、东软、微软、趋势科技、Datacraft、SurfControl 等企业的安全专家们都登台阐述了他们的观点,包括如何提高企业整体警惕性、如何预防攻击与恢复等热门话题,并就企业安全防护与业务连续性等问题发表了自己的观点,探讨如何在平衡两者之间利益的同时实现IT投资产出最大价值的回报。

  论坛演讲嘉宾
  " 韦卫博士,联想研究院资深研究员,总监,信息安全研究室主任,联想
  " Vincent Steckler,亚太地区副总裁,赛门铁克
  " 曹斌,网络安全事业部总经理,东软
  " Meng-Chow Kang,Chief Security & Privacy Advisor,Asia Pacific & Greater China Regions,微软(亚洲)
  " 刘家雍,全球副总裁,亚太区总裁,趋势科技
  " Keri Lewis,安全解决方案部总经理,Datacraft 亚洲
  " Mark Trudinger,亚洲区副总裁,SurfControl Plc
  " 武连峰,研究总监,跨产品组/数据中心,IDC中国