首席医官【McAfee首席安全官管理安全风险需广泛合作】.docx

《首席医官【McAfee首席安全官管理安全风险需广泛合作】.docx》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、首席医官【ＭｃＡｆｅｅ首席安全官管理安全风险需广泛合作】5月31日，在《计算机世界》举办的第五届信息安全大会上，McAfee首席安全官（CSO）MartinCarmichael先生专程从美国飞到中国，根据其自身的长期经验，就McAfee公司一直倡导的安全风险管理的概念及其__用户的意义进行了主题演讲，引起了对安全日益重视的中国企业的CIO或CSO的兴趣。他说，安全问题日益威胁企业网络，但目前没有一家公司提供的产品能解决所有的安全问题。因此，对于企业而言，必须制定一个全面的、集成的防御方案，才是应对安全威胁的最有效方法。这就是安全风险管理的含义。但实施安全风险管理时，不同的

2、人有不同的反映：在运营专业人员看来，风险管理意味着保障正常运行的时间和配置，使他们的设备遵从内部策略和法规，并能保持网络通畅；在审核人员看来，风险管理意味着遵从外部法规和内部规章制度；在安全专业人员看来，风险管理意味着最大限度地减少关键设备上的漏洞和威胁；对于企业所有者而言，风险管理意味着要确保业务的连续性，能够持续开展业务和实现盈利。从他们各自角度而言，这些定义都没有错。然而，由于定义无法统一，就造成了业务运营甚至管理上的摩擦。各团队都设置不同的优先级和策略来管理安全风险。这样做好处是会促使策略增强；坏处是会导致在IT监控和防护方面的投资发生冲突。这会使业务面临危险，威

3、胁到法规遵从，并使企业浪费大量钱财，甚至错失商机。那么，该如何解决这些矛盾呢？他认为，企业应该从业务角度出发，着手制定安全战略，并要正确理解，进行安全风险管理的真正目的是为了保护数据，这是企业的命脉。因此，安全风险管理是一个动态的流程，需要把决策、行动及所支持的业务需求更加紧密地联系起来，这种战略融合正在从根本上颠覆人们对IT安全风险管理的理解―传统的IT安全防护实质上只是企业整体风险管理的一个方面。“但是，最重要的一点是，IT部门要与业务部门形成合作伙伴关系，而不仅仅是供需关系，不能像过去一样，IT部门通过吓唬等手段逼迫业务部门采用新的安全策略，这样只能是一种被动的威胁

4、管理。”他说。正确的做法是，安全主管们和IT运营人员必须在CIO的率领下采用一种新的合作议程，将IT风险管理放在企业资源风险规划、风险优先级确定和风险管理的最前面。这支团队应该由管理层设立，并且直接在管理层领导下开展工作。此外，在实施安全风险管理时，采用的技术也非常重要:企业必须将漏洞管理、网络访问控制、身份管理、数据泄漏防护以及补救措施等技术纳入框架，以确保实现对数据的保护。同样，传统上的防火墙、反病毒、入侵防御等产品和技术都不可缺少。日前，迈克菲公司推出了一整套新版本的风险和法规遵从解决方案，其中包括McAfeeFoundstone?6.0、McAfeeRemedia

5、tionManager4.5和McAfeePolicyAuditor4.5，可帮助企业防范可能危及企业业务的威胁和安全漏洞，使企业能够发现、评估和修补IT漏洞并修正策略违规行为。最后，企业不仅仅要采用安全产品，还需要一种全面的服务战略来应用这些产品，将它们集成在一起，并与企业整体战略共同发挥作用。通过正确地集成解决方案，可以实现“格式塔”（gestalt）效果――整体所产生的效果大于各部分产生的效果之和。内容仅供参考