看护安全世界:专访IBM ISS亚太区总经理

这是一个不安全的世界，IT安全威胁和互联网攻击从未如此让人担忧。IT供应商对此应承担哪些责任？企业IT安全未来是否能够得到保障？日前，《信息周刊》专访了国际商业机器公司（IBM）互联网安全系统（ISS）亚太区总经理西恩·道肯斯（Sean  Dolkens）。

信息周刊：企业IT安全的形势在不断发生着变化，在您眼中，现在IT安全有哪些特点？

道肯斯：亚洲各个国家对安全的需求差异很大，但也有共性的地方。以前的做法是基于已经发生的事故来寻求解决的方法，现在我们看到越来越多的做法是如何预测安全风险和威胁，并对这些安全问题进行预先管理,进行风险防治，而不是在出了问题以后进行修补。

中国的企业在寻求更简单的解决方案，并且这些解决方案需要很容易就购买到。他们希望通过一套机制帮他们解决99%的问题，让安全管理和业务相关，并保持业务的持续性，而不是每天都被一个具体的事件所困扰。举个例子，以前的安全就像房屋漏水一样，屋子盖好以后，不小心漏个洞，以前会打个伞或者拿个什么东西来糊住。现在客户的需求已经变成说怎样在设计房屋、建设房屋的时候就不出现漏洞。

以前是找一个安全厂商买安全技术和产品，现在越来越多从长期配合方面来看这个问题。厂商要给客户提供一定的可信性，就是如果客户跟你合作，那客户就得到了厂商一定的承诺，在一定程度上就是安全的。

承诺是通过管理实现的，比如以前安全是提供单一的产品，就像买防盗门一样，但是买了防盗门只是意味着你的门以前是2秒钟被打开，现在是5秒钟被打开。这并不一定真的解决问题。管理服务就是在“防盗门”上配一个“虚拟警察”，这个“虚拟警察”对客户来说就是保安，它对客户承诺在某种情况下，比如被通缉的这些安全事件下，是不可能被攻破的。

信息周刊：现在的企业客户特别是中国客户对IT安全解决方案有哪些具体的需求？

道肯斯：目前很多公司都在谈IT安全，也在尝试提供安全解决方案。但是在中国市场内，很多公司还停留在提供防火墙服务的水平上。但同时我们开始发现市场很多潜在需求，客户要求更高级的安全解决方案来帮助阻挡威胁入侵。

中国和美国市场也有所不同，中国客户大部分是以产品为主要的采购对象；但同时也有很多咨询服务，咨询服务就代表着客户已经开始考虑一个整体的安全策略。预计市场很快就会走向整体解决方案，而不是只买一个防火墙或者是某一个单一产品。

信息周刊：客户希望安全解决方案的效果可见和可控，如何来实现这一点呢？

道肯斯：现在绝大部分技术厂商都在往这方面努力，但是还没有站到一定的高度上。而IBM正在逐步向更安全、更一致化的计算基础设施演进，以适应客户需要。以前我们推动安全解决方案的时候，都是以很专业的产品和技术为核心来做，纵向发展；现在我们要做的是根据客户的需求横向整合，把其他企业的专业技术、我们的管理服务，以及其他的流程集合在一起，针对客户某一个方面的问题提供解决方案。

信息周刊：安全攻击的形式总是快过各种防御手段推出的速度，企业究竟应该怎样采取更合理的安全措施呢？

道肯斯：现在的安全威胁与以前不同，以前多是个人的行为，散播一些病毒或程序，现在多是以盈利为目的的组织犯罪。以前主要是个人对个人，现在是企业对企业，组织对组织。大家觉得“道高一尺魔高一丈”，安全攻击总是在变化的，防不胜防。