世界最近貌似不是很太平。冰岛火山喷发了，俄罗斯地铁爆炸了，连本该在中世纪消失的海盗也在索马里折腾着厉害。开心网上正流行着一个调查，结果令人惊讶的显示，基本上只有2%的人是拥有相当安全感的。看来，安全还真是个不小的问题。

无论是冰岛、索马里还是俄罗斯，都离着我们有点远。但是作为一个有责任的IT客，我们完全可以从身边开始，做自己擅长的事情，那就是提升企业信息系统的安全问题。注意了，那个戴眼镜的，说的就是你，“天上飞机最高，地上眼镜最骚”，不要老在上班时间玩开心网，先把信息安全搞搞好。因为——有安全、才开心！

下面让我们先看一个真实的案例：一家大型的国际性商业银行最近发生了严重的安全事件，这件事促使其重新评估了已有的安全事件处理程序和方法。这家银行在世界各地的办公室通过局域网和互联网相互连接。遭受攻击时，银行有限的安全人员正忙于对每天超过30万个安全事件进行分析。由于缺乏有效的手段以及数据量庞大，早已疲于应付的银行安全工作人员浪费了大量时间用于分析多数证明是"假性"的安全事件。这极大地妨碍了他们快速应对

真正的安全事件和实际威胁，从而危及到银行的安全。为了提高安全性并使商业风险最小化，他们需要一种更加有效的方式去评估和处理安全事件。他们还需要降低正逐步增加的安全事件的分析成本。对这家金融机构来说，答案就是一个集中安全风险管理平台。

木桶理论与风险管理

为什么要集中管控风险？这必须说到众所周知的木桶理论：

一个由许多块长短不同的木板箍成的木桶，决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值，而是取决于其中最短的那块木板。要想提高木桶整体效应，不是增加最长的那块木板的长度，而是要下功夫补齐最短的那块木板的长度。

这个理论同样也适合安全领域，在信息系统中，信息安全的整体防护强度取决于“马奇诺防线”中最为薄弱的一环。对于企业来说，安全入侵经常从各种地方发生。如果不能统一安全强度，很可能一个用了上千万搭建的信息安全系统，只是因为一个U盘的不慎重使用，或者是一个普通员工的帐号被盗，就塌陷于一瞬间。所以，我们必须从整体上来评估企业信息安全状况，并且运用统一的平台来进行风险和安全管理。

整合的安全洞察

要进行良好的风险和安全管理，必须时刻监控企业安全动态，做到要有的放矢。因此很重要的一点是要建立集中的“可视化”，以随时监测整个信息系统的安全状况，做到迅速反应，甚至智能到可以预测到风险，化被动防御为积极防御。

我们获得的信息可能来自众多不同的安全检测点，但是我们必须拥有一个集中的分析视角。如果没有一个集中的分析视角，你可能低估某个安全攻击的真正威胁，相应采取的安全措施也可能无法解决真正的问题。因此，对安全平台所记录和存储的审计数据进行综合分析及处理至关重要，这些审计数据可能来自防火墙、路由器、入侵探测系统、主机系统、防病毒系统和桌面安全系统。对上述审计数据的统一和集中的分析将能帮助更好地管理安全事件，从而描绘出整个企业当前安全情况的更清晰和准确的图景。

软实力的作用

安全与风险管理不只是一个技术问题，它还需要一套系统的和科学的安全管理体系来保证集中风险管理的有效性。也就是说，企业需要在安全体系的软实力上多做功课，合理调动和发挥人的因素，才能充分利用技术的力量。否则，企业的安全系统很有可能只是个摆设。

企业的安全软实力包括很多方面，与集中风险管理关联最紧密的有三个方面:有效的安全组织，科学的安全策略和标准，完善的安全事件响应和处理机制。

“安全和风险管理”（Security & Risk）是IBM实现“智慧地球”的一大能力，作为企业的神经中枢，IT部门必须能够适应业务要求的不断变化，迅速满足新需求、快捷响应新威胁。在全球化程度不断提高、管制复杂性日益加剧、安全威胁不断演变的今天，在整个IT生命周期中能否成功实施IT治理和风险管理对企业而言至关重要。IBM拥有业界领先的自管理自动化技术及先进的方案和方法，可帮助客户开展具有出色灵活性，并符合监管标准的高性能业务。将风险置于管控之中，才能实现更和谐的环境、更安全的社会。让我们一起建设安全的家园、安全的食品、安全的学校、安全的幼儿园和安全的信息系统！有安全，才可以开心的！那个戴眼镜的胖子，说你呢！