IBM Tivoli身份认证简化安全管理

　　IBM与对手的竞争含蓄中透着锋芒。

　　5月19日，IBM大中华区信息系统服务事业部携安全领域的拳头产品Tivoli在京宣讲有关安全的话题。在IBM徐徐展开的画卷中，“商业安全”统领了全部主题，所有竞争对手积极宣传的理念都在大象无形中被放置这个核心的外围。

　　防火墙、杀病毒仅是初级理念

　　按照IBM 大中华区信息系统服务事业部、企业信息系统基础架构业务、大中华区技术总监周国祥的介绍，IBM做安全已有十年历史。十年中，IBM不但积累了2700名专家和超过50万个被监控设备提供的历史和最新数据，也积累了一套自己的理念。作为有20年工龄的周国祥不掩饰对于IBM在安全领域做法的认同:“IBM有一点好处，就是做很多事情都是从基础做起。”

　　在IBM看来，很多企业对于安全的认识是事件导向型的。也就是说，有了问题赶紧解决，比如，遇到病毒泛滥，就赶紧解决病毒问题。“假如往再向前走一点的话，人们可能开始探讨是否可以预防，这时候就走到了第二类就变化工具导向的型。可以用一些工具，比如防火墙等等把人们心中害怕的病毒等挡住。”周国祥说到:“继续往上走是程序导向，因为人总是会犯错的，软件有很多漏洞，这是第三类。第四类是风险导向，真正以风险为导向才能根据企业整体运营的需求来架构安全模式。”

　　在IBM周国祥演讲中，那些以防火墙、杀病毒软件的软件公司处在对于“安全”理念理解最外围的部分。

　　“如今大部分在中国的企业是事件导向跟技术导向，人们花了很多精神尽量把这事件处理更好，想办法得到更好的各样软件工具，把安全技术导向化。但只有我们做到这两项后才能走向流程，克服掉因为人的因素所犯的错误，流程导向之后才能更进一步走向风险导向。”周国祥说。

　　毫无疑问，能够做到以风险导向替客户规划的软件公司少之又少。而IBM则是为数不多的能够提供从业务咨询到流程实施全套解决方案的厂商。

　　三部分做到风险最优控制

　　在IBM看来，要想做到以风险导向出发使企业运营顺畅，首先是透过咨询给企业做一个整体的风险控制规划，不但要控制病毒攻击等事件，还要照顾到审计，并做到预防。

　　第二部分是在运营中要做到信息的收集和协作，“我们在咨询时会看到，有问题的时候会看到很多信息，久之，会发现出问题80%大概就是那些。人们用经验的法则把不同的信息集中之后做协同处理，可能发现5个信息其实最关键的信息只有一个。”周国祥说:“人们可以将这些信息自动处理，比如说，通过自动通知到CIO或者相关人员的手机上。”

　　IBM软件集团Tivoli中国区技术支持经理秦磊的解释更加直接:“差不多80%的企业都布置了防火墙90%都被攻破过，90%企业都建立了防病毒的系统，90%以上都被感染过，这是为什么?如何预警?安全事件发生以后怎么知道来自于各个不同的系统都会报警。到底是真有问题还是狼来了，真正最终的问题在哪里?IBM这里有几十年的经验，通过IBM实验室这边专门有安全事件的分析模型，通过这个模型可以监控到所有底层的安全设备，包括防火墙，包括系统应用这边会过来很多事件，在进行告警之前首先对事件进行集中的收集，并且进行标准化，这些工作最核心的就是做事件的关联分析，最终反映这个问题发生最根本的原因，IBMTivoli IM就是起这个作用。”

　　但上述经验和法则还是需要在基础架构上实现。在一个企业的基础架构中，会有很多安全的解决方案。周国祥总结到:“第一块透过咨询怎么样将整个规划做得好，其次是运营上作得好，第三，通过整个基础架构的把上述理念实施好。”

　　身份管理简化安全

　　企业所面临的商业安全并非被动的病毒入侵，而应该主动考虑可能是因为企业运营模式中带来的风险。周国祥谈到:“多病毒都是被人脑设计出来并实施的，因此，曾经有一个企业的董事长问到，如何去防范公司内部人制造病毒或者其他不安全因素呢?”

　　这是一个正在困惑很多企业高层管理者的难题。

　　所谓的公司的“内部人”并不仅仅是指一个企业内部的员工，还有来自这个企业价值链的上下游合作伙伴可能带来的风险。IBM亚洲黄接受天极网记者采访时给出了精辟的解释:“互联网时代的企业都是全球性的，大家总要开门作生意，企业的系统必然要向合作伙伴开放。因此，现在的商业安全核心就是两——身份管理和授权管理。”

　　秦磊谈到:“Tivoli安全解决方案首先就是关注人，企业里面最难关注的一部分，包括对所有身份的管理解决方案。第二，从物理层到应用层到系统层到用户层，做一个集成的安全总控的平台——被监控的对象来自于各个不同的安全设备，比如边界防御的防火墙，边界入侵的检测设备——对它们的处理必须符合企业所设定的要求并能够被审计。企业客户可能最关心如何建设集中访问控制平台，它的前提就是如何做集中的用户身份认证的管理。” 据称，法国Orange已经应用了IBM的产品。

　　根据市场需要，IBM今年重点发布了“企业联合身份的管理”，能够满足跨地域企业组织的需求。

　　秦磊谈到:“比如我们做护照管理的时候，这是典型的联邦身份管理系统，实际中国的客户这边有非常多的实际案例，比如在电信公司，基本上都是集团公司下每个省公司独立运行，当他们真正建立他们应用的时候，他们身份集中管理这个层次基本上都在省公司开展，这样的话，北京的用户如果到广东访问当地的电信服务怎么做这种身份认证，如果把所有原来北京用户信息事先复制好一份这不可能的事情，事先在广东和北京建立省公司的信用体系，这样还是通过北京走管理，到广州的时候，去做认证的时候都不需要重新申请用户名，这是非常简单的方式，但是可以解决中国很多客户困扰的实际问题。”