随着云计算、移动互联网等新兴IT技术的发展，企业IT环境正面临着前所未有的挑战。新技术的应用在为企业带来新的商业模式和新的发展契机的同时，也给企业的IT管理带来了全新的挑战。新的安全风险、从未遇到过的业务系统问题、网络问题成了令IT管理人员头疼的话题。如果应对这些新环境下的IT风险，让IT继续为企业业务发展助力，就这个话题，我们采访了惠普亚太及日本地区企业安全区域市场总监王禄耀先生。

企业IT风险的变化

“在过去的几年里企业面临的安全风险日益严峻，从很大程度上来说，这是因为当今的网络犯罪与以往比发生了很大的变化。今天的攻击主要是由一些高智商人员发起，他们通过复杂的技术来攻击具有较高价值的特定目标。这已不再是之前的无差别攻击——当人们无意下载了带有木马的贺卡才会受到攻击。”在谈到当前IT风险的变化时，王禄耀这样谈到。

相对于这些安全风险的变化，今天的防御措施也需与以往不同。举例来说，防毒签名(anti-virus signature) 在今天的环境中不像原来一样奏效了。要么是攻击方式变化太快无法生成签名，要么就是攻击展开太慢无法检测。而且，即使签名可用，无边界网络的普及也意味着你几乎没阻碍去应用签名。

并且漏洞类型也不同了;先前被认为处于“内部”并享受保护的系统现在则处于无监控状态，暴露在攻击之下。特权用户对于这些系统具有访问权限，并游离在监控之外，致使访问权限的易主也无处检测。

上述内容可归结为以下三点：

企业面临比以往更高的风险;

曾经使用的安全战略和战术现已无法有效防御攻击;

因此企业需要从根本上改变，通过对企业IT环境中的人以及自动化活动和互动的高级关联来实现一种持续、一致的态势感知能力;而且，一旦发现潜在的恶意攻击，能够做出及时、有效的补救。

云计算、移动互联网对企业IT的影响

云和移动计算使计算“表面积”呈指数级增长，导致两个方向的影响：一是企业维持IT环境中态势感知的复杂性增加，从而使您无法保护您看不到的地方;二是网络罪犯有更多机会盗取用户数据和信息。

举个例子：以前，员工在单层IT平台上工作，即公司网络。现在，员工可以在多个平台上工作，例如传统的公司网络、内部/外部云域、以及非企业标准操作环境的私有移动设备。据3M委托进行的《2010年可视数据泄漏风险评估研究》报告指出，70%的公司仍然没有制定明确的政策约束员工在公共场所工作时使用不同设备连接网络。

随着用户跨平台的切换和移动行为的增加，倘若没有正确的工具，企业很难对其进行追踪。由于越来越多的人在这些新环境中工作和访问信息，现有漏洞危险的级别将增加，并且还将出现新的漏洞。网络罪犯正在设法利用这种新增的复杂性给企业制造麻烦。

针对IT风险的变化，企业IT安全管理也需要有相应的办法来应对，王禄耀建议说：当今，现代化的IT部门支持无边界企业，并且积极采用云计算、组合应用和移动设备。传统的补丁式(bolting-on) 安全技术方法已不再可行。无论数据和进程位于何处，企业需要可以主动识别并管理风险的解决方案。

对于IT人员的挑战，王禄耀表示，现在，首席信息官和IT人员能够监测到企业员工参与的各项活动和他们的客户进行的各种交易或在其网络上发生的各类安全事件。而他们所面临的真正挑战是通过将企业环境内的各种IT活动(网络/系统登录/退出、应用交易、电子邮件/互联网信息交换、文件传输等)关联起来(而非孤立看待)以获得更完整的全局掌握。

保护企业数据安全的最佳模型

近些年来，随着企业与供应商、客户和业务合作伙伴的联系日益紧密，网络边界逐渐消失，外部威胁和内部威胁的区别日渐模糊。与此同时，企业开始关注由内部系统以及防火墙之外的IT设备所产生的网络活动。僵尸网络、病毒、键盘记录器和其它恶意软件给企业运营带来越来越大的威胁。

王禄耀谈到，企业需要可以主动识别并管理风险的解决方案，无论数据和流程位于何处。跨技术层的安全信息需要被有效关联、分析和汇总，以提供一个基于风险的视图来协助决策制定。

随着时间的推移，大多数企业将实施各种安全单点解决方案，例如应对网络攻击的防火墙、防止结构化数据丢失的数据库加密和审计。尽管这些安全点解决方案可以极大地帮助企业保护其数据和IT环境的机密性、完整性和可用性，但是在这些不同的、非集成的单点解决方案之间依然存在许多安全漏洞。此外，这些传统的安全解决方案大多数与IT运营结合并不紧密，因此不支持IT环境中安全攻击和IT中断的无缝感知。

“企业需要考虑如何将这些非集成层结合起来，同时把其安全保护与IT运营连接起来以实现企业范围内的‘态势感知’。”王禄耀在描述企业数据安全的最佳模型时这样说。

这正是采用强大SIEM技术的SIRM (安全智能与风险管理)平台独特的用武之处，它能够实现跨层间安全集成并将安全性融入IT运营中。这是通过跨越各安全点解决方案层所覆盖的领域以及IT运营而做到的——通过监控和分析来自安全和非安全设备断面(cross section)的活动日志。

例如，当分析来自各种安全和运营工具的事件日志时，一项有效的SIEM工具应该能够检测以下内容：

a) 通过分析网络流量：检测异常繁忙的网络流量;

b) 通过分析电子邮件流量：检测单台计算机外发数百个异常不相关的电子邮件域的情况

c) 通过分析防火墙日志：检测外部连接至列入黑名单的IP地址的计算机

接着，SIEM工具应能够将这些不同事件作为一次可能的木马侵袭关联起来，并即刻做出防御反应以阻止计算机进一步连接至网络上其它节点，同时提醒网络或安全管理员立即展开调查。以层为中心的安全管理方法很难(如果仍可能做到的话)实现这种级别的态势感知并进行及时补救。

惠普ArcSight SIEM平台介绍

HP ArcSight SIEM平台旨在帮助企业了解哪些人正在访问其网络以及他们在浏览什么信息和用这些信息做什么。借助这种级别的可视性，ArcSight客户能够保护其业务并降低运营成本。如今，这些产品在世界范围内大量部署，广泛用于威胁防范和信息保护。

今天的企业往往针对各IT层来购买安全解决方案：针对电子邮件流量购买电子邮件安全解决方案，针对浏览器流量购买web安全解决方案等。我们坚信通过三个步骤能帮助我们的客户更好地保护其业务。

首先是将我们合作伙伴出售的不同安全层更好地连接起来。ArcSight可提供跨所有层的监控与可视性。其次，即使集成了安全层，它们与IT运营也并未自动连接。这样，当IT人员发现某个关键应用运行缓慢时，无从知道是由于负载过重、老化的硬盘，还是受僵尸网络攻击所致。通过将安全层与IT信息相连接，我们能够提供全面的视图。ArcSight在日志管理方面处于领先地位，而惠普在系统事件管理方面占据优势。因此，我们将对两者优势进行整合。

在将前两步连接起来之后，就可以开始分析数据并将其整合到业务流程级别，从而实现更好的风险管理。因此，借助ArcSight统一日志管理和关联功能，您就可以执行更高级别的业务风险分析，我们相信这也是客户所需要的。

最后，谈到惠普在应对企业IT风险管理未来发展时，王禄耀表示：“我们将进一步增强ArcSight解决方案组合以提供更高的效率和效用，帮助我们的客户在这个充满威胁且瞬息万变的IT环境中保持安全。同时，我们在ArcSight解决方案能力与惠普行业领先的技术和服务产品(从打印机和个人系统到高端企业服务器)的优势整合中看到了无限良机。”

目前，惠普是系统事件监控领域的领导者(即某应用运行如何，速度是否变慢、是否出现了问题)。通过将ArcSight日志管理与惠普系统事件管理相连接，我们能够提供一个更加全面的视图，以及更好的业务运营(包括业务风险)监控。

ArcSight将与HP OpenView，即业务服务管理(BSM)、自动化(BSA)产品相集成，同时也将继续作为一个独立领先的威胁与风险管理平台而存在。ArcSight可以从非常广泛的技术层面收集信息，扩展惠普系统管理可视性的范围。同时，通过在BSA和ArcSight之间发送信息，我们可为客户提供一个全面的整体运行视图，包括威胁和风险影响。考虑到日志和事件管理连接所带来的巨大价值，我们也希望将日志管理软件应用于系统管理产品。

除了IT运营管理之外，我们还将ArcSight从连接HP Fortify和HP TippingPoint开始连接至其它惠普安全产品——HP Fortify可提供应用漏洞信息，ArcSight在其关联规则中将使用这些信息。HP TippingPoint可提供网络入侵信息，在收购之前已与ArcSight相集成。