程艷鈴

賽門鐵克“主動性安全服務”的理念為田成近10年在安全服務領(lǐng)域的沉淀提供了更大的發(fā)揮空間

田成曾經(jīng)跟朋友笑談，從2002年到2003年以加拿大安全顧問的身份回來幫助IBM中國完成幾個安全項目的前期工作，到2003年10月出任IBM中國安全服務經(jīng)理之后，他在中國的行程累計起來相當于“孫悟空的一個筋斗”。2004年底，“第二個筋斗”的行程還在進行中，只是田成的身份已由IBM中國區(qū)服務經(jīng)理變成了賽門鐵克中國首席安全顧問。

這種改變是賽門鐵克開始新安全服務策略時選擇的結(jié)果，而促成這種結(jié)果的一個重要因素緣于理念上的契合。賽門鐵克“主動性安全服務”的理念為田成近10年于安全服務領(lǐng)域的沉淀提供了更大的發(fā)揮空間。但對于田成來講，“主動”這個詞的意義不僅止于職業(yè)舞臺的變換，更重要的是“主動”之下人生的改變。

“主動”開啟不同人生

主動意味著早先一步，更意味著與眾不同。

1985年，畢業(yè)于首都師范大學的田成，以優(yōu)異的成績和良好的表現(xiàn)成為當時留校任教的幸運兒之一。在一個熟悉的環(huán)境里發(fā)揮其所長，田成當時的表現(xiàn)是游刃有余。教書育人的經(jīng)歷為田成之后在職業(yè)生涯中一直的嚴謹和善于探索奠定了良好的基礎(chǔ)。但這個對于許多人來講應該可以是一生的職業(yè)，在田成這里卻沒有延續(xù)太長的時間。上世紀80年代末90年代初，一些國際企業(yè)陸續(xù)進入中國開辟新的市場，這也為田成開啟不同的人生提供了機會。

在那個時間段，田成在選擇之前沒有太多的參照版本，促成這種主動選擇的主要原因不僅僅是不同的職業(yè)體驗，而是更廣闊的人生空間。走出自己學習、工作了數(shù)10年的象牙塔進入一個全新的環(huán)境，田成的自信與好學給自己的首個職業(yè)轉(zhuǎn)折作了一個很好的交待。而于更大舞臺上發(fā)揮，對于田成之后職業(yè)生涯的意義不止是經(jīng)驗上的積累，視野的開闊使個這經(jīng)歷成為他之后走得更遠的起點。

1998年于加拿大讀完MBA的田成進入IBM，在參與構(gòu)建IBM信息安全顧問咨詢部的同時開始了構(gòu)建自己信息安全人生的第一步。田成最初的工作主要以技術(shù)為主，讀MBA時所學的應用信息管理專業(yè)加上一年多的技術(shù)實踐，使得田成對信息安全顧問有了足夠的靈感。之后，田成工作的重點由技術(shù)轉(zhuǎn)向安全架構(gòu)和項目管理。在這個過程中，田成參與主持了加拿大幾大銀行的信息安全架構(gòu)設(shè)計，這在當時的信息安全領(lǐng)域是極為先進的。

這些實踐不僅為田成積累了豐富的經(jīng)驗，也為田成之后回國引導中國客戶以理性的態(tài)度實現(xiàn)信息安全提供了諸多可借鑒的版本。能２１世紀初，北美的客戶對于信息安全已經(jīng)有了相當成熟的認識，企業(yè)在計劃上一個安全項目時非常注重安全目標，有什么樣的需求，最終要達到什么樣的效果，最后要達到的安全運營水平，都有一個合理的期望值和規(guī)劃。而且，這些企業(yè)都非常重視信息安全建設(shè)的過程，田成很大一部分時間是與這些客戶討論從一個目標的提出和實現(xiàn)的過程細節(jié)，告訴客戶哪些過程是信息安全服務商可以幫助企業(yè)實現(xiàn)的，哪些過程是需要企業(yè)自身完成和注意的，在這個過程中服務商將通過哪些手段從技術(shù)、管理、人的角度幫助企業(yè)實現(xiàn)安全目標。由于這個客戶愿意了解這個過程，并積極地參與這個過程，所以，他們就有了與服務商一起承擔風險的心理準備。這種平和理智的心態(tài)，使得企業(yè)在之后信息安全設(shè)計和建設(shè)的過程中，愿意積極主動地參與進去，很好地配合服務商完成相應的工作，并能及時地接納顧問的建議進行安全管理制度的建設(shè)和完善。而項目的最終成功也在這些前提之下成為水到渠成的事情。

2002年，田成應邀回國，參與IBM中國幾個大項目的前期工作，在與中國客戶接觸的過程中，田成最大的感受是中國的企業(yè)用戶對于安全的認識還不是非常的充分，也沒有認識到安全對于企業(yè)的重要性，因此，領(lǐng)導的支持力度相當?shù)?。這個前提之下，企業(yè)的期望值往往高于實現(xiàn)的可能性。為了能讓客戶認識到安全的價值，并能以相對成熟的心態(tài)理解并接受一個合理的方案，田成在項目的前期更多的是扮演了一個布道者的角色。從安全的理念到安全架構(gòu)可實現(xiàn)的功能，直至企業(yè)應該在項目中的作為，真正實現(xiàn)安全架構(gòu)的功能企業(yè)應該輔以的管理機制和管理手段，一次次地溝通之后，田成最大的成就感不是推薦了一個產(chǎn)品而是推廣了一個理念。隨著安全服務成為IBM中國的一個重要內(nèi)容，2003年10月，田成回國就任IBM中國安全服務經(jīng)理。決定回國的主要原因，是當時北美的信息安全已經(jīng)比較成熟，真正全面的考慮一個系統(tǒng)架構(gòu)的機會相對很少，更多的是完善的工作。但在其時的中國，企業(yè)還在重新建設(shè)自己的安全體系。在任IBM中國服務經(jīng)理的一年中，田成接觸了很多的客戶，跟客戶溝通，將客戶的想法與自己數(shù)年積累的經(jīng)驗相結(jié)合，提出合理的建議。也是在這個過程中，市場上的狹路相逢和對競爭對手的關(guān)注，讓田成與賽門鐵克有了多次接觸和深入的了解。也為之后的結(jié)緣作了良好的鋪墊。但時至今日，田成依然經(jīng)常強調(diào)IBM是一個非常好的公司，對于自身的積累和幫助無可替代，選擇賽門鐵克，除了其良好的發(fā)展前景，更重要的是田成希望在一個專一的平臺上更專注地延續(xù)自己的信息安全之旅。

2004年底，在IBM中國工作一年后的田成正式進入賽門鐵克，隨之，賽門鐵克中國安全服務部門在其主持下以獨立的面目出現(xiàn)，成為賽門鐵克實現(xiàn)其“主動性安全服務”理念更為專注的平臺。

“對于一個安全顧問來講，最重要的一點是要善于發(fā)現(xiàn)用戶的需求，并能深入到企業(yè)內(nèi)部幫助企業(yè)發(fā)現(xiàn)問題并解決問題”，這個看似通用版的認識，在田成這里卻有著不同的內(nèi)容。7年的安全顧問生涯，在田成的記憶里幾乎沒有哪一個環(huán)節(jié)被定義為挫折。這并非僅僅是田成一直的自信使然，積極主動的心態(tài)使得田成在傾情演繹安全顧問這個角色的過程中，將諸多的壓力和問題于溝通中化解于無形。在任IBM中國服務經(jīng)理期間，田成曾經(jīng)做過一家金融機構(gòu)的安全項目，由于業(yè)務接觸的范圍不同，各個部門對于安全問題的認識不同。這種認識上的分歧，給企業(yè)選擇合理的安全模式帶來了相當大的障礙。在深入了解客戶的業(yè)務流程和問題之后，田成和同事們已經(jīng)為這家客戶設(shè)計出了合理的安全架構(gòu)。但如果按照理想的模式來操作，客戶接受的程度就會相當?shù)?。當時，田成遇到的最大問題就是怎么讓客戶接受他們提出的方案，并認識到這個方案的可行性以及在企業(yè)中的適用性。在這個當口，田成給同事們的建議就是深入到企業(yè)的各個部門當中，詳細闡釋這個安全架構(gòu)的性能，并與各個部門的職能相結(jié)合，與各部門期望值為基提出這個架構(gòu)可以實現(xiàn)的安全功能。這種操作的結(jié)果是客戶在了解了這個架構(gòu)的設(shè)想和功能之后自然而然地接受了這個方案。

“安全顧問是一個獨立的職業(yè)，他應該做的是為企業(yè)提出合理適用的安全建議和方案，賽門鐵克的安全服務部門也是中立和獨立的”。對于賽門鐵克安全服務部門中立性的質(zhì)疑，田成的說法很簡單，“顧問生存的基礎(chǔ)就是他的獨立性和中立性。沒有這個基礎(chǔ)，做顧問咨詢是非常困難的。作為賽門鐵克的安全服務部門，我們在做安全設(shè)計，實施時，不會去刻意建議自己的產(chǎn)品，當然是合適的我們也會用自己的產(chǎn)品包括第三方的產(chǎn)品，來幫助客戶做一些安全工作。從服務的體系，方法和規(guī)矩來講，我們是絕對中立的?！?/p>

“主動”成就企業(yè)安全

事實上，早在賽門鐵克信息安全服務部門成立之前，賽門鐵克所倡導并幫助企業(yè)實現(xiàn)的“主動性信息安全”已在中國實踐了數(shù)年，在實踐的過程中，這個理念日漸成熟。而將實踐的積累轉(zhuǎn)化為新的服務策略，并使更多的企業(yè)用戶從中受益是賽門鐵克成立信息安全服務部門的初衷。作為賽門鐵克中國區(qū)信息安全服務部門的領(lǐng)頭人，田成7年的經(jīng)驗成為這種初衷最大限度實現(xiàn)的有力支撐。

“主動性信息安全”理念最為核心的一點就是在預警、保護、管理、響應全方面的主動安全理念和安全技術(shù)手段。及早、及時是企業(yè)常掛在嘴邊的安全口號，但在真正的實踐過程中，許多問題仍是出在這個環(huán)節(jié)。在田成的諸多演講中常提到一個例子，就是國內(nèi)一家企業(yè)每次發(fā)生大規(guī)模病毒或者惡意代碼侵襲的時候，很多人包括一些網(wǎng)絡(luò)處的領(lǐng)導都要花很大的精力去面對和解決出現(xiàn)的問題。實際上，這些單位投入了相當大的人力和物力在安全建設(shè)方面，但缺乏一個有效機制和辦法把可能出現(xiàn)的安全隱患及時發(fā)現(xiàn)，從而及時處理。另外就是缺乏衡量信息資產(chǎn)價值和風險的科學方法和機制。安全體系的目的就是保護信息資產(chǎn)，如果零價值的信息資產(chǎn)，就沒有必要去保護，如果不知道信息資產(chǎn)的價值和面臨的風險，就無從下手去保護這些資產(chǎn)。而知道信息資產(chǎn)的價值和面臨的風險，但缺乏有效手段及早發(fā)現(xiàn)可能出現(xiàn)的安全隱患，就有可能在問題出現(xiàn)的時候難于應對。解決這個問題的根本是建立主動的信息安全體系而不是被動的安全防御措施。

在賽門鐵克主動性安全風險管理的模型中，很多內(nèi)容都是為大家所熟悉的安全技術(shù)和安全管理手段。但其所強調(diào)的是一個主動性的機制和主動性的安全管理理念。在業(yè)界有一個共識，就是從預警角度提高安全防護的主動性，事實上除了預警之外，在安全保護、安全管理、安全響應方面都能體現(xiàn)出主動性安全機制的內(nèi)容。在安全管理中起決定性作用的是企業(yè)領(lǐng)導的觀念，在還沒有預料到問題要發(fā)生的時候開展安全工作，這就是“主動性信息安全”中所定義的主動性安全管理。另外，安全響應也需要有主動性安全的基礎(chǔ)，否則安全響應將難以有效地應對出現(xiàn)的問題。

對于企業(yè)來講，主動性安全體系有幾個重要因素，就是及時性、準確性和針對性。在賽門鐵克主動性安全體系中，以全球安全威脅神經(jīng)中樞系統(tǒng)、DeepSight安全預警系統(tǒng)、網(wǎng)絡(luò)與系統(tǒng)安全風險評估工具實現(xiàn)了企業(yè)安全風險管理周期中的安全威脅信息收集與分析、安全威脅分級與預警、安全現(xiàn)狀與風險評估；以安全管理體系、技術(shù)設(shè)計和實施、事件管理工具和7x24響應支持完成了安全措施選擇、設(shè)計和實施以及安全事件的管理、響應和恢復。

接觸中國的諸多客戶并與之進行的深入交流，使得田成對中國企業(yè)目前于信息安全領(lǐng)域存在的問題有著深刻的感觸。以主動防御代替被動應付、加強對過程的重視、提高安全技術(shù)管理水平、選擇和制定適合企業(yè)的安全標準、改善用戶管理的問題、提高安全組織的作用和安全意識，這些方面是田成認為企業(yè)在建設(shè)主動性信息安全體系的過程應當優(yōu)先解決的問題。

“從安全需求、安全目標建設(shè)到安全運營，實際上在這個過程里面有很多的工作要做，成就企業(yè)安全最主要的一點，就是安全建設(shè)和安全目標都可以看到，但最應該花費精力、堅持不懈的是一起走這個過程，從最開始到最后，大家攜手同心地把這個過程逐漸走完”。這個在不同場合響起過的呼吁，是田成將自己數(shù)年經(jīng)歷沉淀與“主動性信息安全服務”結(jié)合之后的心得，而真正引導企業(yè)將這種理念付諸實踐，賽門鐵克是田成另外一個起點。