编者按：安全管理是最近几年人们谈论较多的话题，然而，安全管理应该包含哪些内容？在实际中应该如何应用？这些都是一直让CSO们困惑的话题。在本组的两篇文章中，相关人士分别从概念和应用的角度对这些问题进 行相应的解答。

虽然还只是一个新兴领域，但一些企业正逐渐把安全管理作为信息安全的重要组成部分。

CA公司资深副总裁兼首席安全战略师 Ron Moritz

近日，CA公司资深副总裁兼首席安全战略师Ron Moritz（以下简称Ron）先生来到中国，记者借此就安全管理的问题与他进行了交流。Ron是国际著名的信息安全管理顾问。

记者：最近，信息安全管理技术和产品在全球不断升温，请您谈一下信息安全管理究竟是什么？我们为什么需要安全管理？

Ron：要了解这个问题，首先我们应该了解信息安全技术和产品经历了哪几个发展阶段？

我认为，安全经历了四个发展阶段。第一个阶段是物理安全，比如说门禁系统；第二个阶段是防御阶段，它是一种被动的体系，比如网络中出现了病毒，我们必须被动地应对已出现的问题，目前大部分公司都是属于这一阶段；第三个阶段，是一种比较有意思的趋势，是把安全作为投资而不是作为成本，安全是一种业务的推动因素而不是一个障碍，比如安全就是开展网上银行业务的一个重要推动因素。即使是CA这样一个全球性的公司，也在利用安全作为我们的业务推动因素。

第四代安全是目前大部分企业都还没有到达的阶段，就是设立IT风险官职位，就像金融行业的信贷风险官一样，他能够完全了解各种IT服务的风险是多少。这就需要IT管理技术来支撑，所以说安全管理是一个风险管理的过程。

这完全是一个新兴的领域，全球大部分企业正在思考，而中国的许多企业还属于第二代安全阶段，但从第二代向第三代过渡将非常快。因此，企业正逐渐转移到把安全管理作为重要的组成部分。

记者：那么，安全管理技术和产品究竟应该包含哪些具体内容？

Ron：可以这样形象地比喻，安全建设的过程是个盖房子的过程，可以分成打地基、主体框架和房顶等部分。基础的打地基部分就是通常所说的防御，它包括通常的反病毒、入侵检测、防火墙等防范技术，它会防止别人获取我们的信息；但到了第二个层次，我们则要打开门，让合适的人去使用合适的信息，这是真正对业务具有推动的安全，是具有投资回报率的安全，是一种业务的推动因素；第三个层次就是房顶——实际是安全管理部分，它可以被比作一个透明的房顶，可以看到各个安全部分的运转是否是有效？它的风险性如何等？

CA的完整的安全管理方案包括三个部分：威胁管理、身份和访问管理以及安全知识管理。

其中，CA的威胁管理就是IDC所定义的安全内容管理——SCM的概念，目前市场上存在的大量信息安全产品，都是威胁管理方面的产品；身份和访问管理也就是IAM部分，它包括目录、目录的虚拟化、用户身份的管理、用户资源配置的管理、所有用户的关联、信任的管理等；安全知识的管理包括安全漏洞管理、网络漏洞管理、安全策略管理等。

记者：我们知道，网络管理市场已经非常成熟，那么，它与安全管理有何不同？

Ron: 网络管理市场是一个成熟的市场，它是一个寡头垄断的市场，供应商的数量并不多; 但是安全管理的市场是一个新兴的市场，它仍然是一个产品技术型的市场，由几百家公司提供的几千种产品组成。

目前安全管理市场情况，就像10~15年之前的网络管理市场，当时有很多技术和产品，但通过融合和累加，最终形成少数几类产品寡头垄断的局面。安全管理市场也将重复同样的演进过程。我们看到目前市场上有不同的单个安全技术和产品，比如分成设备管理、安全信息管理、身份和访问管理等，但最终，这些功能会集成在一起。

通过采访，记者发现，虽然安全管理的概念和方法已经出现，主流厂商也在大力宣传和推进安全管理的技术和产品，但在中国的实际应用，就连移动这样信息化程度比较高的领域，目前也仅仅到达相对较低的设备管理的层次。也许，概念与技术之间还存在较大的鸿沟，要实现专家所述的安全管理，未来还有很长的路要走。