就在一年前，惠普的产品设计人员、市场行销人员以及生产工人还在同一个场所办工，楼上进行产品的研发，楼下进行产品的生产，行销人员在茶余饭后还同设计师进行交流，听取客户的反馈意见或是讨论面临的竞争挑战。

而今天，天涯若比邻，借助互联网，地球已成为一个名符其实的地球村。在惠普公司内，分散于世界各地的员工可通过网络进行自如的交流、处理各种复杂的业务。通过浏览器，惠普设计师可以随时对远在世界另一个角落的工厂设计的产品进行调整，物流专家也可以随时调整供应商订单，供应链主管可监控外包工厂的每一个生产细节。

当然，出现这种变化的不但是惠普一家，互联网使许多的大型企业提高了管理水平，改变了企业的传统经营模式，使企业的管理效率成倍提高。最近，业内一份研究报告称，过去美国大型零售商沃尔玛通过传统的零售渠道向供应商发货，而现在，沃尔玛要求所有的供货商使用电子通信方式管理和协调购物、供应链计划。再比如，美国能用汽车公司也改变的IT管理方法，要求世界各地的供应商通过互联网交流产品设计信息。

我国的大型企业也是紧随IT管理国际潮流，把网络视为一种有效的管理平台。收购IBM的PC部门，使联想实现了进军海外市场的夙愿，其PC市场一下子变得海阔天空，北京和纽约的业务运作就必须通过网络进行沟通。

都是外包惹的祸

如今，国际IT外包方兴未艾，低价外包倍受青睐。可以说，IT业务外包在众多大型跨国企事业中已蔚然成风，爱立信、诺基亚、宝洁和波音等世界500强都已加入了外包的行列。

比如，在供应链管理业务领域中，爱立信在2003年末同惠普签署全球外包合同，2004年3月，又把全部IT设施管理和全部付款业务外包给惠普服务部门。中国在国际化外包浪潮中还有一个比较明显的优势是，中国现在是经济最活跃的地区吸引了制造业及与之配套的软件业。

浪潮集团副总裁王兴山说，日本软件企业主要是嵌入式软件，是随着产品走的，而现在许多日本的手机、数码相机等企业都在中国设厂，这种情况也促使日本愿意把软件项目发外包中国。

但是，外包也是一把双刃剑。几乎所有的大型公司及其供货商都无一例外地面临着IT安全管理风险，比如，产品供应中断和延误，或是共享知识产权被盗，凡此种种，皆源于企业内外的IT整合。

随着外包的增加，随着网络联系的日益紧密，IT管理方面的安全问题也日益凸显，令业内忧心忡忡。企业在网络的活动，很有可能被黑客跟踪监视，甚至有些竞争对手可能会发动恶意攻击，以达到商业目的。

因此，这就需要这些跨国公司采取切实可行的措施，进一步加大投资力度以确保企业计算平台的安全。最近，《信息世界》杂志进行的一份调查显示，各大企业的CIO几乎异口同声称，IT管理并不安全。对于那些小型企业来说，信息安全问题就更为严峻，病毒和蠕虫的横行无度经常令他们猝不及防，倍受折磨。

现在，企业通常会把公司和个人数据信息放到笔记本、PDA和手机等产品中，这就为IT安全埋下了隐患。为了提高整体商务效率，各大企业都纷纷把生产、物流管理、财务统计、人力资源管理等整合在一个平台上。这样一来，他们就不可避免地造成了更多的安全漏洞。比如，一些传统的制造控制程序都是独立运行，企业很少考虑其安全性。如果把制造控制程序整合到其它操作系统中，势必会造成更多的网络漏洞。

同样，如果两个公司连接各自的网络以加速信息的自由流动，网络安全的不平衡必然会导致新的漏洞产生，公司之间的虚拟之门使对方可以自由出入。公司之间的整合能提高管理效率，但这种唇齿相依的网络也引发了新的风险。一旦公司业务外包，工作量以及相关的信息就会迅速地流入供应商的平台。大型企业如何确保敏感信息的安全，日益成为一个严峻的挑战。

IT安全管理是企业文化

那些认为依靠技术会解决安全问题的想法是不现实的，也是不可能的。即使是一些专门从事安全解决方案的公司也承认，单纯依靠技术是无法解决IT安全问题。最近，思科系统和鲁克斯数据战略中心(Tuck's Center for Digital Strategies)联合举办了一次IT安全研讨会。与会者一致认为，IT安全成为企业面临的首要问题，要实现成功的IT安全管理，就必须实施综合治理，从文化、教育以及有效风险管理等方面全面着手。

人们普遍认为，企业IT安全是IT部门的事情，其实这并不符合实际情况。过去，企业实施质量变革时，最先在质量管理方面取得突破的并不是产品质量控制部门。IT安全问题，和质量问题一样，企业上下人人有责、责无旁贷。当出现安全问题后，产品主管总是被动应付，等待着信息安全人员采取防范措施。

思科系统公司的CIO布莱德波士顿最近谈到，思科信息安全部门是如何从简单地处理安全问题向协助各部门主管制定安全决策转变的，"我们的职责就是确认存在的风险，评估风险变为威胁的可能性，然后做出应对措施。"实际上，IT安全责任存在于企业的各组织部门，董事会更是具有不可推卸的责任。如果董事会成员能知晓IT安全风险，他们就会主动地帮助企业其它成员认识有效IT管理的重要性，就会自觉地建立一种企业信息安全文化。

此外，在企业各级部门开展教育，对建立一种IT安全文化至为重要。如果企业出现了严重的IT安全管理问题，并造成了严重的后果，则安全问题就会在各级部门引起足够的重视。诚然，安全教育必须是有的放矢，目标明确、责任到人。简单地宣传一下安全隐患无助于改善企业整体安全水平。

有些企业安全主管轻描淡写地发布几次安全警告，喊几声"狼来了"。这种做法一开始会取得一些效果，但从长期来看，则收效甚微。作为企业的CIO，不应只停留在表现，虚张声势，而是要进行深入细致的沟通工作，晓之以理、动之以情，取得企业CXO们的信任和支持，让他们实实在在地明白商务活动中存在的IT安全风险。

对于企业的IT安全培训，全球信息安全组织(Global Information Protection)主管斯格特戴有自己独到的见解。他认为，"首先，我们要明白自己的定位和在企业中所扮演的角色，然后，要让各部门主管明白他们的角色定位，让他们明白IT安全管理对其商务决策的影响。久而久之，这就物化为企业的IT安全文化，当企业的每位员工都知道他们的责任，并懂得如何履行责任时，他们就会主动地寻找他们需要的东西，IT安全管理的漏洞自然就被杜绝。"

最后，要确保企业IT管理的安全，还需要对供应商和客户的需求进行认真研究，要不断地跟踪评估面临的安全风险。比如，要对企业的客户有意识地进行安全风险教育，引导他们形成良好的安全操作行为。对于许多金融企业来说，就是要想方设法强迫客户使用最新版本的浏览器，以保护个人和企业的安全利益。

防微杜渐，以小见大。有时，为了保护企业的IT安全，就必须和一些存在很大安全风险的公司断绝合作。Fidelity Management and Research机构的CIO吉姆麦克唐纳指出，"和具有创新精神的小型公司合作，有助于提高我们的竞争实力。但是，我们在合作中发现，这种公司在IT安全管理方面存在不少的漏洞。因此，处于我们IT安全的考虑，我们就有意放缓了合作的步伐。"

应有完整的安全策略

在今天的移动计算环境中，使用过时操作系统、存在很多安全漏洞和不安全密码的系统和设备使企业的系统环境存在很大风险，如果没有正确的预防性系统管理，这些处于风险中的计算设备会感染整个网络，这就要求企业有完整的安全策略。

在我国，一提起企业IT安全，我们最先想到的是防火墙、防病毒、入侵检测、数据加密等独立的安全产品。但是，IBM公司Tivoli大中华区软件部北方区经理林鸿昱就明确地指出，IT安全不止这些，授权、认证与管理比单个安全软件产品更重要，IT安全应该有完整的策略。

据IBM Tivoli销售经理刘咏梅介绍，中国企业用户的IT管理安全意识越来越强。三年前，用户的态度是"安全很重要，但暂时不考虑"，后来转为"安全很重要，但不知道怎么做"。现在，很多用户都在主动寻求有效的、适合企业的整体安全解决方案。

在复杂的网络安全环境中，多数网络厂商都在各自的产品中加入了安全策略，或是直接与安全厂商合作。在2004年初，Juniper就曾收购了安全厂商Netscreen，把网络与信息安全结合起来；12月，北电网络和赛门铁克宣布建立战略合作关系，提供从网络核心到桌面威胁等全方位的安全解决方案。

IBM和思科公司也在2004年2月成立了全球安全联盟，携手推出了安全自动化解决方案，将IBM Tivoli软件和思科网络准入技术进行了集成，把网络和企业安全紧密融为一体。

IBM软件部Tivoli大中华区总经理孙志伟表示："IBM和思科正在合作解决企业内部一个普遍存在的问题，即由于整合多种不同安全产品和服务而引发的安全保护低效和无效的问题。

企业和政府部门都认识到，他们需要一种更有效的方式，以保护他们的业务免受越来越严重的外部黑客威胁、抵抗破坏性强的病毒和蠕虫，并控制及管理员工、客户及业务合作伙伴对内部数据和应用的访问。"

对供应商的IT安全风险进行评估至关重要，其重要性不亚于对其财务风险的评估。通用汽车公司的供应链主管马克希尔曼称，"如果企业有大量的外包任务，则需要对所有人存在的所有风险进行评估。以确保每个供应商在接入你的内部网络时不会导致网络出现安全问题，或是能够有效地保护共享知识产权的安全。总之，在新的形势下，企业IT安全不可能一劳永逸。"