管好家底

　　自演一把黑客，用黑客的方法检视自己的网络为企业提供了一个不一样的角度，但企业要梳理清楚自己的全部IT资产并不是举手之劳。由于企业的IT建设都是循序渐进的，桌面电脑、服务器、存储、路由器、交换机????硬件上林林总总，软件方面，各种操作系统、数据库、应用软件，纷繁芜杂。这些都成为病毒攻击的目标。

　　2006年1月，《信息周刊》研究部发布了《2005年中美信息安全调查白皮书》，研究结果表明：“操作系统和应用软件的漏洞，经常成为安全攻击的入口。”在遭到安全攻击的中国企业中，接近四分之三的企业都表示：攻击来自于已知的操作系统漏洞；五分之二的企业表示：攻击来自于未知的操作系统漏洞；接近三分之一的企业表示：攻击来自于已知的应用软件漏洞；而五分之一的企业则表示：攻击来自于未知的应用软件漏洞；还有四分之一的企业则承认：在过去的1年中，不适当的接入控制导致了安全攻击。（见左图）

　　库尔茨认为：“第二步就是如何把企业所有的IT资产管理起来。不仅在企业里IT设施需要管理，员工携带的笔记本电脑同样也需要管理。”

　　良好有效的资产管理对于消除死角、减少漏洞意义重大。由世界500强企业英国标准人寿保险公司和天津泰达投资控股有限公司共同创立的恒安标准人寿保险有限公司(下称“恒安标准人寿公司”)的资产管理就是一个典型案例。恒安标准人寿公司的内部网络连接了150多台桌面电脑、笔记本电脑，20台服务器和20多台网络设备，这些电脑和设备安装的应用软件五花八门，要把这些资产清查一遍不是件容易的事情，但不查往往就会漏洞百出。恒安标准人寿公司信息技术总经理林新观说：“公司内部的人员会调动，资产自然也会流动，如果完全靠人力来进行资产管理比较困难，有时候甚至无法进行下去，必须采用一个系统管理软件，能够完全自动化地对资产进行动态管理。”通过与国际商业机器公司（IBM）的合作，恒安标准人寿公司基于IBM公司的Tivoli软件构建了一套资产管理系统。

　　现在，在恒安标准人寿公司的Tivoli系统上，管理员可以通过图形化的界面看到每个终端的软件安装情况。如果有不允许安装的非法软件，系统会发电子邮件提出警告，如果员工不按警告提示尽快删除非法软件，就会有专门的管理人员去跟他交涉。原来恒安标准人寿公司进行资产更新检查，需要花费一个礼拜甚至半个月的时间，而且需要一个行政人员、一个财务人员和一个IT支持人员共同参与。部署Tivoli系统之后，每台设备的具体配置都由Tivoli软件自动扫描管理，每当设备配置更新，Tivoli软件能够自动检测、自动更新。如要查看IT资产状况，只需要由Tivoli管理系统按照需求生成一张报表即可，整个过程不到1小时。该公司通过有效的管理，做到对公司所有的IT资产的状况一目了然，大大降低了人为原因造成漏洞和安全隐患的可能性。