IBM安全的雄心和精心

第一次对IBM的安全引起注意，应该是2014年，当时看到新闻，Gartner全球安全软件排名中IBM上升至第三位，这让自诩为还算了解安全市场的我有点吃惊。之后，Gartner发布的2014年和2015年《Gartner 魔力象限——安全信息与事件管理》报告，均将IBM安全系统定义为“领导者”——没有之一。对于这个2012年才成立的部门，我一直希望能有机会深入了解。2016年1月，记者和IBM大中华区信息安全技术总监张红卫女士畅聊了两个小时，算是对IBM安全体系及IBM安全人有了一个直观的了解。

第一印象：逻辑超强的技术“女汉子”

了解企业先看人，已经成为我的习惯。虽然对IBM这种顶级企业来说，每个人都不可能不专业，但即便如此，仔细分辨和感觉，其实还是能从每个人的精气神上感受到对方对公司和业务的积累、投入和热情上的细微差别。

张红卫给我的第一印象，就是自信。她不是那种精明在外的女士形象，风格稳重、逻辑清晰，谈吐谨慎而不失坦诚——从记者的角度，其实有种不太好“对付”的感觉。

[[162654]]

而一聊起来，张红卫对技术和应用领域的熟悉和专业顿时显露无遗。由于交流的内容牵涉到技术架构细节，她随手拿起白板笔，寥寥几笔就将整体架构画了出来。我注意到，在长达近两个小时的交流中，至少2/3的时间我们用到这个架构，但张红卫的讲解一直在最开始的架构图中进行标注，完全用不着板擦来擦除任何一个字——这就是个逻辑性超强的技术“女汉子”！而她对用户情况和行业的熟识，以及对IBM安全理念的简练总结，让我不禁对IBM安全人有了一个更高的评价。

雄心能否实现？完整和庞大的集成化企业安全体系

交流之初，我就向张红卫提出一个我近来对每个安全企业都会问到的问题：传统的企业边界防御的理念和体系早已落伍，“整体安全”概念成为共识，但新的防护体系和机制尚不清晰。IBM对目前企业的安全防护体系和安全管理模式，是如何看待的？

听到张红卫做出“框架防御”的回答，我并没有感到意外。其实早在几年前，IBM就提出了“企业信息安全框架”的概念，试图搭建一个集成、标准的企业信息安全整体架构。但从白皮书中，我无法看出这个方案的思路和其他企业有何本质区别。

张红卫继续解释，IBM期望建立的是一个以安全智能为核心，结合人员、数据、应用、基础设施、智能和防欺诈在内的六层联动体系。为了便于理解，她画了这样一张图：

IBM安全框架逻辑图

张红卫解释说，IBM的安全体系包括了防御、侦测、响应三个步骤。根据企业各类设备的日志、数据流和数据包，IBM运用大数据技术进行多级分析，从而对威胁和攻击进行判断，然后将安全策略推送到相关的设备中去。同时，通过自学习功能，这套体系将实现策略的升级，从而实现整体安全体系的免疫力提升。

以大家现在最关心的数据安全为例，张红卫解释说，IBM安全体系可以完整地实现四个环节的功能：第一是发现，查找到核心的数据在哪里、以什么形式存放；第二是发现安全弱点并进行加固；第三是发现威胁和攻击后，实现及时告警及阻断；第四是进行事后审计和报告。

我表示认同和理解。这是一个相当完整和庞大的集成计划，如果真的能达到这样的设计目标，企业的确是可以形成一套看起来完整和规范的安全体系的。但这里有个问题：企业的IT架构设备多种多样，IBM能“听懂”其他企业设备的语言吗？那些设备能按照IBM的策略行动吗？

张红卫直接回答了前一个问题，那就是目前IBM的QRadar产品已经可以自动识别100多种文件格式，其他不能识别的文件格式，IBM也已经开发出专门的工具进行接口。从实践情况看，IBM“读懂”其他设备的问题已经基本解决。

但对后一个问题，张红卫解释说，他们正在推动威胁情报的共享和自定义应用程序开放平台计划。IBM已经将自己X-force研究团队的安全威胁数据库公开，目前全球有2000多个组织参与这个共享威胁情报的计划，大家可以通过开放Api接口实时了解攻击情况。在应用程序开放方面，去年圣诞节前IBM发布了“APP Exchange” (应用程序交换共享平台)和“Ready for SI” 合作伙计划, 到今年一月份,已有40 伙伴注册加入此计划,包括Palo Alto、趋势科技、 BlueCoat、 Crowdstrike等，有27个经过认证的应用发布在应用程序交换共享平台，可以实现与IBM管理策略的联动。

显然，张红卫的数字并没有打消我的疑虑，毕竟大家都有自己的现实利益。至少短期看来，IBM想赢得市场主流和大多数企业的认可或者加盟还有不小的难度，可谓前途漫漫。

稳步推进：IBM的中国市场策略

过去两年来，从国家到各个行业、企业，对网络安全的重视程度都在提高。在这种背景下，外企在中国如何推进安全业务成了一个焦点话题。IBM如何看待现在的形势、计划用什么样的方式推进中国市场，是我非常关心的话题。

张红卫介绍说，目前她接触的行业客户看来，大家关注的依然是从业务角度出发，研究和探讨最适合自身企业的安全保障方案，关注技术架构和人员。

我问张红卫，IBM安全针对中国市场有何具体策略？张红卫解释说，IBM安全其实是一个全面的服务平台，包括了全套的安全交付服务，也包括威胁情报研究，以及顾问咨询服务。IBM在全球建立了超过10个安全运维中心，服务着近4000个大型客户，每天应对超过150亿个安全事件，仅金融欺诈方面就在为2亿多客户服务。所有这些让IBM拥有了足够多的安全数据,x-force有了近20年的安全经验积累。IBM正在规划与国内的合作伙伴一起，将这些经验和服务模式拓展到中国来，为中国的企业提供相应的支持。

无论是IBM还是安全市场未来的领先者，IBM安全未来的走势势必吸引大家的目光。我从张红卫的眼中看到她的信心。