摘要：信息安全，信息风险，信息保护等都统称为信息风险。信息风险从何而来？应该从安全的角度来理解。肯定地讲，今天你的系统存在风险，那就是你今天的损失。然而，风险管理实际上是一个非常大的课题，即便是把它局限到信息，或者IT风险的管理，依然包含很多的内容。 。

　　浮云表面不落地，IT治理成数据信息风险隐患
　　
　　中国存储峰会作为存储领域专业论坛，自举办以来，致力于为众多厂商提供专业洞察。在12月8日的2010年中国存储峰会上，世界银行首席信息安全官JamesC.Nelms先生、赛门铁克公司中国区售前技术部总监李刚先生、Gartner公司大中华区首席存储分析师张瑾先生，与在场嘉宾共同探讨了如何防范信息风险，构筑坚实的信息。
　　
　　信息安全，信息风险，信息保护等都统称为信息风险。信息风险从何而来？应该从安全的角度来理解。肯定地讲，今天你的系统存在风险，那就是你今天的损失。然而，风险管理实际上是一个非常大的课题，即便是把它局限到信息，或者IT风险的管理，依然包含很多的内容。
　　
　　维基泄密，相信大家都耳熟能详。这种针对一个国家的泄密，从企业的角度来说，怎样去规避这样的问题发生呢？
　　
　　世界银行首席信息安全官JamesC.Nelms先生表示，任何情况下的泄密要么是技术性的问题，要么是人为的问题。在这个案例上来看，他是否可以避免，几乎没有办法排出人为因素。但是，从技术角度来看，我们可以用不同的技术来很大程度上保护数据，减少风险。比如数据在哪里，存储怎么样使用，这样就可以来确保怎么样由公司来提取这个数据。
　　
　　当然，现阶段的数据都是移动的，所以我们必须要非常关注保护数据本身。有很多技术来保护数据都是内嵌到网络，从操作系统，应用等等层面来的。但是，在移动数据的社会当中，为了减少这种泄露的情况，我们必须要保护数据本身。所以说，无论他是用加密技术也好，还是用其他的技术也好，只要人们在使用数据的话，就不可能避免，但是我们可以尽量降低这种风险。
　　
　　像维基泄密这种认为信息风险，透过很多技术方法来是可以降低的。但是信息风险大概包括那些方面，赛门铁克公司中国区售前技术部总监李刚先生谈了一些具体的表现形式。因为具体的风险表现形式多种多样，所以他针对中国的IT环境对信息风险做了简单的归类。他指出两个比较大的方面，第一，就是技术层面。就是说，中国的IT企业现在最大的一个风险，是IT的复杂性，IT复杂性在没有受到管理，快速膨胀。这个复杂程度越大，带来的各种各样的信息风险就会比较严重，很多的风险表现形式最终可以归纳到这一类。
　　
　　第二，中国IT治理，中国的企业IT治理比较缺乏。这个表现在两个方面，一个方面来说IT治理表现在根本就没有IT治理，或者很弱，这一般体现在一些中小企业。另一个来说的话，表现的比较严重的地方就是在一些大型企业，我们看到所谓IT技术比较成熟，应用比较成熟的企业里面，IT治理我用一句话“浮云表面不落地”，在很多企业我们可以看到很好的IT管理流程，制度，规章等等。但是，绝大多数都是以文件的形式存放，以贴在墙上的方式存放。是不是真的可以执行下去，这是一个很大的问号。
　　
　　那么，这里面贯彻执行的力度，跟中国以外其他的市场用户不太一样，可能贯彻执行力度不一定要有赖于技术。但是，在中国我们身有体会，一定要有技术手段来保障才能够真正的使他落地。
　　
　　Gartner公司大中华区首席存储分析师张瑾先生也表示，中国的IT的风险管理，实际上都非常不均衡。如果看关键行业，比如说大银行，以及各大电信运营商，他们实际上现在所做到IT管理水平跟全球的最高水平并没有太高差距，甚至有时候某些地方都比较领先，但是他只代表一部分IT用户，我们看到很多IT用户对IT是没有什么具体管理，尤其是风险管理方面实际上是非常薄弱的。所以，我觉得现在最明显的就是这种不一致性。既有最先进，最好的管理方式，同时也有最落后原来基于人因素，没有任何自动化，智能化的方式。所以，这种不一致产生很多问题，并不意味着电信运营商的解决方案就能够全都复制出来。大家所保护的东西不一样，大家所面临的业务风险是不一样的，我觉得这个市场还有很多发展潜力，以及发展的更多多样性。
　　
　　责任编辑：kelly