新浪財經(jīng)訊 11月19日，由中國民航總局人事科教司主辦、《中國民航報》和民航華東地區(qū)管理局等承辦、IBM公司協(xié)辦的第五屆民航信息化發(fā)展論壇將在上海隆重舉行。新浪財經(jīng)進行了視頻直播。

　　以下為部分會議實錄。

　　主持人：

　　各位來賓朋友們，大家上午好。下面請中國民用航空學院副校長徐肖豪先生演講，他的題目是《努力培養(yǎng)高水平信息技術(shù)隊伍，提高民航信息化自主創(chuàng)新能力》，大家歡迎。

　　徐肖豪：

　　尊敬的各位領(lǐng)導(dǎo)，各位專家，女士們、先生們，大家上午好。我非常高興參加第五屆民航信息化發(fā)展論壇，首先請容許我代表中國民航學院對第五屆民航信息化發(fā)展論壇的召開表示熱烈的祝賀。中國民用航空學院作為一所綜合性的行業(yè)院校，多年來在各級領(lǐng)導(dǎo)的指導(dǎo)支持下，在學科建設(shè)、科學研究、人才培養(yǎng)和信息化建設(shè)方面都有了長足的進步，學校數(shù)字校園工程取得階段性成果。今天民航各界領(lǐng)導(dǎo)及專家，IT企業(yè)的人士和精英，以及關(guān)心支持民航信息化發(fā)展的各位朋友，在這里共商民航信息化發(fā)展大計。我就民航院校的工作談幾點看法。

　　我從三個方面進行介紹，高等院校與民航信息化建設(shè)。在2002年民航工作會議上，民航總局楊局長明確提出，在本世紀頭20年，實現(xiàn)我國從民航大國到民航強國歷史性發(fā)展目標。提出民航運行和管理的信息化，確定了民航信息化建設(shè)的總體要求和目標。民航信息化是一項龐大的系統(tǒng)工程，需要把計算機軟硬兼技術(shù)、通訊傳輸技術(shù)、行業(yè)運用與管理有機結(jié)合起來。需要一大批掌握現(xiàn)代計算機和信息科學技術(shù)，了解和精通民航業(yè)務(wù)的復(fù)合性人才支持。高等院校是培養(yǎng)人才生產(chǎn)和傳輸新知識、新思想的重要基地，在國家創(chuàng)新體系中具有十分重要的地位。高校聚集大批博士和教授，擁有豐富的青年人才資源和高水平的專家。高校也適合發(fā)展具有目標導(dǎo)向的應(yīng)用基礎(chǔ)研究。服務(wù)社會是高校三大目標之一，在當今的知識經(jīng)濟社會，高校通過人才的培養(yǎng)，知識的創(chuàng)造與運用，為社會科技和社會發(fā)展提供強大的支持和保證。高校與產(chǎn)業(yè)的聯(lián)系越來越密切，與產(chǎn)業(yè)界聯(lián)合進行人才朋友，開展應(yīng)用研究已成為普遍的趨勢。前面舉辦過一次研討會。學術(shù)交流會緊扣計算機科學技術(shù)與中國民航信息化，就以信息化促進民航現(xiàn)代化，民航業(yè)務(wù)信息系統(tǒng)和管理信息系統(tǒng)建設(shè)，企業(yè)信息化和電子政務(wù)發(fā)展，網(wǎng)絡(luò)技術(shù)與信息安全，民航計算機學科建設(shè)與發(fā)展等一起進行了深刻的探討，提出了許多建設(shè)性的意見和措施。研討會特邀了30多位民航企事業(yè)單位信息化工作的領(lǐng)導(dǎo)專家與會，研討會共收集來自民航生產(chǎn)單位、院校研究所等單位的高水平學術(shù)論文64篇，規(guī)模大、水平高、影響廣、效果好的專題學術(shù)交流研討會，也為本次論壇的順利召開吹響了前奏曲。

　　第二中國民航學院的信息化建設(shè)�；�礎(chǔ)設(shè)施建設(shè)初具規(guī)模。是學校核心競爭力的組成部分。99年學院在開始籌建校園網(wǎng)時，當時的學院院長、黨委書記就提出了網(wǎng)絡(luò)校園、數(shù)字校園和智能校園的建設(shè)思想。經(jīng)過幾年的努力，校園網(wǎng)的規(guī)模已達到地下光纜40公里，包括學校南北兩個校區(qū)，校園網(wǎng)帶寬100兆，校園網(wǎng)用戶達到1.4萬多個。在不斷加強基礎(chǔ)設(shè)施建設(shè)的同時，學校注重信息化工作的軟件建設(shè)。根據(jù)評審?fù)ㄟ^的數(shù)字校園的規(guī)劃方案，學校先后自主開發(fā)了教務(wù)管理系統(tǒng)、辦公信息系統(tǒng)、人事管理系統(tǒng)、科研管理系統(tǒng)、學生管理系統(tǒng)等管理信息系統(tǒng)，并應(yīng)用。學校數(shù)字化圖書館建設(shè)取得階段性進展�，F(xiàn)在學生的選課、考試報名、成績查詢均通過教務(wù)管理系統(tǒng)進行，為學校學分制的進行奠定了基礎(chǔ)。學校辦公信息系統(tǒng)校院兩級公文處理等網(wǎng)絡(luò)平臺，提供了個性化服務(wù)窗口。系統(tǒng)設(shè)計合理使用，技術(shù)完善，很好滿足了不同單位、不同人員的日常辦公需要。辦公信息系統(tǒng)已經(jīng)成為我校教職員工日常工作的必需。與此同時，學校注重系統(tǒng)的集成與整合。現(xiàn)在學校的內(nèi)網(wǎng)和外網(wǎng)建設(shè)已初具規(guī)模。內(nèi)網(wǎng)采用了身份認證，根據(jù)不同的使用權(quán)限對師生采訪，外網(wǎng)主要承擔信息宣傳的功能，校外任務(wù)可以通過外網(wǎng)瀏覽包括全校40個多個單位網(wǎng)頁。

　　第三，發(fā)揮綜合優(yōu)勢，促進民航信息化建設(shè)。中國民航學院現(xiàn)有包括空中交通管制、機務(wù)維護、航空公司和機場運行管理等。范圍涵蓋了整個民航生產(chǎn)領(lǐng)域。作為一所民航類齊全的院校，服務(wù)于民航信息化建設(shè)，是我校義不容辭的使命和職責。在推進學校信息化建設(shè)的同時，學校努力加強與民航企事業(yè)單位的交流與合作，積極承擔民航信息化研究項目。近三年來先后完成了民航生產(chǎn)運行與管理各個領(lǐng)域的八十多個信息化項目，經(jīng)費達到四千萬元。上海情報區(qū)管理實驗系統(tǒng)、空域管理與評估系統(tǒng)、航行信息處理系統(tǒng)、武漢空管綜合信息系統(tǒng)、首都機場統(tǒng)計分析系統(tǒng)、機場生產(chǎn)運行信息系統(tǒng)等。機務(wù)維護方面，飛機操縱品質(zhì)監(jiān)控系統(tǒng)、南方航空公司飛機排故專家系統(tǒng)、播音77鼓掌檢測系統(tǒng)、飛行數(shù)據(jù)記錄的信息處理、航空發(fā)動機故障分析系統(tǒng)，以可靠性為中心的航材維修檢測系統(tǒng)、飛機維修管理信息系統(tǒng)等。在航空公司運行與管理方面，航空公司航運管理系統(tǒng)、西北航線航班網(wǎng)絡(luò)優(yōu)化研究。在航空安全方面的，航空構(gòu)思、機場以及空管安全評估系統(tǒng)、民用航空人為因素研究及應(yīng)用項目的總數(shù)據(jù)庫研究、航空公司安全信息規(guī)范研究等等。這些項目的開發(fā)與運用，一方面為保障民航的安全正常的效應(yīng)發(fā)揮重要作用，另一方面與民航學院培養(yǎng)和造就一支掌握現(xiàn)代信息技術(shù)、熟悉民航業(yè)務(wù)、知識結(jié)構(gòu)合理的高層次中青年專業(yè)人才隊伍。民航學院現(xiàn)有專任教師500余名，其中教授62名，具有博士學歷的教師85名，具有碩士學歷的教師240名。學校專門成立了從事民航信息化技術(shù)開發(fā)和成果轉(zhuǎn)化的各級企業(yè)，北京天航信港信息技術(shù)有限公司。學院廣大教師和科技人員，忠誠于黨的教育事業(yè)，關(guān)心民航發(fā)展，具有獻身、創(chuàng)新、協(xié)作的精神，無論過去和現(xiàn)在，我們都將為民航信息化建設(shè)而努力奮斗，實現(xiàn)民航運行和管理的信息化，任重道遠。中國民航學院愿與在座各界同仁精誠合作，為民航強國的奮斗目標而努力奮斗。謝謝大家。

　　主持人：

　　謝謝徐肖豪校長。下面我們有請IBM公司全球服務(wù)部副總裁凱恩先生，演講題目是《為中國民航建設(shè)安全的信息基礎(chǔ)架構(gòu)》，大家歡迎。

　　凱恩：

　　女士們、先生們早上好，我是IBM公司的凱恩，我是來自IBM基礎(chǔ)設(shè)施架構(gòu)部門的負責人。從全球來看企業(yè)越來越關(guān)注信息基礎(chǔ)設(shè)施安全漏洞所面臨的挑戰(zhàn)，以及對政府部門、企業(yè)的沖擊。下面我們可以看到一些實實在在的威脅。1998年一個電腦黑客入侵了美國NASA噴氣推進實驗室的計算機和美國民用空管系統(tǒng)的數(shù)據(jù)，美國聯(lián)邦航空局不得不中斷了正在飛行的航班。所幸沒有帶來嚴重的后果和災(zāi)難。接下來我們看到有些威脅直接影響到了飛行安全，例如美國一位十幾歲的少年無意中入侵了信息系統(tǒng)，對機場安全造成影響，甚至使機場的跑道燈無法點亮。由于對武斯特機場造成影響，機場當局切斷了機場控制塔的供電電源，造成了跑道燈無法點亮，是個很嚴重的失誤。接下來一些影響說到可能是跟我們十分貼近，講的是不僅影響到全球的航空業(yè)，也影響到我們中國的一些客戶。我們中國客戶面臨的可能是一些網(wǎng)絡(luò)上的安全問題，以及一些比如說病毒擴散、網(wǎng)絡(luò)通行故障等等，這些問題可能對大家來說，在過去的一些經(jīng)歷當中并不陌生。除了信息方面的安全，9.11事件使我們的注意力放到通道控制，比如說我們在飛機在起飛之前等很多能夠接觸到飛機安全的通道上，這個通道主要指的是各種各樣的人有關(guān)的。這些通道安全控制大部分指的是人為因素，但是確實我們企業(yè)航空業(yè)在這方面投入了巨大的人力物力，去控制這些安全的隱患發(fā)生。象彭泰龍先生昨天講的在一些虛擬的安全上的問題，在這里我們要看到在飛行安全當中，另外一個部分，就是貨運方面。我們貨運方面的安全問題也必須引起我們的重視。這里有一個矛盾，因為要對安全的控制，所以我們必須做很多很多大量的驗證，有一些大家可以看到一些驗證的工作內(nèi)容。因為有這些驗證內(nèi)容，但是又切合我們的客戶服務(wù)，如果要驗證的話必須要花時間，但是貨運來講時間又是很寶貴的。第二個矛盾在于資金，因為你要花很多的驗證，所以必須要花大量的錢，如何去平衡這些矛盾，對我們來講也是一個研究的問題。

　　接下來我們對這些復(fù)雜的安全隱患，安全事故，對整個行業(yè)的影響進行一個量化的分析。第一張圖，講的是近年來在IT領(lǐng)域的安全事故的次數(shù)，應(yīng)該說是驚人的增長。第二，對上一張圖帶來的安全增長帶來的這些企業(yè)如果要控制這些事故，增長的更加快。在兩周前有一個例子，微軟公司在發(fā)布一個消息，有關(guān)安全漏洞上他所要公開獎賞，對一個安全漏洞的征集解決方案，他愿意出很多的錢。這是關(guān)于一個蠕蟲病毒的獎賞，開價在25萬美金。而且微軟公司愿意繼續(xù)增加投資五百萬美金在未來，就這個蠕蟲病毒，因為蠕蟲病毒的確是給微軟公司造成了很大的影響。

　　接下來我們要看到的是在以上講的這些安全問題在我們企業(yè)內(nèi)部組織架構(gòu)是如何面對的，我們目前組織架構(gòu)是如何解決這些問題的。由于是一個很復(fù)雜的安全問題，我們企業(yè)內(nèi)各個部門又是如何權(quán)責分工的。昨天泰龍先生也談到了，因為有了這些復(fù)雜的安全問題，對企業(yè)內(nèi)部來講有些安全問題是被分散或者交叉不同的企業(yè)管理部門，因為他們管理權(quán)責可能是分散或者是交叉的，造成的更為復(fù)雜性。左邊這張圖大家看到的安全管理的要求，講的是各種各樣的企業(yè)內(nèi)的安全的要求。在右邊這張圖我們看到的是在企業(yè)內(nèi)部，如果我們要去定義他們職責的話，大家就會看到有各個部門，去管理左邊的這些安全問題，所以這當中會看到有些是交叉的，一個問題并不能通過一個部門來解決，可能是被交叉或者分散到各個部門當中去，這就是我們稱之為的復(fù)雜性。這對我們來講是一個很巨大的挑戰(zhàn)，因為你如果把這些問題很清楚的，一部分一部分的定義下來，就會看到復(fù)雜性展示出來了。我們?yōu)槭裁匆�把這些問題很清楚的詳細列下來呢？因為我們要把這些信息很清楚的讓各個部門知道，我們指的信息就是安全管理的職責，每個部門的職責必須很清楚的讓各個部門知道他們的職責在哪里。如果我們做不到這一步，就會使得在企業(yè)內(nèi)部各個部門或者是整體對安全的隱患漏洞反應(yīng)非常的慢，合乎效果很差，這樣這些安全問題就會越來越大，就會成為一個災(zāi)難了。

　　我們現(xiàn)在簡要回顧一下，剛才我們談到了有哪些安全問題對我們造成的影響和復(fù)雜性，接著又講到了在我們企業(yè)當中是由各個部門負責的，他們負責的權(quán)限在哪里。接下來我們就回到從IBM角度建議如何管理信息方面的安全。我們在開始之前還是先談一個概念，我們認為信息安全的三個最最基本的要素。第一點是一個信息安全上的機密性。這個機密性指的是我們企業(yè)的信息資產(chǎn)，這個資產(chǎn)很多包括有數(shù)據(jù)，包括應(yīng)用方面的一些情況，包括您的一些真正的PC服務(wù)器配制等等，都可以稱之為信息資產(chǎn)，要防止它被泄露出去。第二部分就是一個試用性，或者我們稱之為可用性。指的是我們企業(yè)保護這些信息，我們的資產(chǎn)，是不是有一個可操作性和一個可用性。一旦我需要知道，比如說哪臺PC或者哪一個服務(wù)器有安全問題了，我要很快知道這個PC在哪里，或者說這個服務(wù)器在哪里，我需要知道他的配制在哪里，這個信息是不是我可以很快獲得，所以這個信息指的是可用性。然后是一個完整性。我希望我要了解一個信息的時候，我不是一個支離破碎的，我希望是一個很完整的，因為只有一個完整的信息才能幫助我們?nèi)�面分析，當一個問題出現(xiàn)的時候，我們可以全面的分析安全問題到底該怎么對付，該怎么樣去解決。接下來強調(diào)三個要素都是缺一不可，如果我們只關(guān)注其中一個都是沒有意義的，或者說意義很小。

　　接下來我們看到安全管理的趨勢更整體化，這里的整體化指的是很多安全問題是有集成性的，可能這個問題有兩個部門或者多個部門集成起來，或者是一個安全問題涉及的信息安全，可能也涉及一些人為的安全，所以它只是一個整體化�；ネɑ�指的就是我們企業(yè)內(nèi)部各個部門之間的協(xié)調(diào)和配合，相互溝通、相互合作，互通化發(fā)展。安全管理體制向更實用化的轉(zhuǎn)變，必須要十分實際，不能只說解決一些理論性的問題，必須是很實用。下面我們展示趨勢，第一個趨勢講到，因為我們現(xiàn)在的航空公司和機場在安全管理上越來越多有很多的配合，所以我們會看到在邏輯的安全性和人為因素有關(guān)安全性越來越要求統(tǒng)一，這里邏輯主要指的是一些信息技術(shù)方面的。人為因素我們指的是員工要堅持一些通道上的人員的通行，或者是說有些門禁等等人為因素的安全性。第二個就是從數(shù)據(jù)安全向信息安全轉(zhuǎn)變。為什么會有這樣一個轉(zhuǎn)變？因為在IT業(yè)來講，IT的趨勢不僅是指安全趨勢，IT的趨勢已經(jīng)是從數(shù)據(jù)的關(guān)注到整個信息的關(guān)注，我不是關(guān)注數(shù)據(jù)，我是關(guān)注整個信息。第三個趨勢也是很重要的趨勢，我們一般企業(yè)的傳統(tǒng)講的是一個系統(tǒng)災(zāi)難備份解決方案的理解或者設(shè)計。當我們能夠有一個系統(tǒng)出現(xiàn)問題以后，另外一個系統(tǒng)能夠很快接管起來，使他很快運行，這只是傳統(tǒng)意義上的解決方案。但是我們現(xiàn)在要求從整個公司的領(lǐng)導(dǎo)層，關(guān)注的是一個企業(yè)經(jīng)營連續(xù)性。企業(yè)經(jīng)營連續(xù)性就是當有一個外部沖擊，比如說非典或者9.11對你企業(yè)造成影響，你企業(yè)是不是能夠做到經(jīng)營的連續(xù)性，不能是當中有一個很大的轉(zhuǎn)折，所以從一般的災(zāi)難恢復(fù)到企業(yè)經(jīng)營的連續(xù)性這是一個轉(zhuǎn)變。第四個就是對企業(yè)來講，舉個例子機場，以前我們可能考慮是整個機場周邊的安全問題，但是這是不夠的。我們要關(guān)注的是整個企業(yè)的安全，為什么這里指整個？因為有些安全問題并不是來自外部？可能內(nèi)部本身就有隱患。所以我們關(guān)心是從外到內(nèi)，整體來關(guān)注，而不僅關(guān)注外界周邊的安全。另外從IBM建議安全考慮角度，從入侵的檢測，以前我們是說我們?nèi)�檢測一些入侵，然后到預(yù)防入侵，我能夠主動的預(yù)測到，然后能夠采取措施去預(yù)防它，檢測說我被動的等在那，當有被入侵的時候知道有入侵，預(yù)防就更加積極主動了。最后一個是發(fā)展實時的安全管理系統(tǒng)。這里關(guān)鍵詞在于實時，實時可能跟我們以前理解的一個安全隱患爆發(fā)了，或者是一個安全災(zāi)難爆發(fā)了，我可能花一天兩點時間去解決，甚至是更長的時間，實時就是能做到更短，十分雄心勃勃的目標，時間是幾小時甚至幾分鐘就能解決它。

　　這里我介紹了一個概念安全管理分兩個部分，一個是人為因素，一個是邏輯因素。大家可以看到以上的例子，邏輯上安全主要是跟信息有關(guān)的因素，而人為因素有關(guān)的主要是跟人身有關(guān)的安全因素。盡管我們分成兩部分，但是我提醒大家，這兩部分之間很多具體的因素都是直接相互聯(lián)系在一起的，并不是可以被獨立分開的。很有意思的是傳統(tǒng)上，剛才講的這些因素是被獨立的考慮了，然后又是被獨立的進行管理，我們指的是邏輯因素和人為因素，我們其實是分成兩個不同的，從部門上來講是分開考慮的。接下來看到我們講到的公司的數(shù)據(jù)、資產(chǎn)、人員組織等等，這些都是我們可能把它分割開的。這里有幾個階段，當我們把它獨立考慮的時候，我們分析傳統(tǒng)行業(yè)上有幾個階段，第一個階段是風險管理。風險管理其實更注重一些策略、方針、流程、管理方法等等，比較宏觀的一些策略。第二個階段對企業(yè)來講，是一個管理的安全性，管理兩個字我們應(yīng)該理解成為一個執(zhí)行層面和操作層面的一些安全性。因為前面既然有了策略、戰(zhàn)略，接下來我們就是去執(zhí)行他，從方針程序如何執(zhí)行，從人員的管理意識、安全意識培訓等等，都是屬于實行層面，級別比剛才的級別稍微低一點。接下來是應(yīng)用程序方面的安全，這個對大家來講并不陌生，主要講的是我們平時的運用系統(tǒng)，運用程序我們認為是應(yīng)用系統(tǒng)，包括邏輯、訪問控制等等。最后一個級別就是IT基礎(chǔ)架構(gòu)，其實主要是一些平臺，防病毒等等，以及一些技術(shù)可能是用來預(yù)防基礎(chǔ)架構(gòu)受到影響和攻擊的一些手段。講到左邊部分四個階段以后，右邊人為因素就是被單獨分開了，人為因素包括社會保護、警衛(wèi)等等監(jiān)督，他是獨立開來進行經(jīng)營理解和管理。我們可能企業(yè)平時管理的時候是把這兩部分隔離開的。POV指的是IBM觀點的策略簡稱，是理解的一套方案，認為剛才我們講的這些要素必須是在整個企業(yè)范圍當中進行一個全盤的管理，而且必須要有一個公用的一些管理平臺去控制他們。

　　昨天可能大家也聽到在介紹當中談到，在航空業(yè)來講如何找到一個能夠公用開放的系統(tǒng)管理整個企業(yè)內(nèi)部，是有很多有意義價值的。這里我們也是從另外一個角度來分析，如果我們擁有這樣一些公用的平臺，除了能管理邏輯因素，還能管理人為因素，這些公用平臺就是大家看到藍色方框下面公用設(shè)施等等公用管理平臺，對我們企業(yè)管理來說到底有一些什么樣的好處。

　　IBM在安全管理觀點上的一些細節(jié)。剛才我們講到幾個方面的管理層面，一層、兩層、三層，現(xiàn)在我們把細節(jié)列給大家看一下。我們又研究了一下全球各個企業(yè)，他們在面對以上四個層面策略的時候，他們更注重于應(yīng)用層面的安全性和信息技術(shù)物理安全性，底下這兩個層面，是企業(yè)一般比較關(guān)心的，也比較感興趣的。我們建議企業(yè)能夠更關(guān)注上面兩層，從戰(zhàn)略層，企業(yè)的風險管理，指策略側(cè)面，到操作管理層面的安全性，如果說忽略了這兩方面，我們很多流程，很多策略都沒有考慮進去，我們安全的效率就會大大下降，如果只是關(guān)心下面兩層的話。如果說我們忽略了下面兩個戰(zhàn)略層面和操作層面的話，對整個部門來講很困惑，因為上面兩個層面不確定的話，企業(yè)內(nèi)部的職責就是不清楚，只是關(guān)心下面兩個部分，對一個安全隱患反應(yīng)的速度會下降。這個是一個很宏觀的架構(gòu)圖，在于我們把剛才講的IBM安全管理觀點，運用到航空企業(yè)安全管理體系，大家看看是怎么樣一個圖示。底下四個部分訪問、通道控制、監(jiān)督等等，是大家平時經(jīng)常能看到的。這里主要是訪問和通道控制，指的是經(jīng)常在飛機、機場關(guān)鍵部位的通道管理。監(jiān)督主要是指視頻監(jiān)視、跟蹤等等，以及設(shè)施和信息進行管理還有一些我們核心的業(yè)務(wù)，訂作、離港、財務(wù)等等。我們在四個層面之上，應(yīng)該有一個安全綜合性的平臺，這個綜合性的平臺其實不一定實際要有這么一個平臺，我要建這么一個部門，建一個管理平臺管理，它應(yīng)該是虛擬的，但是我們應(yīng)該有這樣一個平臺，因為通過這樣一個平臺去管理底下四個部門，把四個部門整合起來。

　　剛才已經(jīng)談到安全、威脅，如何考慮這些安全問題等等。下面我們要進入到一個更廣闊的主題范圍，就是我們在開頭講到的一個業(yè)務(wù)的連續(xù)性，彈性的業(yè)務(wù)能力。為什么我們要講這個主題？是因為從安全的角度考慮，如果說我們剛才解決的是安全問題，建立了一個系統(tǒng)，但是對企業(yè)來講，他有更多的因素需要考慮進去，不僅是安全。所以一個業(yè)務(wù)的連續(xù)性和彈性的業(yè)務(wù)能力就呼之欲出。下面列出幾個問題，如果說我們要針對各種各樣的挑戰(zhàn)，不僅是一個安全上的，對企業(yè)來講各種各樣的挑戰(zhàn)都是會發(fā)生的。面對各種各樣的挑戰(zhàn)，我們該做出如何響應(yīng)。一共列了三個問題給大家做一個介紹。第一個是對你一個企業(yè)的管理者來說，是不是對整個公司的信息、通信以及眼前運作的風險程度進行評估？這個風險已經(jīng)不是指安全風險了，是整個風險的評估，然后是這些風險可能是在不斷變化當中，這個很重要，是一個不停的在變化，這是我們當今世界的一個趨勢。你是不是對以上講的這些風險，對企業(yè)的影響是不是做過一個評估？而且這個風險是來自各個層面的，可能是不同層面的策略需要來制定。最后如果順利推下來的話，接下來就是一個管理，對剛才講的風險，你有沒有一個很好的計劃管理和控制它？所以我們講IBM引入一個彈性的業(yè)務(wù)能力，指的是對以上這些業(yè)務(wù)的風險進行很好的控制。

　　翻譯：

　　我補充一點，對彈性的業(yè)務(wù)能力有必要提醒大家看一下，在下面一部分的解釋。彈性的業(yè)務(wù)能力指的是對企業(yè)內(nèi)外部動態(tài)變化。企業(yè)不僅是內(nèi)部，外部的動態(tài)變化，這些變化包括可能是對企業(yè)一個機會，也可能是一個需求，也可能是一個沖擊帶來的一個中斷或者是癱瘓，也有可能是一個潛在的危險。對以上這些東西我們都能夠控制好，能夠?qū)�公司的運作不產(chǎn)生影響，很小，能夠使得它不停的運作，所以我們稱之為彈性的能力。

　　凱恩：

　　為什么我們要引入彈性業(yè)務(wù)能力，整個行業(yè)是不斷的變化，變化太快，今天不可能明天會發(fā)生什么。行業(yè)發(fā)展趨勢使得我們要關(guān)注整個企業(yè)的彈性能力。大家不妨想想在SARS爆發(fā)的時候，誰都沒有想到一年前很小的一些事故，可能對我們的行業(yè)產(chǎn)生那么巨大的影響，甚至我們在四五月份的時候不知道這個影響會持續(xù)多久，持續(xù)的影響深度有多久，所以正因為有這么多不可預(yù)見的變化使得我們整個企業(yè)要有彈性能力。我們會舉四個例子，這里一共有七個例子，我會舉其中四個例子。第一個在左上角，他是適配存在于業(yè)務(wù)要求和彈性計劃之間。指的是企業(yè)有他的業(yè)務(wù)要求，但是這個業(yè)務(wù)要求肯定是要求一個快速變化的，但是對彈性計劃來講，對企業(yè)目前的業(yè)務(wù)要求有一些限制，所以這之間會有匹配性。剛才講的是計劃適配。左邊計劃未能在企業(yè)內(nèi)部得到執(zhí)行和維持，這里主要指從企業(yè)組織架構(gòu)分析，我們很多企業(yè)從組織架構(gòu)來講是不是所有員工都很好的執(zhí)行個維持一個公司的整體策略？第三個在最下面，對關(guān)鍵人員的依賴性未能恰當?shù)目紤]下來，有些依賴性我們是不是已經(jīng)評估清楚了，在我們制定計劃的時候已經(jīng)把關(guān)鍵性考慮進去了？在最后一個例子，我們想講一下網(wǎng)絡(luò)，在恢復(fù)經(jīng)營活動當中，網(wǎng)絡(luò)的適用性可能很小，指的我們在做系統(tǒng)備份的時候，往往對網(wǎng)絡(luò)的影響很大的，因為系統(tǒng)做備份需要很多的東西，數(shù)據(jù)應(yīng)用需要馬上監(jiān)管起來，這時候網(wǎng)絡(luò)的可用性成為很大的瓶頸，這方面也是一個挑戰(zhàn)。整個這張圖是很關(guān)鍵的，因為即便你有很好的計劃，但是忽略基礎(chǔ)架構(gòu)問題的話，一個計劃執(zhí)行起來可能就會有問題，效應(yīng)會很差。

　　接下來講的是IBM的方案，從彈性的業(yè)務(wù)能力我們看一下如何產(chǎn)出策略？我們先看四根豎軸，分別講系統(tǒng)的恢復(fù)，包括IT系統(tǒng)業(yè)務(wù)的恢復(fù)，第二個是指安全，第三個是業(yè)務(wù)的連續(xù)性，第四個是可用性，我們是不是很快速的能夠用到，主要指的是效率問題。從IBM安全管理的方案來講，當我們看到剛才四個戰(zhàn)略性的方向，然后我們又橫過來看公司六個層面的概念，我們要把它集成起來考慮，這就是一個完整的安全管理解決方案。我們做到第一步的時候，我們制定一個策略是需要花時間的，第一層面是戰(zhàn)略眼光，的確花時間、精力，如果說對策略進行很好的設(shè)計，其實就是對我們目前現(xiàn)有安全的管理能力的評估，以及我們知道我們目標在哪里，我們?nèi)绾沃贫ㄓ媱�，一步一步很堅實的去�?zhí)行。

　　接下來我們講的各種各樣的安全管理的響應(yīng)策略。有五個層面的安全管理策略，因為我們的風險是不同的，所以我們需要有不同層面的響應(yīng)策略解決和應(yīng)付。我們?nèi)绾稳ダ斫馑�？先從左邊來看，左邊講的是一些低風險和低影響的安全問題。逐步向當中一些中度的風險和影響，和一些高的風險和影響。當中一個特點就是我們對低風險的安全隱患和影響，我們制定策略，和中度、高度所采用的技術(shù)手段方式都是不一樣的，而且他是一步一步能夠往上遞增上去的。我們把這張圖展示出來，接下來花一點時間把它進一步進行闡述。低風險我們是一些基本的響應(yīng)策略，當一個安全問題出現(xiàn)以后，我只需做到一個基本反應(yīng)就可以了，我怎么去控制它。可控制就是對這個安全管理已經(jīng)是控制的非常好了，效率很高，這是可控制。接下來是預(yù)見性、自主管理、自主控制，他們?nèi)齻�階段都是逐步在往上發(fā)展的，它們都是運用一些比較好的技術(shù)能力，然后逐步實現(xiàn)首先是能夠預(yù)防這些風險，接著是能夠自主管理，以及到最后完全自主進行控制。我們將會看兩個不同類型的例子。第一個例子是企業(yè)的基礎(chǔ)系統(tǒng)，這個基礎(chǔ)系統(tǒng)不一定是指IT系統(tǒng)，可能跟你的業(yè)務(wù)系統(tǒng)有關(guān)系�；�礎(chǔ)系統(tǒng)癱瘓的時候，我們?nèi)绾瓮ㄟ^剛才講到的六個層面，設(shè)計多層次的具有彈性能力的響應(yīng)策略。從這個曲線上來講，我們將會通過這個曲線來展示不同層面的響應(yīng)策略，它是如何一步步發(fā)展上去的，它們之間的關(guān)系是如何的。最基本的主要指的是對系統(tǒng)的恢復(fù)技術(shù)，如何來解決剛才講到的一些問題。基本相應(yīng)策略里會考慮三個因素，熱備份和類備份，我到底企業(yè)是需要熱備份還是冷備份來解決哪些問題？到底是需要專門有一些資源，還是說可以跟其他有共享的資源解決問題。我到底是在恢復(fù)當中的程序怎么制定，怎么樣能夠使它到位？這三個問題都是基本層響應(yīng)層策略里要考慮的因素。是基本的層面，又是企業(yè)最低限度的響應(yīng)策略，這點必須要做到的。接下來是一個可控制和可預(yù)見的。這個層面講的是一個企業(yè)的系統(tǒng)恢復(fù)能力和影響經(jīng)營連續(xù)性的問題。企業(yè)到底有多少能力，前面講的基本的，只是說有些策略能夠使它恢復(fù)就可以了。接下來可控和預(yù)見，當一個問題出現(xiàn)的時候有多少能力可以恢復(fù)？到底會對我企業(yè)經(jīng)營有多少連續(xù)性，有多大影響？在這兩個策略當中已經(jīng)被開始被考慮、設(shè)計研究出來了。這里講到之間的關(guān)系，也就是說當我有一個系統(tǒng)恢復(fù)方案以后，我企業(yè)要知道我恢復(fù)系統(tǒng)恢復(fù)方案，到底對我們企業(yè)經(jīng)營連續(xù)性有多少好處？或者是說我到底有多少能力使經(jīng)營連續(xù)性保證下去？

　　接下來講的是自適應(yīng)階段和自主階段響應(yīng)策略，考慮的問題是運用一些先進的計劃工具，隨機應(yīng)變的解決系統(tǒng)的自動或恢復(fù)。包括以下方框里的分析都是這個策略里的。其中提到一點快速恢復(fù)時間，可能和基本層面不同的，基本層面響應(yīng)的可能是需要24小時或者是稍微短一點的時間去恢復(fù)，但是在自適應(yīng)和自主階段這個恢復(fù)時間非�？欤�而且這個時間可能是在一個小時之內(nèi)，或者幾分鐘之內(nèi)就能恢復(fù)起來。

　　翻譯：

　　在這里我補充一下，因為我跟凱恩在看演講稿的時候，我們覺得整個這幾張圖會比較偏邏輯性，所以我在這里稍微補充幾個例子。從基本層面來講，對我們企業(yè)來講經(jīng)常看到的是我們國內(nèi)一些企業(yè)已經(jīng)做到，如果已經(jīng)建了系統(tǒng)災(zāi)難備份，或者說已經(jīng)做到初步備份解決方案的時候，我們認為基本層面已經(jīng)做到了�？煽刂坪皖A(yù)見性，現(xiàn)在在國外大部分企業(yè)都已經(jīng)做到這一層了，他們逐步已經(jīng)走到可控制和預(yù)見這個階段。自適應(yīng)和自主其實是一個發(fā)展的趨勢，這個趨勢對我們企業(yè)適應(yīng)時間來講非常短，很快我們在座的身邊的領(lǐng)導(dǎo)就會考慮到自主性和自適應(yīng)這個階段。

　　凱恩：

　　接下來主要講的是具體解決方案，HAGEO，很簡單回顧一下這兩個解決方案對于我們目前企業(yè)來講災(zāi)難備份解決方案。IBM可以調(diào)用內(nèi)部很多資源和能力幫助我們企業(yè)建立這樣一個災(zāi)難備份的解決方案。這是一個典型的HAGEO環(huán)境分析，我們?nèi)绾蝸韺崿F(xiàn)HAGEO的架構(gòu)，從兩個異地，北京和上海，一個是現(xiàn)有的系統(tǒng)，一個是備份的系統(tǒng)，我們通過網(wǎng)絡(luò)，大概的技術(shù)等等來實現(xiàn)。具體這些圖如果大家有興趣的話，針對不同企業(yè)的環(huán)境，我們很樂意一起跟大家探討，如何設(shè)計每個客戶的客戶化的環(huán)境。

　　剛才我們看到這張圖主要講的是企業(yè)的基礎(chǔ)架構(gòu)有關(guān)的引起的系統(tǒng)癱瘓，現(xiàn)在我們講的是安全引起的系統(tǒng)癱瘓，該從哪幾個層面進行。這幾個層面不同的策略是如何的。剛才我們講的是兩個類型，一個是基礎(chǔ)架構(gòu)類型，這個是安全架構(gòu)類型。到底有什么不同，我們下面來介紹。

　　我們還是會用第一個類型的方式，很快的看一下基本型的響應(yīng)策略，會做什么樣的工作和內(nèi)容。你會看到在這部分十分具體，主要是指防火墻、安全管理的流程，不是跟安全有關(guān)的在基本層面需要考慮進去。一個可控制性和預(yù)見性，要做的事情主要是安全意識和教育，跟安全有關(guān)的具體的工作。這樣做的原因，如果不這樣其做的話即便你有很好的計劃，可能計劃所帶來的價值，對安全管理所帶來的價值會很低。我們就會講一下，具體有哪些技術(shù)還會跟這個有關(guān)的，進一步闡述可控制和預(yù)見層面涉及的內(nèi)容。這里我們會用到一些即時的，即時指的是響應(yīng)速度非常快的技術(shù)，保證對我們?nèi)绾螌崿F(xiàn)可控制和預(yù)見性兩方面，包括一些監(jiān)控等等。在自適應(yīng)和自主階段，當今世界一些技術(shù)不斷的被研究和開發(fā)出來，所以對我們來講不久的將來是一個趨勢，目前已經(jīng)有一些初步的實際的被運用出來了。為什么我們要這樣做？對我們企業(yè)來講，非常希望從一個被動的預(yù)防到主動的預(yù)防入侵，包括安全隱患的入侵，各種各樣對我們安全造成影響的入侵。我們要主動的來預(yù)防，所以我們在這方面會花很多精力去研究它，保證我們今后不久的將來具有駕馭的能力。

　　在防病毒方面，以前我們防病毒是很基本的，當一個病毒出現(xiàn)了，比如說有一個蠕蟲病毒出現(xiàn)了，我們會馬上給企業(yè)內(nèi)部發(fā)一些郵件，要求大家不要打開跟蠕蟲病毒有關(guān)的電子郵件，這是很基本的預(yù)防，今后的預(yù)防能夠做到更自主，當有一個心的蠕蟲病毒演變出來的時候，系統(tǒng)自動處理，甚至說每個用戶之間根本不會收到郵件，自動已經(jīng)被隔離在外面了，有點像我們經(jīng)常聽到一種病毒的變異，可能我們已經(jīng)找出一種方式預(yù)防一個病毒，但是病毒都是在不斷變化的，我們要做好對不斷變化的趨勢，我們能夠達到一個階段，就是自主適應(yīng)，這是比較高的階段。當然我們看到現(xiàn)在覺得安全管理的確對我們這個行業(yè)來講是一個不小的要求，所以對整個企業(yè)來講，盡管這些因素很復(fù)雜，各種各樣復(fù)雜的因素，但是我們還是會把這些復(fù)雜的因素，把這些問題整合起來考慮，從整個企業(yè)角度來看，如何來解決這些問題。

　　我們很有幸能夠通過講企業(yè)安全管理，到我們企業(yè)如何從安全管理比較局部的概念，講到企業(yè)整體具有彈性能力的業(yè)務(wù)經(jīng)營能力，我們把這方面希望能夠給大家闡述的清楚和進行分享。對我們企業(yè)來講，有些企業(yè)可能是走的比較快一些，而有些企業(yè)可能目前在發(fā)展階段還是處于不斷的發(fā)展中，針對這些不同的企業(yè)，為什么我們要介紹今天這樣一個概念，就是因為考慮到不同企業(yè)不同需求，有各自發(fā)展的計劃和各自發(fā)展的階段。針對這些發(fā)展階段，我們就必須要有一個很好的策略，很好的計劃，幫助企業(yè)實現(xiàn)這樣的目標，安全管理也好，業(yè)務(wù)的連續(xù)性也好等等。

　　這里是一些客戶的名稱，只是部分的。在這些客戶當中，我們幫助已經(jīng)做好或者正在幫助客戶做一些在安全方面，或者是企業(yè)連續(xù)性方面能力的評估、計劃、執(zhí)行等等。以上這些客戶都有共性，不僅是說跟IBM在各種各樣的服務(wù)上有合作，更關(guān)心的是這幾個客戶都和IBM在系統(tǒng)的災(zāi)難恢復(fù)以及經(jīng)營的連續(xù)性方面，已經(jīng)開始有了合作，而且有了具體實施的項目在進行。目前來說，我們傳統(tǒng)上看到的客戶，在業(yè)務(wù)連續(xù)性方面比較關(guān)注數(shù)據(jù)中心，比較關(guān)注于能夠建立一個比較大的災(zāi)難備份系統(tǒng)，或者說在網(wǎng)絡(luò)的架構(gòu)方面如何做到保證，保證這個網(wǎng)絡(luò)是能夠遇到一些安全問題的時候繼續(xù)保證能夠很好的運營下去。這方面關(guān)注的更多一些。

　　這里我們講一個例子，美國航空是在不久以前發(fā)現(xiàn)他的網(wǎng)絡(luò)不能足以支撐他的業(yè)務(wù)的連續(xù)性，其實美國航空在全球建立龐大的網(wǎng)絡(luò)，但是每個網(wǎng)絡(luò)由于在局部地區(qū)有不同的問題出現(xiàn)，所以對他來講很頭痛，經(jīng)常會發(fā)現(xiàn)當一個新的業(yè)務(wù)系統(tǒng)上去以后，或者說新的沖擊，這個沖擊可能是一個病毒，對他整個網(wǎng)絡(luò)來講要協(xié)調(diào)運用起來經(jīng)常會碰到各種各樣的問題，所以很頭痛。這個時候來找IBM咨詢團隊，說如何幫我解決這個問題？這時候我們發(fā)現(xiàn)它的問題跟我們昨天講到的，您的架構(gòu)跟您的運用之間實際運用當中是不是已經(jīng)有矛盾，有沖突了？這個問題是很典型的一個問題，在我們企業(yè)當中經(jīng)常會發(fā)現(xiàn)。當一個網(wǎng)絡(luò)建好以后，過了一年會發(fā)現(xiàn)你的網(wǎng)絡(luò)其實還是有很多各種各樣的不足之處需要提高，這個時候就會困惑，到底是我這個網(wǎng)絡(luò)之前設(shè)計時候有問題，還是說業(yè)務(wù)實在發(fā)展太快，對我的要求越來越高。最關(guān)鍵的問題是我如何來解決這個問題，現(xiàn)實情況已經(jīng)出現(xiàn)，如何來解決它。結(jié)果我們發(fā)現(xiàn)，美國航空網(wǎng)絡(luò)中心部分在這一塊已經(jīng)出現(xiàn)問題，不能支持業(yè)務(wù)的連續(xù)性。IBM發(fā)現(xiàn)這個問題以后，基本把每個部分都分析一遍，有點像我們飛機大修，等于是把整個網(wǎng)絡(luò)的結(jié)構(gòu)全部拆開，拆開以后不是說真正拆開，從分析上，我們把它拆開分析研究，到底每個部分出現(xiàn)什么問題，然后在很細微的地方進行修補，然后再整合起來。這樣做一個好處，因為美國航空是一個龐大的全球網(wǎng)絡(luò)，不可能重新花很大的投資重新提高上去，所以只能用這樣一種整體的分析的角度，先拆開分析，然后再整合歸并起來，每個局部地方進行提高和修正，這樣的話保證美國航空網(wǎng)絡(luò)能夠支持他的業(yè)務(wù)的連續(xù)性，而且對將來還做很多計劃，知道今后的業(yè)務(wù)發(fā)展以后跟網(wǎng)絡(luò)如何共同發(fā)展。

　　最后我做一個小結(jié)。我們會發(fā)現(xiàn)企業(yè)提到，航空公司在內(nèi)部協(xié)作方面，在針對整個安全管理，或者是說企業(yè)彈性業(yè)務(wù)能力方面，當中很多部門都是很獨立的運作。從我在美國工作的一些經(jīng)驗來講，我們需要經(jīng)�？吹氖怯媱�、評估和實施幾個階段，所以這張圖可能是在某個沙漠拍下的，表示的是一個漫長的道路，或者是說企業(yè)在發(fā)展過程當中，會經(jīng)歷各種各樣的階段，有一點我們必須要明確，我們的目標在哪里？這是我們首先要確定下的。接下來當你有了一個目標以后，就是一個評估，到底是在這個階段當中的哪一個站點？你知道自己是在哪一個位置嗎？下來是一個計劃，包括我們知道優(yōu)先級，任何行業(yè)任何階段，我們的投入和我們真正的實際擁有的時間和金錢都是一個矛盾。我們不可能把所有的時間和資金全部投入到某一件事情上去，但是必須要也優(yōu)先級，必須有取舍。整個這條道路需要有時間，我們知道優(yōu)先級在哪里，怎么去一步去做。

　　舉一個例子，如果我們今天是在一個基本層面，處于一個很基本的響應(yīng)策略，恢復(fù)等等。我們知道這個層面以后，如何一步步走到最終彈性的能力目標，這個時候我們需要有一個很清楚的計劃和評估。這里給大家一個建議，IBM企業(yè)文化當中，我們經(jīng)常運用當中的圓圈，我們做的時候先是評估評價目前的階段，然后是計劃，我們?nèi)绾稳ミ\用實踐，最后是實施。然后是循環(huán)來進行的，當你已經(jīng)往前發(fā)展以后，您還是需要繼續(xù)進一步評估，進一步的計劃和進一步的實施，保證您每一步的經(jīng)營運作下去都是持續(xù)性的，而且是很有邏輯性的開展下去。

　　在我們結(jié)束的時候非常感謝能夠為大家在我們航空安全以及更大的著眼點企業(yè)的彈性業(yè)務(wù)能力方面，跟大家進行探討，希望對大家能夠有所益處，希望大家對我們提出寶貴意見和建議。也很感謝大會有這樣的機會讓我們在這里做一個短短的介紹，如果大家有興趣的話，可以在會后進一步進行探討。非常感謝。