挑战 CHALLENGE

　　谈到系统安全规划，真维斯的钱治航认为，目前真维斯系统安全处理的自动化程度不够。“希望安全能够变成日常的工作，而不是专门需要制定的。”希望员工在处理日常业务系统的同时，就能够自动处理安全问题。 

　　安全的自动化程度不高，导致真维斯的IT人员需要亲自到故障现场进行维护。例如，真维斯只完成了单据凭证录入的自动化，但没有进行自动备份历史记录。钱治航准备引入电脑操作系统里的集合机制，能够将数据恢复到任何一个历史阶段，将IT自动化、数据集合机制以及与业务融合在一起。 

　　在安全问题上，钱治航认为硬件与网络的安全防治是可知的，而企业内部人员意识上的安全是看不到的，是无形的安全隐患。尤其当企业的信息化建设达到一定程度时候，系统安全问题越凸显。真维斯所有的应用系统都是自己开发的，钱治航认为会有很多问题是自己看不到的，这些潜在的安全隐患犹如一枚隐形炸弹，随时都有爆炸的可能。 

　　此外，企业内部人员安全意识淡化。如何来规范员工日常的网络行为、营造安全的系统环境，也是长期困扰钱治航的问题。同样，伊利的王晓刚也指出，安全的最大隐患在于企业内部。“系统安全由谁来管，谁就是最大的危险点，因为一旦系统管理出了问题的话，它的危险性是最大的。”对于来自外部的威胁，王晓刚并不担心。 

　　因为伊利所有业务应用都借助企业VPN，在重要数据传输的安全性上是有保障的。不同于其他企业，中国进出口银行信息安全人员段永红告诉记者，虽然目前进出口银行已经对系统按照银监会的要求划分了五个级别，但是对定级过后下一步的具体实施，一片茫然。过去每家银行都会制定系统安全规划，各自有自己的一套应对措施。虽然要求统一定级，但是对整个行业的系统安全体系布局设有明确的实施细则以及统一说明，段永红认为这是他工作上最大的问题。中国联通信息化部规划应用处经理田光辉对于信息系统安全的规划也有很多迷茫。中国联通的系统安全也是根据具体的业务项目来局部实施的，没有形成统一的规划。未来的系统安全应该如何来建，田光辉也有诸多疑问，认为完全没有一个范本或者统一的要求来做参考，具体未来的规划怎样，田光辉也在思考与探索中。 

 未来 FUTURE

　　真维斯自2006年开始就已经研究ITIL，并根据自身系统的实际情况进行了相关的修改，明确哪些地方需要加强，哪些地方进行调整。在未来，钱志航希望能够利用ITIL增强系统应急处理能力。

　　未来的安全风险预防，钱志航希望能够不出现黄色预警，系统安全始终维持在绿色正常状态。“现在IT预防很被动，只有当系统出现黄色预警的时候，我们才能被动地采取措施，这时手头的一切工作都要搁置。”钱治航显出些许无奈。未来，钱志航希望能够把所有的隐患都提前处理，最好在采取行动之前就能得知是否会出现黄色预警。

　　谈到未来应用ITIL的问题上，钱志航强调一定要仔细估算好ITIL的投入产出问题。是否全部引入ITIL，对真维斯来说代价太大了。未来可以尽可能地设想潜在的问题，提前准备多套应急预案，来应对业务上的突变。