外部环境的变化也正在逼迫企业积极主动的应对IT风险。从发布更新到漏洞被利用的时间间隔已经越来越短，从最开始的1年降到了2天甚至是1天。另外，过往的黑客更多是出于技术目的，只是想进入系统，炫耀自己的技术水平以获得成就感。但是今天的黑客不是为了破坏系统，他们更看重的是系统里面的数据，并从中获利。所以，黑客已经从过去的技术目的，变成现在的业务目的。而且，他们所能采用的恶意攻击的形式也越来越复杂。

此外，还有一个极其重要的问题，IT风险最重要的部分是人。人永远是最薄弱的一个环节，必须教育员工，让他们有足够的知识来理解有关的防护措施。否则，即使防护再完备，企业依然会面临巨大的风险。

所以，IT风险是复杂的，包括了很多因素，可以想见，今天的CIO们工作异常艰巨，需要找到正确的战略、方法去管理系统。

对于IT风险，微软提出了信息安全的纵深防御模型，除物理安全、边界安全、内部网络安全、主机安全、应用安全和数据安全六个技术层面进行的安全防护外，再加上法规政策、安全模型等安全指导思想，合理的规章制度、应急处理机制等信息安全管理手段和完整的安全培训体系，组成了微软总体安全架构体系。何迪生介绍说。

硬币的两面——安全与管理

根据IDC发布的调研报告显示：目前，当IT投资每增加100美元，其中的70%用于运营，只有30%是用于支持一个新的应用。由此可见，对于现有IT设施的管理是多么重要，占据了大部分的IT投资。

但是，企业需要成长，当然不能把大部分资金都花费在老旧系统的运维上。那么，如何把IT预算中更大的比例划拨到新应用的层面上，更好帮助企业发展？通过服务等级的管理、容量管理、可用性管理等，就可更好更有效的管理系统, 把IT运维的成本降到最低。从解决方案角度来讲，微软提供了安全和管理相结合解决方案 - System Center 帮助用户监管IT资产，包括软件、硬件和网络资源。Forefront针对Exchange和SharePoint的保护程序集成了多个厂商的扫描引擎，加上微软自己研发的一共是8个，也是业内唯一的多引擎解决方案。用户可以根据性能和病毒捕获率的个性化要求，来调整引擎工作数量以及工作性能之间的平衡。通过集成多个引擎，很大程度上避免了杀毒的“短板效应”。广泛集成业界专业的杀毒引擎，大幅度提升方案的整体安全防护效果。借助这种手段将微软的安全解决方案和业界的最新技术紧密联系在了一起。这种整体防护对于构建可信赖计算的企业计算环境来说极为重要。安全和管理相结合，是今天企业IT治理里重要部分之一。

如今，企业IT管理在实际操作中存在的问题和挑战越来越多。IT架构管理软件和防病毒入侵软件，很难与平台匹配而使管理变得异常复杂；许多安全软件无法满足安全需求并难以与平台实现无缝连接；同时越来越复杂的企业IT环境和越来越高的维护成本，让管理者深陷其中，业务目标难以实现。因此，管理和安全特性兼备，对每家企业而言都成为优化核心基础设施不可分割的关键部分。

针对IT管理中方方面面的挑战，微软的核心理念是将管理和安全视为一个有机整体，而不是单独看待“管理”和“安全”某个问题——何迪生这样解释微软将管理和安全进行融合的用意。

像微软这样将管理和安全相结合，又能给用户带来怎样的好处？

何迪生解答说：这将实现生产力最大化，并提供高度简化的管理，并能够与现有基础设施整合，让用户缩减成本、为商务发展提供动力，并让管理处于用户的掌控之下。这主要表现在三个方面：

• 1
• 2
• 3
• 4