“企业安全风险管理并不是一个产品，而是一个由许多环节构成的、连续进行的流程。”2007年8月2日，McAfee华北区安全顾问陈纲用这样一句话来定义企业安全风险管理。

　　从早期的注重单一安全产品研发，到如今用五大环节构筑一个统一的流程部署，苦练安全“内功”的McAfee，颇有体会到打通“任督二脉”、真力融会贯通的意味。

　　做集成式的防护

　　在McAfee看来，让一个企业按照行业安全流程的文字规定，自己去部署和管理一套完善的安全风险防范管理系统，是非常困难的一件事情。而通过技术来尽可能地为他们进行保障，对于McAfee这样的安全服务商而言，是责无旁贷的任务。

　　过去很长一段时间中，McAfee一直专注于在安全领域针对各种不同类别的产品进行研发制造和销售。然而，随着业务范畴的扩大和用户安全需求的日益增长，McAfee发现，单独依靠一款产品，已经很难实现对企业提供周全的安全防护，因此，“做成集成式的防护”的理念开始提上日程。

　　“通过对企业用户的需求调查，我们发现，很多用户在安全方面都有着类似的困惑，那就是，一方面，用户不知道自己的企业到底是否面临安全威胁；另一方面，企业均面临着遵从内外部安全策略、安全审计法规等问题。” 陈纲指出，面对诸多安全风险以及审计法规，企业用户们迷惘的是，自己之前在安全方面的投入，是否能够完全应对这些风险和需求。

　　有了对用户两大主要需求的分析，McAfee制定出了一套自己的SRM安全风险管理方法，那就是，将“威胁保护功能”与“风险/法规遵从性”集成为一体，前者包括防火墙、网关等安全威胁防护措施，后者则解决了管理人员们担忧着的安全管理法规遵从问题，从而实现全面的安全风险管理目标。

　　“McAfee希望把相关工作做到最好，让企业用户们——无论是更关注安全风险的IT操作人员，还是同时被安全审计等问题困扰着的企业CIO、CSO们，都得到帮助。”陈纲如是说道。

　　让系统真正“转”起来

　　McAfee认为，企业安全风险管理并非一个产品，而是一个由许多环节构成的流程，就像ISO，是一个由多点组成的控制过程。而只有通过集成，“让企业的安全风险管理系统真正转起来”，才能够最大效率地实现安全保障。

　　McAfee将企业安全风险管理解决方案划分为五大环节，这五大环节组合在一起，共同构筑出一个“圆环”——那就是完整的安全风险管理流程。而在每一环节中，McAfee都提供了具备相应功能的产品，通过不同的技术保障，来帮助企业们更好地实现安全风险管理。

　　详细来说，McAfee安全风险管理流程的第一个环节为FIND(风险识别)，也就是对企业的网络环境风险、数据存在风险进行识别，发现安全问题。在这一环节，McAfee对应所提供的产品为McAfee Foundstone；第二个环节，是EVALUATE（风险状况评估），主要目的是对企业网络所存在的安全风险进行评估，发现风险原因以及可能导致的后果。这一环节对应的McAfee产品，是McAfee Foundstone和McAfee ePo；McAfee安全风险管理流程的第三环节，是ENFORCE（企业安全策略的强制执行），亦即根据企业安全规章要求，对发生风险漏洞的部分强制执行企业安全策略。这一环节对应的产品为McAfee DLP、McAfee NAC、McAfee IntruShield；第四个环节，是PROTECT（保障），也就是借助各种工具，解决风险和故障。主要对应产品为McAfee ToPs、McAfee SIG、McAfee IntruShield；McAfee安全风险管理流程的最后一个环节，是FIX（漏洞修补），以避免未来出现相同问题。在这一方面，McAfee提供的工具为McAfee Remediation Manager。

　　据陈纲介绍，此前McAfee归纳出的安全风险管理流程，是分为十个步骤的闭合环，经过McAfee的进一步演化，才形成了上面所介绍的五个步骤，以便“更适于大家应用。”

　　实际上，当前在安全领域，打出“统一安全管理流程化”旗号的企业很多，这一点，陈纲也并不否认。不过他强调说，虽然大家都持同样理念，但就目前而言，“只有McAfee一家能够实现全面的整个流程的防护，能够提供全部的安全风险保障。”

　　“构筑一个样板间”

　　虽然反复强调着安全风险管理流程化这一观点，McAfee坦言，这并不是说就要求用户全部购买McAfee的产品，完全按照五大环节去部署他们的安全风险管理。

　　“我们需要考虑到保护用户的现有投资，给他们缓冲机会。”陈纲告诉记者，McAfee的安全风险管理流程，完全支持第三方产品的加入，也就是说，用户完全可以根据自己的需求和目前的安全现状，将McAfee的产品及方案与现有的第三方企业的产品和方案结合起来，构筑自己的安全风险管理保护系统。

　　更进一步来说，McAfee甚至不介意用户完全不采用自己的产品去构筑这一安全风险管理流程。“我们提出的流程架构，就像是给未来的安全风险管理模式建造的一个样板间，用户也完全可以自己按照这一流程，另外设立多个控制点去部署。当然，这样一来，系统可能会比较繁琐，后期管理成本会增加，但只要按照这一流程进行覆盖，安全效果是能够达到的。” 陈纲说道。他透露，目前，在中国已经有一家银行开始利用McAfee的安全风险管理流程模型，来制定自己企业的三年期安全部署规划。

　　最后，陈纲还特别指出，企业用户也不需要一下子就将安全风险管理流程的五大环节一次部署完毕。“我们的建议是，用户应该根据自己企业对安全的需求和目前安全投入现状，选择重点和优先希望处理的问题来进行防护，慢慢将整个流程建立起来，让安全一点点实现。”