2007年1月9日，CA公司高级副总裁及首席安全战略师Ron Moritz来到北京，对CA的在安全管理方面的战略进行了一番精彩演讲。

　　CEO、CIO&CSO所面临的问题

　　Moritz先生认为，目前企业的CEO、CIO以及CSO面临的问题，主要有成本控制、复杂性及法规遵从等方面的挑战。具体来讲，就是企业资源保护、访问级别控制、法规遵从、防止身份盗窃、可信的审计信息以及企业级的访问管理。Moritz先生举了一个生动有趣的例子来说明。

　　一位美国的女士，心脏病犯了，到医院的时候她还是有意识的，她就要求医院说除非急救人员，否则其他的医护人员不能够去获取她的病历。

　　为什么这个病人会提出这个要求呢?因为目前她和她丈夫正处在离婚的过程中，而她丈夫碰巧就是这家医院的一名医生，她丈夫的现在的女朋友是在这家医院的护士，而且在离婚的过程中，双方正在争夺子女抚养权。这个病人担心如果她做医生的丈夫获悉她患了心脏病，对她争夺子女抚养权将非常不利。

　　在这里，从技术的角度，我们来看一下这个问题怎么解决。以前，医院的病历系统让这家医院的所有医生和护士都可以拿到医院所有病人的病历。而这实际上涉及到侵犯用户隐私的问题。

　　这个案例也反映了企业所面临的其他几个问题，我们要保证不同级别的员工享有不同级别的访问权，还有在法律遵从性方面，在信息的盗窃、身份盗窃方面的防范。

　　Moritz先生说，其实，我们所说的信息和身份的防盗，实际上和个人的隐私权有一个重叠部分。我有权控制与我相关的数据的流向。为了保证这种个人的权利，相关的技术是非常复杂的，这也是为什么CA一直以来去倡导企业要有非常好的身份和访问管理的系统。

　　这里还涉及到审计，在整个交易过程中对于信息的审计。此外，我们这种访问管理并不是针对某一个单独点，而是在整个企业。

　　对于一些中国企业而言，我想还是有一定意义的，因为可能存在不一致的身份管理。Moritz先生说，目前很多企业的ERP系统、CRM系统、人力资源系统以及财务系统都用的是不同厂商的产品，在这些系统的用户资料方面是不同步的。在这些不同的应用中，尽管是同一个人，但在不同的应用上会有不同的身份。这些身份信息存储在不同的数据库中的，很难把同一个人的信息同步。而且在身份健全、身份验证方面，也存在很多问题。Moritz先生讲到，我们认为，一个企业在进行访问或者是身份管理的时候，要考虑到这种统一性，甚至小到门禁卡，都要考虑到它是一种统一的管理。