目前對(duì)于所有公司而言�����,掌控IT安全風(fēng)險(xiǎn)和法規(guī)遵守要求是兩件至關(guān)重要的事情�����。在過(guò)去的十年中出現(xiàn)了大量前所未有的安全泄漏事故�,對(duì)公司信息的完整性造成了嚴(yán)重破壞,并導(dǎo)致大量財(cái)務(wù)和業(yè)務(wù)的損失�����,同時(shí)讓客戶��、合作伙伴和利益相關(guān)者喪失對(duì)公司的信心��。這些泄漏事故也讓人們開(kāi)始建立技術(shù)標(biāo)準(zhǔn)��、IT管理框架��,并制定了旨在改善加強(qiáng)安全的法律����,這也使企業(yè)在更有效地定義、控制和管理他們的IT基礎(chǔ)設(shè)施方面的壓力更加大了����。
本文將討論公司面臨的新挑戰(zhàn)����,并將SaaS(以安全作為服務(wù))作為簡(jiǎn)化安全和合規(guī)的方法以解決以下問(wèn)題:
定義政策:按照良好的管理模式和最佳操作框架來(lái)建立一個(gè)安全的IT基礎(chǔ)設(shè)施�。
自動(dòng)化安全評(píng)估,有效地管理漏洞風(fēng)險(xiǎn)��。
減輕風(fēng)險(xiǎn)和消除威脅�,利用行業(yè)中最值得信賴的漏洞管理應(yīng)用軟件來(lái)實(shí)現(xiàn)。
監(jiān)測(cè)和衡量網(wǎng)絡(luò)合規(guī)���,在一個(gè)統(tǒng)一控制臺(tái)監(jiān)測(cè)和衡量網(wǎng)絡(luò)合規(guī)����,能夠節(jié)省時(shí)間���,確?��?煽啃院徒档统杀尽?/FONT>
將安全和合規(guī)報(bào)告定制化��,以分發(fā)給企業(yè)經(jīng)理�、審計(jì)員和安全專業(yè)人員查看。
面臨的挑戰(zhàn)
遵守法規(guī)要求和內(nèi)部的安全政策是企業(yè)能否成功的關(guān)鍵。為了保護(hù)企業(yè)信息的完整性�,避免發(fā)生企業(yè)丑聞事件以及保護(hù)客戶隱私權(quán),新法律和法規(guī)制定��,管理各行各業(yè)的企業(yè)��,目前一些比較有名的安全法規(guī)包括:
SOX – 2002年頒布的薩班斯-奧克里法案要求制定嚴(yán)格的內(nèi)部管理機(jī)制和對(duì)財(cái)務(wù)信息的獨(dú)立審計(jì)以積極防御欺詐行為����。
HIPAA – 1996年頒布的醫(yī)治保險(xiǎn)攜帶和責(zé)任法案要求對(duì)處理和訪問(wèn)患者的醫(yī)療信息進(jìn)行嚴(yán)格的控制以保護(hù)患者的隱私��。
GLBA –1999年頒布的格雷姆-里奇-比利雷法(美國(guó)金融服務(wù)法)要求金融機(jī)構(gòu)創(chuàng)建安全流程并不斷對(duì)其進(jìn)行審計(jì)和歸檔�����,以保護(hù)客戶的非公開(kāi)的個(gè)人信息�����,包括防止未經(jīng)授權(quán)的電子訪問(wèn)的預(yù)防措施等���。
FISMA –2002年頒布的聯(lián)邦信息安全管理法案旨在通過(guò)每年實(shí)行的審計(jì)工作來(lái)加強(qiáng)聯(lián)邦政府及附屬部門(mén)的計(jì)算機(jī)和網(wǎng)絡(luò)安全��。
除了這些法規(guī)外��,企業(yè)通常還會(huì)制定內(nèi)部政策以保護(hù)公司的信息資源�����、員工����、客戶和品牌聲譽(yù)。
運(yùn)用IT管理框架迎戰(zhàn)法規(guī)遵從挑戰(zhàn)
很多面臨著多個(gè)法規(guī)遵從要求的公司現(xiàn)在開(kāi)始運(yùn)用IT管理框架�����,以符合大多數(shù)法規(guī)的要求�����,其中被廣泛采用的三個(gè)框架包括:
COBIT® 4.0 – 由IT管理研究所(ITGI)發(fā)布的COBIT 4.0強(qiáng)調(diào)的是遵守法規(guī)���,它能夠幫助企業(yè)實(shí)現(xiàn)并增加IT方面價(jià)值��,使企業(yè)實(shí)現(xiàn)其發(fā)展目標(biāo)��。COBIT的優(yōu)點(diǎn)在于它非常注重細(xì)節(jié)��,這使得它適用于各種層次的企業(yè)�����。同時(shí)�����,COBIT還利用了能力成熟度模型集成(CMMI)作為評(píng)估安全流程狀態(tài)的方法��。
ISO 17799:2005 (ISO 27001) – 這是IT安全管理的國(guó)際標(biāo)準(zhǔn)����,它將安全控制劃分為10個(gè)重要部分���,每個(gè)部分涵蓋不同的主題或領(lǐng)域�。
NIST 800-53 – 由國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所發(fā)布的NIST 800-53集合了“聯(lián)邦信息系統(tǒng)推薦使用的安全控制”�����,它描述了企業(yè)在保護(hù)信息系統(tǒng)時(shí)可以使用的安全控制���。
采用控制框架的另一個(gè)好處在于能夠?yàn)楹弦?guī)和安全進(jìn)程建立可重復(fù)的流程��,這通常能夠更好的幫助企業(yè)滿足多個(gè)法規(guī)的要求��,從整體降低合規(guī)的費(fèi)用��。然而��,跨團(tuán)隊(duì)進(jìn)程和通信問(wèn)題還需要解決����。
法規(guī)遵從
對(duì)于上市公司以及大型企業(yè)而言,只能通過(guò)一些政策和技術(shù)以確保公司符合相關(guān)法規(guī)和政策�����,并需要實(shí)時(shí)歸檔以用于合規(guī)審計(jì)�����。在這個(gè)日益復(fù)雜的監(jiān)管環(huán)境�,公司IT部門(mén)和其他部門(mén)的關(guān)系正發(fā)生巨大變化。
不遵守法律法規(guī)和內(nèi)部政策將對(duì)公司造成嚴(yán)重后果以及安全風(fēng)險(xiǎn)問(wèn)題���。保護(hù)客戶數(shù)據(jù)�,確保財(cái)務(wù)數(shù)據(jù)的完整信���,防止知識(shí)產(chǎn)權(quán)泄漏以及員工個(gè)人信息等問(wèn)題成為公司最優(yōu)先考慮的問(wèn)題���。高層管理人員開(kāi)始意識(shí)到問(wèn)題的重要性�����,他們開(kāi)始不斷要求IT經(jīng)理們執(zhí)行與電子系統(tǒng)和網(wǎng)絡(luò)相關(guān)的合規(guī)并歸檔相關(guān)報(bào)表�����。當(dāng)對(duì)IT人員進(jìn)行工作評(píng)估時(shí)����,遵守合規(guī)和審計(jì)結(jié)果開(kāi)始變得與系統(tǒng)正常運(yùn)行時(shí)間以及性能統(tǒng)計(jì)一樣重要��。
特殊合規(guī)管理問(wèn)題
如今信息化時(shí)代���,面對(duì)這些問(wèn)題的直接反應(yīng)就是盡可能多地加強(qiáng)法規(guī)遵從和文件過(guò)程自動(dòng)化。如果沒(méi)有自動(dòng)化解決方案�,法律法規(guī)的嚴(yán)格要求將讓企業(yè)承擔(dān)不斷增加的成本和風(fēng)險(xiǎn)。不過(guò)��,目前的自動(dòng)化工具還并不成熟���,從針對(duì)特定領(lǐng)域合規(guī)或者針對(duì)特定安全團(tuán)隊(duì)的復(fù)雜產(chǎn)品����,到簡(jiǎn)單的電子表格的合集。通常情況下��,通用配置和風(fēng)險(xiǎn)管理解決方案會(huì)被壓入服務(wù)中����,以支持高度個(gè)性化的合規(guī)功能,這需要大量人力資源或者編程工作來(lái)核對(duì)通用數(shù)據(jù)與合規(guī)數(shù)據(jù)�。但是這樣得到的結(jié)果往往是不準(zhǔn)確的,并且因?yàn)槭褂昧耸止げ僮鬟^(guò)程�,所以很難定期復(fù)制歸檔���。
由于目前還沒(méi)有完善的工具,合規(guī)執(zhí)行和文件歸檔仍然屬于相對(duì)較新的商業(yè)領(lǐng)域�。不同的商業(yè)單位側(cè)重于不同的方面,利用手頭上有限的工具���。例如,通常企業(yè)可能會(huì)有三個(gè)不同的IT團(tuán)隊(duì)來(lái)負(fù)責(zé)合規(guī)任務(wù),包括:
安全和漏洞管理團(tuán)隊(duì)-該團(tuán)隊(duì)的任務(wù)是在應(yīng)用于企業(yè)����、員工或者客戶安全之前檢測(cè)應(yīng)用程序�����、數(shù)據(jù)庫(kù)以及IT基礎(chǔ)設(shè)施中的漏洞問(wèn)題。
IT運(yùn)作團(tuán)隊(duì)-通常是由操作系統(tǒng)和應(yīng)用程序管理員團(tuán)隊(duì)組成的����,任務(wù)在于“解決”系統(tǒng)中的各種問(wèn)題��。
審計(jì)團(tuán)隊(duì)-該團(tuán)隊(duì)的任務(wù)是定義合規(guī)標(biāo)準(zhǔn)��,評(píng)估是否如何標(biāo)準(zhǔn)以及記錄歸檔合規(guī)和違規(guī)事件以備外部審計(jì)或者其他利益相關(guān)者的審計(jì)��。
這三組團(tuán)隊(duì)雖然面對(duì)同樣的數(shù)據(jù)實(shí)體����,但是他們的觀點(diǎn)都是片面的����。
由于沒(méi)有連貫性,從全面的角度查看公司所有(或者根據(jù)不同的法規(guī)要求查看某些)的合規(guī)數(shù)據(jù)越來(lái)越無(wú)法實(shí)現(xiàn)�,成為特殊過(guò)程����。在監(jiān)管范圍之間或者合規(guī)團(tuán)隊(duì)之間,合規(guī)任務(wù)通常是多余的�����。此外����,使用僅能協(xié)助三個(gè)IT團(tuán)隊(duì)中的一個(gè)的單點(diǎn)解決方案的話,重疊的安全和合規(guī)要求會(huì)使零散數(shù)據(jù)和冗余工作變得更加繁重����。
全面視角:法規(guī)遵從和IT團(tuán)隊(duì)
為了規(guī)劃出一個(gè)成功的法規(guī)遵從解決方案的要求,必須認(rèn)真考慮這三個(gè)與合規(guī)相關(guān)的團(tuán)隊(duì)的責(zé)任問(wèn)題���。讓我們先來(lái)看看每個(gè)團(tuán)隊(duì)的傳統(tǒng)重疊的職責(zé)�����。
我們可以將所有合規(guī)活動(dòng)分為一系列的任務(wù),這些任務(wù)可以歸類為定義類�����、發(fā)現(xiàn)類、評(píng)估類和修復(fù)類�����,將這些任務(wù)分配給三個(gè)IT團(tuán)隊(duì)�。盡管每個(gè)團(tuán)隊(duì)都有其獨(dú)特的職責(zé),但在他們各行其職時(shí)顯然有很多重復(fù)的責(zé)任����。與此同時(shí)�,對(duì)于不同的法規(guī)要求和內(nèi)部政策要求也有很多重復(fù),這使得公司花費(fèi)不必要得開(kāi)支來(lái)為每個(gè)獨(dú)立的合規(guī)團(tuán)隊(duì)部署和管理一次性解決方案。這些重疊為我們提供了這樣一個(gè)機(jī)會(huì)����,鞏固政策管制和合規(guī)數(shù)據(jù)――重新使用政策�、管制和合規(guī)數(shù)據(jù)以適應(yīng)每個(gè)合規(guī)團(tuán)隊(duì)的需求以及法規(guī)和安全政策的要求��。
例如,某公司的密碼政策涉及到SOX、 HIPAA�、 GLBA�����、 NIST和其他外部法規(guī)以及內(nèi)部安全政策����,同時(shí),用戶訪問(wèn)控制和權(quán)限則涉及到SOX、GLBA�、NIST和內(nèi)部政策�����,修補(bǔ)程序則與SOX�����、NIST和內(nèi)部IT管理有關(guān)����,而所有這些政策和控制都與合規(guī)審計(jì)����、漏洞管理以及IT 運(yùn)作團(tuán)隊(duì)活動(dòng)相關(guān)�����。
整合解決方案的要求
企業(yè)應(yīng)該如何利用這些重疊的部門(mén)來(lái)集中和簡(jiǎn)化合規(guī)管理��,并同時(shí)節(jié)省時(shí)間和金錢(qián)呢?我們已經(jīng)確定了每個(gè)IT團(tuán)隊(duì)在合規(guī)過(guò)程中的角色��,以及需要支持每個(gè)團(tuán)隊(duì)角色的解決方案要素。要?jiǎng)?chuàng)建整合的解決方案要素應(yīng)該包括:
政策合規(guī)標(biāo)準(zhǔn)與控制的單一的電子庫(kù)
當(dāng)公司開(kāi)始為遵守法規(guī)和政策開(kāi)發(fā)最佳做法的時(shí)候�����,他們將需要在可能的區(qū)域重新利用合規(guī)政策和控制���,采用智能過(guò)濾和分析來(lái)滿足每個(gè)團(tuán)隊(duì)和合規(guī)任務(wù)的要求�。這意味著需要部署政策和合規(guī)信息的信息庫(kù)���,能夠涵蓋整個(gè)操作系統(tǒng)、應(yīng)用程序和所有外部?jī)?nèi)部合規(guī)進(jìn)程����。
例如�����,很多企業(yè)會(huì)有一些安全要求,來(lái)控制惡意軟件����、限制P2P軟件的安裝、控制對(duì)IT環(huán)境有害的應(yīng)用程序的安裝等,以及其他合規(guī)和安全需求。在最近的部署中��,某企業(yè)利用57項(xiàng)不同的紙質(zhì)標(biāo)準(zhǔn)來(lái)處理各種操作系統(tǒng)和應(yīng)用程序的使用問(wèn)題�����。更有效的合規(guī)模式能夠?qū)⑺羞@些標(biāo)準(zhǔn)和控制收集在一個(gè)電子庫(kù)中����,該電子庫(kù)能夠有效訪問(wèn)���、更新和共享(不同團(tuán)隊(duì)依據(jù)不同目的共享)�。
多用途合規(guī)檢查
除了需要為每個(gè)法規(guī)和內(nèi)部業(yè)務(wù)要求建立和例行維護(hù)合規(guī)檢查外�,公司還需要運(yùn)用“建立后,多次部署”策略�����。一個(gè)單一的核心合規(guī)檢查小組除了少量區(qū)別外�,幾乎可以為公司的所有合規(guī)要求提供支持。例如�,用戶密碼政策、用戶訪問(wèn)權(quán)限��、帳戶管理和其他類型的檢查可以設(shè)計(jì)為滿足所有內(nèi)部和法規(guī)要求�����,從而減輕管理的負(fù)擔(dān),并且能夠讓合規(guī)團(tuán)隊(duì)將精力集中在維護(hù)少數(shù)獨(dú)特的合規(guī)要求上�����。
變更控制
政策檢查通常有一個(gè)生命周期����,這取決于檢查數(shù)量以及隨著業(yè)務(wù)需求和新系統(tǒng)的改變而發(fā)生對(duì)具體要求的變化。為適應(yīng)這些生命周期和支持合規(guī)歸檔���,合規(guī)系統(tǒng)需要配置一個(gè)變更機(jī)制�����,能夠提供審計(jì)線索���,這包括變更的日期���、變更的人和任何審批通過(guò)的變更����。
根據(jù)既定的IT黃金標(biāo)準(zhǔn)進(jìn)行審計(jì)
為確保遵守政策����,可以在新系統(tǒng)被部署前或者被用于生產(chǎn)環(huán)境前對(duì)其進(jìn)行檢查�����。為向所有方法提供有效支持����,IT可以創(chuàng)建一個(gè)“黃金標(biāo)準(zhǔn)”或者為特定主機(jī)配置設(shè)定基本標(biāo)準(zhǔn)�����,根據(jù)黃金標(biāo)準(zhǔn)測(cè)試所有其他類型的主機(jī)���。對(duì)于定期會(huì)從測(cè)試環(huán)境向生產(chǎn)環(huán)境部署服務(wù)器的公司而言����,這種方法可以實(shí)現(xiàn)對(duì)主機(jī)配置的驗(yàn)證���,以確保符合合規(guī)基本標(biāo)準(zhǔn)和減少部署階段的風(fēng)險(xiǎn)�。
一旦主機(jī)部署在生產(chǎn)環(huán)境中����,需要運(yùn)用適當(dāng)?shù)膫刹炜刂苼?lái)持續(xù)地衡量政策合規(guī)���。確定合規(guī)通常需要查詢代表操作系統(tǒng)和應(yīng)用程序配置的數(shù)據(jù)集,并將查詢結(jié)果與針對(duì)相關(guān)合規(guī)政策產(chǎn)生的預(yù)期結(jié)果進(jìn)行比較��。擁有一個(gè)既定的黃金標(biāo)準(zhǔn)可以為公司提供有效的支持�,政策驅(qū)動(dòng)控制測(cè)試(由具體控制確定的)可以將數(shù)以百計(jì)的主機(jī)配置數(shù)據(jù)集查詢結(jié)果與預(yù)期查詢結(jié)果比較。
異?�?刂?/FONT>
日常業(yè)務(wù)可能也會(huì)需要臨時(shí)的或者基于角色的控制�����,例如���,某公司的安全政策可能包含限制FTP服務(wù)在任何服務(wù)器上運(yùn)行�����,但是某些企業(yè)員工在某些時(shí)候可能需要臨時(shí)使用FTP�����。
這種異常控制以及隨后的工作流程必須被允許和歸檔�,通常情況下公司允許這種非常規(guī)活動(dòng)需要承擔(dān)一定風(fēng)險(xiǎn)。特別是當(dāng)實(shí)施第三方審計(jì)(內(nèi)部或外部審計(jì)員)控制時(shí)尤為重要,第三方可能無(wú)法理解故意違反政策的商業(yè)原因�。
綜合管理、報(bào)告和事件跟蹤
在綜合管理����、報(bào)告和事件跟蹤方面,整合合規(guī)和漏洞管理解決方案的主要目標(biāo)已經(jīng)實(shí)現(xiàn)���,理想情況是���,整個(gè)企業(yè)只有一個(gè)系統(tǒng)允許你進(jìn)行以下操作:
管理多個(gè)合規(guī)要求:包括所有相關(guān)的外部法規(guī)和內(nèi)部安全政策,解決方案應(yīng)該要提供一個(gè)連續(xù)的自動(dòng)化查看主機(jī)配置��,并能在每次掃描主機(jī)時(shí)更新數(shù)據(jù)�。
生成報(bào)告:支持每個(gè)合規(guī)團(tuán)隊(duì)的需求,包括合規(guī)數(shù)據(jù)和審計(jì)結(jié)果����。所有的報(bào)告必須基于所有合規(guī)數(shù)據(jù)集,以確保一致性和完整性����。
發(fā)布并跟蹤問(wèn)題:以確保問(wèn)題及時(shí)得到解決并報(bào)告給資產(chǎn)所有者,這一功能應(yīng)該作為解決方案的內(nèi)置功能以便消除時(shí)間差或者黑洞��,這種問(wèn)題在從IT部門(mén)傳送問(wèn)題到部門(mén)經(jīng)理(責(zé)任方)處時(shí)經(jīng)常發(fā)生。
整合解決方案的架構(gòu)
整合解決方案需要支持所有的合規(guī)進(jìn)程��,需要為合適的團(tuán)隊(duì)?wèi)?yīng)用合適的工具�����,示例解決方案架構(gòu)和流程如下圖所示:
為什么軟件即服務(wù)(SaaS)最能適應(yīng)合規(guī)?
我們已經(jīng)了解使用合規(guī)單點(diǎn)解決方案將帶來(lái)的問(wèn)題����,單點(diǎn)解決方案智能解決IT團(tuán)隊(duì)需求的一部分,并且還將受到每個(gè)團(tuán)隊(duì)地理位置的限制��。IT部門(mén)的所有團(tuán)隊(duì)需要一個(gè)統(tǒng)一的合規(guī)頒發(fā)����,能夠支持每個(gè)團(tuán)隊(duì)的具體職責(zé)同時(shí)能夠支持團(tuán)隊(duì)檢的職責(zé)分工關(guān)系。SaaS方法的好處在于:
值得信賴的第三方:能夠提供可靠的數(shù)據(jù)���,因?yàn)樗兄鳈C(jī)合規(guī)數(shù)據(jù)和政策都被QualyGuard存儲(chǔ)并不受操控�,審計(jì)者信任信息的完整性和準(zhǔn)確性以及產(chǎn)生的報(bào)告��。
部署和可擴(kuò)展性:當(dāng)不同的合規(guī)團(tuán)隊(duì)分散在全球各地時(shí)�����,部署和可擴(kuò)展性尤其重要��。SaaS最適合支持地理分割的團(tuán)隊(duì)�����,而這些團(tuán)隊(duì)分別負(fù)責(zé)整個(gè)企業(yè)合規(guī)的某部分����。按期合規(guī)掃描可以在特定時(shí)間對(duì)企業(yè)特定區(qū)域運(yùn)行,允許對(duì)合規(guī)事件進(jìn)行連續(xù)掃描����。SaaS作為總體成本考慮將可擴(kuò)展性移除了,并且合規(guī)開(kāi)始像網(wǎng)絡(luò)瀏覽器一樣無(wú)處不在���。
無(wú)代理:解決方案能夠加快部署速度并降低成本����。修復(fù)配置合規(guī)問(wèn)題并不復(fù)雜�,僅需要將修復(fù)問(wèn)題讓收集合規(guī)數(shù)據(jù)的軟件代理解決即可,對(duì)于有故障的主機(jī)�����,軟件代理不能放入合規(guī)報(bào)告中。
訂閱SaaS:模式可以讓客戶控制合規(guī)解決方案而不需要浪費(fèi)大量資金購(gòu)買�����、申請(qǐng)證書(shū)和支持基于軟件的產(chǎn)品��。整個(gè)服務(wù)是根據(jù)每臺(tái)主機(jī)來(lái)收費(fèi)的����,沒(méi)有任何隱藏費(fèi)用。這與那些涵蓋管理控制臺(tái)����、數(shù)據(jù)收集代理、數(shù)據(jù)庫(kù)�����、合規(guī)報(bào)表附加模塊以及選擇合規(guī)政策管理等功能的解決方案有著明顯的區(qū)別���。簡(jiǎn)單的部署���、可靠的黃金標(biāo)準(zhǔn)報(bào)告以及全面降低TCO都是訂閱SaaS方法的主要優(yōu)勢(shì)。.
基于角色的訪問(wèn):IT團(tuán)隊(duì)在合規(guī)過(guò)程中都會(huì)發(fā)揮某種作用,而對(duì)于由IT團(tuán)隊(duì)組成的企業(yè)而言����,數(shù)據(jù)是至關(guān)重要的。所有合規(guī)團(tuán)隊(duì)發(fā)揮的作用――IT運(yùn)作�、安全和漏洞管理��、內(nèi)部審計(jì)和政策管理���,都需要得到支持����。即使是外部審計(jì)公司都可以作為審計(jì)報(bào)告以衡量實(shí)時(shí)合規(guī)狀況并將咨詢的參與流線化�。
