從1999年以來(lái),在美國(guó)和歐盟大量出臺(tái)與信息安全有關(guān)的法規(guī),陸陸續(xù)續(xù)對(duì)各個(gè)行業(yè)的日常經(jīng)營(yíng)提出了挑戰(zhàn)。隨著全球化進(jìn)程的不斷深入,這些法案逐漸帶有國(guó)際標(biāo)準(zhǔn)的特色。其中,以2002年出臺(tái)的SOX法案最有代表性。隨著其404條款在2006年正式對(duì)在美國(guó)上市的外國(guó)公司“施加影響”,越來(lái)越多的上市公司意識(shí)到了信息安全與企業(yè)規(guī)則之間的聯(lián)系。
無(wú)論是美國(guó)還是中國(guó),企業(yè)對(duì)于法律法規(guī)的安全遵從是所必需盡到的社會(huì)義務(wù)。確保企業(yè)的IT基礎(chǔ)設(shè)施和信息流轉(zhuǎn)過(guò)程滿(mǎn)足安全的要求,不僅是對(duì)企業(yè)IT經(jīng)理的考驗(yàn),而且也是對(duì)信息安全廠家的要求:過(guò)程安全、全局監(jiān)控、規(guī)則匹配、保障到位,已經(jīng)成為當(dāng)前法規(guī)安全遵從中的技術(shù)重點(diǎn)。
那么,如何滿(mǎn)足日益增多的法律要求,法律法規(guī)與安全技術(shù)中的聯(lián)系體現(xiàn)在哪些環(huán)節(jié),這些都是當(dāng)下?tīng)?zhēng)論的焦點(diǎn)。
其實(shí)不論是SOX,還是GLB,其根本原則都是規(guī)定企業(yè)在業(yè)務(wù)流程上要對(duì)信息、流程采取安全措施并及時(shí)審計(jì),同時(shí)將風(fēng)險(xiǎn)轉(zhuǎn)嫁到企業(yè)的管理層上。這樣的思路主要是從保護(hù)消費(fèi)者和投資人的出發(fā)點(diǎn)考慮,但實(shí)現(xiàn)的前提是企業(yè)的IT基礎(chǔ)設(shè)施能夠支持這些安全管理的要求特別是能夠從企業(yè)的各個(gè)業(yè)務(wù)環(huán)節(jié)進(jìn)行信息采集、匯總、分析與響應(yīng)。
不過(guò)說(shuō)起來(lái)容易,實(shí)現(xiàn)起來(lái)的困難卻不小。以國(guó)內(nèi)知名的如家快捷連鎖酒店為例,該公司從2006年開(kāi)始了針對(duì)404條款的法規(guī)遵從工作,并計(jì)劃在美國(guó)上市。據(jù)該公司系統(tǒng)負(fù)責(zé)人透露,所有的法規(guī)遵從性工作涉及到了企業(yè)的邊界安全、內(nèi)網(wǎng)安全、終端安全、以及企業(yè)安全策略的下發(fā)、執(zhí)行,此外還有大量的企業(yè)內(nèi)部控制與內(nèi)部審計(jì)的流程需要和業(yè)務(wù)系統(tǒng)結(jié)合,因此全套過(guò)程涉及到企業(yè)的核心業(yè)務(wù)、OA、數(shù)據(jù)庫(kù)安全、決策支持、供應(yīng)鏈管理等諸多環(huán)節(jié),如果采用傳統(tǒng)的分散系統(tǒng)、IT分而治之的策略,幾乎就是一件不可能完成的任務(wù)。而目前國(guó)內(nèi)類(lèi)似于這樣的企業(yè)還有很多。
正是意識(shí)到法規(guī)遵從對(duì)于企業(yè)IT系統(tǒng)的巨大挑戰(zhàn),RSA,EMC信息安全事業(yè)部專(zhuān)門(mén)推出了幫助企業(yè)進(jìn)行安全管理與實(shí)現(xiàn)遵從性的enVision安全管理平臺(tái)。RSA enVision平臺(tái)的最大特點(diǎn),就是可以橫跨企業(yè)的IT計(jì)算環(huán)境,包括了:交換機(jī)、路由器、大中型主機(jī)、服務(wù)器、存儲(chǔ)設(shè)備以及企業(yè)的核心業(yè)務(wù)系統(tǒng)與各種應(yīng)用。
其實(shí)在安全管理平臺(tái)的范疇中,從來(lái)不缺乏競(jìng)爭(zhēng)者。但一般令用戶(hù)感到頭疼的,由于缺乏統(tǒng)一標(biāo)準(zhǔn),一般的管理平臺(tái)很難完成對(duì)企業(yè)分散系統(tǒng)中的源數(shù)據(jù)的收集工作。
幸運(yùn)的是,RSA enVision平臺(tái)能夠使用內(nèi)在的LogSmart IPDB互聯(lián)網(wǎng)協(xié)議數(shù)據(jù)庫(kù)架構(gòu),通過(guò)采用標(biāo)準(zhǔn)的IP協(xié)議來(lái)采集、整合、規(guī)范、分析這些來(lái)自不同基礎(chǔ)設(shè)施的源數(shù)據(jù)。換句話說(shuō),只要企業(yè)的內(nèi)部網(wǎng)絡(luò)足夠發(fā)達(dá),enVision平臺(tái)就可以自動(dòng)為企業(yè)創(chuàng)建完整的可視化安全視圖,并提供集中管理的工作模式。這對(duì)于企業(yè)的IT人員來(lái)說(shuō),則是大大的“減負(fù)”。
最近由DoSTOR存儲(chǔ)在線舉行的2007存儲(chǔ)風(fēng)云榜評(píng)選中, RSA,EMC安全事業(yè)部 enVision信息安全解決方案獲得了“2007年度存儲(chǔ)安全解決方案”這一獎(jiǎng)項(xiàng),進(jìn)入內(nèi)地市場(chǎng)以來(lái),enVision以其卓越的性能引起了眾多企業(yè)的關(guān)注。
其實(shí),統(tǒng)一的安全管理平臺(tái)的好處不僅在于降低管理復(fù)雜度上,其自身對(duì)于企業(yè)創(chuàng)建、執(zhí)行、監(jiān)管相應(yīng)的安全策略非常有意義。
這里仍以如家快捷酒店集團(tuán)為例。該集團(tuán)以往擴(kuò)張新的加盟酒店的時(shí)候,都是區(qū)域自身審批,集中上報(bào)的模式,從業(yè)務(wù)風(fēng)險(xiǎn)的控制上,顯然無(wú)法滿(mǎn)足404條款的要求;但如果利用集中的安全管理平臺(tái),如果部署enVision系統(tǒng)之后,所有的新店開(kāi)業(yè)、加盟都是按照企業(yè)在法規(guī)要求中的流程執(zhí)行,enVision平臺(tái)的實(shí)時(shí)監(jiān)控系統(tǒng)會(huì)監(jiān)控整個(gè)業(yè)務(wù)過(guò)程,并記錄到相應(yīng)的日志系統(tǒng)中去。此外,在流程審批、權(quán)限審核、公文報(bào)表流轉(zhuǎn)等業(yè)務(wù)環(huán)節(jié),enVision都可以實(shí)時(shí)展開(kāi)企業(yè)安全策略的遵從性要求,包括對(duì)分支機(jī)構(gòu)員工的訪問(wèn)控制落實(shí)、對(duì)人員權(quán)限的授權(quán)與審計(jì)、對(duì)上下游供應(yīng)鏈環(huán)節(jié)的訪問(wèn)控制,甚至是對(duì)企業(yè)新網(wǎng)點(diǎn)開(kāi)展安全風(fēng)險(xiǎn)內(nèi)部評(píng)估與監(jiān)測(cè)。
不難看出,一套完整的安全管理平臺(tái)可以把看似不相關(guān)的原始安全數(shù)據(jù)和網(wǎng)絡(luò)事件轉(zhuǎn)化為有意義的智能,從而降低企業(yè)CIO的壓力,提高安全人員的工作效率,并為日益嚴(yán)格的法規(guī)遵從要求提供支持。
RSA enVision能夠幫助企業(yè)實(shí)現(xiàn):
從任一IP終端有效地收集和存儲(chǔ)審計(jì)日志信息
分析和管理安全事件,實(shí)現(xiàn)實(shí)時(shí)預(yù)警和詳盡的法律取證分析
分析數(shù)據(jù)產(chǎn)生目標(biāo)法規(guī)和企業(yè)內(nèi)部規(guī)定的遵從報(bào)告
與企業(yè)級(jí)存儲(chǔ)設(shè)備共同組成完整有效的日志數(shù)據(jù)生命周期管理解決方案
