作 者:CWW
1999年 Gramm-Leach-Bliley Act 格雷姆-里奇-比利(GLB)法案 要求金融机构保护客户信息的安全性、完整性和保密性。
2001年 Health Insurance Portability and Accountability Act 健康保险携带和责任(HIPAA)法案 对医疗行业的信息安全进行了规范,同时对患者的信息进行了管理
2002年 Sarbanes-Oxley 萨班斯-奥克斯利法案 规范上市公司的信息披露,以行政力量进行监管。
2004年 Payment Card Industry 支付卡产业(PCI)数据安全标准 为商户、处理机构、供应商以及金融机构等产业参与者建立可实施的数据安全保护标准,提升交易处理过程中支付账户的安全。
从1999年以来,在美国和欧盟大量出台与信息安全有关的法规,陆陆续续对各个行业的日常经营提出了挑战。随着全球化进程的不断深入,这些法案逐渐带有国际标准的特色。其中,以2002年出台的SOX法案最有代表性。随着其404条款在2006年正式对在美国上市的外国公司“施加影响”,越来越多的上市公司意识到了信息安全与企业规则之间的联系。
无论是美国还是中国,企业对于法律法规的安全遵从是所必需尽到的社会义务。确保企业的IT基础设施和信息流转过程满足安全的要求,不仅是对企业IT经理的考验,而且也是对信息安全厂家的要求:过程安全、全局监控、规则匹配、保障到位,已经成为当前法规安全遵从中的技术重点。
那么,如何满足日益增多的法律要求,法律法规与安全技术中的联系体现在哪些环节,这些都是当下争论的焦点。
其实不论是SOX,还是GLB,其根本原则都是规定企业在业务流程上要对信息、流程采取安全措施并及时审计,同时将风险转嫁到企业的管理层上。这样的思路主要是从保护消费者和投资人的出发点考虑,但实现的前提是企业的IT基础设施能够支持这些安全管理的要求特别是能够从企业的各个业务环节进行信息采集、汇总、分析与响应。
不过说起来容易,实现起来的困难却不小。以国内知名的如家快捷连锁酒店为例,该公司从2006年开始了针对404条款的法规遵从工作,并计划在美国上市。据该公司系统负责人透露,所有的法规遵从性工作涉及到了企业的边界安全、内网安全、终端安全、以及企业安全策略的下发、执行,此外还有大量的企业内部控制与内部审计的流程需要和业务系统结合,因此全套过程涉及到企业的核心业务、OA、数据库安全、决策支持、供应链管理等诸多环节,如果采用传统的分散系统、IT分而治之的策略,几乎就是一件不可能完成的任务。而目前国内类似于这样的企业还有很多。
正是意识到法规遵从对于企业IT系统的巨大挑战,RSA,EMC信息安全事业部专门推出了帮助企业进行安全管理与实现遵从性的enVision安全管理平台。RSAenVision平台的最大特点,就是可以横跨企业的IT计算环境,包括了:交换机、路由器、大中型主机、服务器、存储设备以及企业的核心业务系统与各种应用。
其实在安全管理平台的范畴中,从来不缺乏竞争者。但一般令用户感到头疼的,由于缺乏统一标准,一般的管理平台很难完成对企业分散系统中的源数据的收集工作。
幸运的是,RSAenVision平台能够使用内在的LogSmartIPDB互联网协议数据库架构,通过采用标准的IP协议来采集、整合、规范、分析这些来自不同基础设施的源数据。换句话说,只要企业的内部网络足够发达,enVision平台就可以自动为企业创建完整的可视化安全视图,并提供集中管理的工作模式。这对于企业的IT人员来说,则是大大的“减负”。
最近由DoSTOR存储在线举行的2007存储风云榜评选中,RSA,EMC安全事业部enVision信息安全解决方案获得了“2007年度存储安全解决方案”这一奖项,进入内地市场以来,enVision以其卓越的性能引起了众多企业的关注。
其实,统一的安全管理平台的好处不仅在于降低管理复杂度上,其自身对于企业创建、执行、监管相应的安全策略非常有意义。
这里仍以如家快捷酒店集团为例。该集团以往扩张新的加盟酒店的时候,都是区域自身审批,集中上报的模式,从业务风险的控制上,显然无法满足404条款的要求;但如果利用集中的安全管理平台,如果部署enVision系统之后,所有的新店开业、加盟都是按照企业在法规要求中的流程执行,enVision平台的实时监控系统会监控整个业务过程,并记录到相应的日志系统中去。此外,在流程审批、权限审核、公文报表流转等业务环节,enVision都可以实时展开企业安全策略的遵从性要求,包括对分支机构员工的访问控制落实、对人员权限的授权与审计、对上下游供应链环节的访问控制,甚至是对企业新网点开展安全风险内部评估与监测。
不难看出,一套完整的安全管理平台可以把看似不相关的原始安全数据和网络事件转化为有意义的智能,从而降低企业CIO的压力,提高安全人员的工作效率,并为日益严格的法规遵从要求提供支持。
RSAenVision能够帮助企业实现:
从任一IP终端有效地收集和存储审计日志信息
分析和管理安全事件,实现实时预警和详尽的法律取证分析
分析数据产生目标法规和企业内部规定的遵从报告
与企业级存储设备共同组成完整有效的日志数据生命周期管理解决方案