摘要：確保符合安全合規(guī)性和對(duì)于數(shù)據(jù)保護(hù)法規(guī)的遵守?zé)o疑是企業(yè)IT部門的一個(gè)永恒的負(fù)擔(dān)。但事實(shí)上，這可以變得更容易。在IT領(lǐng)域，一些事務(wù)或許只是短暫性的，但另外一些事務(wù)則會(huì)隨著時(shí)間的推移變得越來越重要。安全合規(guī)性即是如此。

從初期的數(shù)據(jù)保護(hù)法律頒布以來：包括911事件過后，于2002年頒布的《薩班斯·奧克斯利法案(Sarbanes-Oxley Act，SOX)》以及英國(guó)和歐盟的各種法律和指導(dǎo)方針，合規(guī)性一直是IT業(yè)界的一個(gè)噩夢(mèng)。在許多情況下，其被認(rèn)為是在企業(yè)內(nèi)部能夠與諸多事務(wù)都能夠或多或少的扯上關(guān)系，包括IT和金融財(cái)務(wù)、安全和網(wǎng)絡(luò)、技術(shù)和管理，如此諸多繁雜的事務(wù)足以使任何IT專業(yè)人士嚇出了一身冷汗。

例如，如此眾多的合規(guī)性標(biāo)準(zhǔn)包括支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(Payment Card Industry Data Security Standard, PCI DSS)要求企業(yè)實(shí)施實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)測(cè)，確保其機(jī)密的企業(yè)資產(chǎn)處于高安全水平，并要求審計(jì)人員提供符合審計(jì)要求的網(wǎng)絡(luò)合規(guī)審計(jì)報(bào)告。

在英國(guó)米爾頓·凱恩斯(Milton Keynes)地區(qū)委員會(huì)IT團(tuán)隊(duì)最近的一次會(huì)議上，一個(gè)被反復(fù)拿出來討論的議題便是安全合規(guī)性的問題。地區(qū)委員會(huì)顯然會(huì)定期的受到政局改選的影響，但在最近的大選結(jié)果公布之前，這些變化所帶來的潛在影響則是未知的，而安全合規(guī)性也會(huì)受到政治局勢(shì)的影響。那么，誰應(yīng)該為此負(fù)責(zé)呢?

“這對(duì)組織機(jī)構(gòu)而言無疑是一個(gè)相當(dāng)巨大的問題。”米爾頓·凱恩斯地區(qū)委員會(huì)首席IT工程師馬丁·希頓說。

“從某種意義來說很容易——每一個(gè)人都在努力降低運(yùn)營(yíng)成本，但是現(xiàn)在我們已經(jīng)走到一個(gè)十字路口：鑒于成本是如此重要，就要搞清楚究竟應(yīng)該由誰來把握和控制這一戰(zhàn)略性問題?我是否愿意為遵守這些合規(guī)安全性付出更多成本代價(jià)來換取更好一點(diǎn)的IT訪問體驗(yàn)，并使用IT服務(wù)以便能夠有足夠的靈活性隨需求進(jìn)行相應(yīng)的改變?”

希頓還指出了該委員會(huì)曾遭遇過的PSN合規(guī)性方面的問題。為了連接到新的公共服務(wù)網(wǎng)絡(luò)(PSN)，地方議會(huì)以及其他政府部門必須確保他們的安全連接符合由英國(guó)內(nèi)閣所頒布設(shè)置的代碼連接規(guī)定。

歐盟法規(guī)

但企業(yè)或組織機(jī)構(gòu)的IT部門需要處理和應(yīng)對(duì)的遠(yuǎn)不僅僅只是英國(guó)政府機(jī)構(gòu)所頒布的各種合規(guī)性監(jiān)管規(guī)定，他們還必須處理由歐盟組織所發(fā)布的各種規(guī)定。歐盟最新的數(shù)據(jù)保護(hù)法規(guī)也將帶來一系列的問題，根據(jù)一家專注于云安全的企業(yè)Skyhigh Networks公司的歐洲發(fā)言人Nigel Hawthorn介紹說。

Hawthorn表示說，歐盟最新的數(shù)據(jù)保護(hù)法規(guī)將對(duì)所有曾收集了歐盟公民和居民數(shù)據(jù)的企業(yè)產(chǎn)生影響，而如果一旦違反，其嚴(yán)厲的制裁使得用戶有權(quán)對(duì)企業(yè)丟失消費(fèi)者私人數(shù)據(jù)提起賠償，包括集體訴訟，還可能使企業(yè)面臨被處于高達(dá)全球收入5%的違規(guī)罰款。

在這種情況下，相關(guān)的責(zé)任也延伸到了要求數(shù)據(jù)控制者們對(duì)于安全合規(guī)性的嚴(yán)格遵守——內(nèi)容的所有者和數(shù)據(jù)的處理者的：如云供應(yīng)商，對(duì)于數(shù)據(jù)保護(hù)也負(fù)有較重的責(zé)任。Hawthorn認(rèn)為，相關(guān)的監(jiān)管規(guī)定也充分考慮到了利用技術(shù)手段可以幫助保持?jǐn)?shù)據(jù)的安全。并指出，如果數(shù)據(jù)被特別標(biāo)記或“化名”是為滿足個(gè)人對(duì)于數(shù)據(jù)隱私的合理期待。

“這對(duì)企業(yè)來說是好消息，因?yàn)樗试S企業(yè)在將數(shù)據(jù)上傳到云之前對(duì)其實(shí)施加密或特別標(biāo)記，假設(shè)他們把加密密鑰保管在企業(yè)內(nèi)部的話，那么，即使數(shù)據(jù)丟失，也不會(huì)釀成太大的災(zāi)難。”他說。

另一個(gè)大問題是，當(dāng)涉及到好幾方都受到影響時(shí)，究竟誰應(yīng)該擔(dān)負(fù)起責(zé)任?例如，Hawthorn就指出了最近涉及到服務(wù)供應(yīng)商TalkTalk公司的數(shù)據(jù)泄露事件，在該事件中，因?yàn)楣?yīng)商因的數(shù)據(jù)泄露導(dǎo)致TalkTalk的客戶數(shù)據(jù)被曝光，迫使該電信公司采取法律行動(dòng)。

但這種情況在現(xiàn)如今可謂司空見慣了。這迫使企業(yè)的IT部門需要努力了解第三方供應(yīng)商必須遵守哪些安全和合規(guī)標(biāo)準(zhǔn)，以及相關(guān)的數(shù)據(jù)最終去了哪里。Hawthorn說，在TalkTalk公司的案例中，其供應(yīng)商有權(quán)限訪問其客戶的個(gè)人信息，但TalkTalk并不知道這些客戶數(shù)據(jù)信息已經(jīng)被提取，直到他們的客戶反饋說總是收到電話騷擾和試圖進(jìn)行欺詐交易。

云計(jì)算和外包

一般而言，云計(jì)算和外包已經(jīng)為企業(yè)遵守安全合規(guī)性帶來了越來越多的壓力。英國(guó)解決方案銷售商CA Technologies的高級(jí)總監(jiān)Paul Briault指出，軟件即服務(wù)(SaaS)應(yīng)用程序所涉及到得企業(yè)的敏感或機(jī)密數(shù)據(jù)可以說是另一大主要問題。

據(jù)Briault看來，SaaS或應(yīng)用程序外包提供商通常未能很好的解決關(guān)于企業(yè)客戶的機(jī)密數(shù)據(jù)或私有數(shù)據(jù)所涉及到的相關(guān)法律風(fēng)險(xiǎn)等重要問題：數(shù)據(jù)存儲(chǔ)在何處，或者其是如何傳播的。這可能會(huì)導(dǎo)致危險(xiǎn)的合規(guī)性缺口和潛在的法律成本。在這種情況下，要求第三方和最終用戶要敢于大膽的向他們的云服務(wù)提供商提問棘手的問題，以解決遵守合規(guī)性和安全問題。

“一個(gè)很好的起點(diǎn)將包括提問了解：誰有權(quán)訪問數(shù)據(jù)和平臺(tái)，數(shù)據(jù)中心的具體地理位置，該企業(yè)需要了解任何具體國(guó)家的相關(guān)立法規(guī)定，以及一旦數(shù)據(jù)泄露問題發(fā)生，該機(jī)構(gòu)需要遵守的任何具有法律約束力的規(guī)定。”Briault說。

SolarWinds是一家具有網(wǎng)絡(luò)管理權(quán)限的軟件公司，但該公司現(xiàn)在越來越注重合規(guī)性。SolarWinds公司的安全主管Mav Turner說，他們現(xiàn)在所面臨的不斷增加的問題，所有不同的數(shù)據(jù)源整合在一起的合規(guī)性。

“對(duì)于數(shù)據(jù)信息有很大的需求，而性能數(shù)據(jù)加上安全性，無論其是防火墻的日志，或是來自Apache服務(wù)器或任何其他來源的數(shù)據(jù)，企業(yè)均需要將這些數(shù)據(jù)通過入侵檢測(cè)(IDS)和入侵防御(IPS)系統(tǒng)將他們整合在一起，關(guān)聯(lián)數(shù)據(jù)尋找漏洞，無論其是在Web服務(wù)器或其他地方。”他說。

Turner補(bǔ)充說，由于需要與其他終端保護(hù)系統(tǒng)、服務(wù)器、和任何運(yùn)行系統(tǒng)日志的設(shè)備連接，整合僅僅只是起點(diǎn)。然而，他認(rèn)為，好消息是，很多人不只是簡(jiǎn)單的找到“勾選框”了，他們也開始明白理解需求的嚴(yán)重性，他描述說“如果我要投資增加安全性，那么這不只是讓企業(yè)內(nèi)部管理團(tuán)隊(duì)運(yùn)行一個(gè)報(bào)告”。換句話說，這其中既有業(yè)務(wù)責(zé)任也會(huì)有技術(shù)責(zé)任。

“遵守法規(guī)是沒有惡意的。我們的目標(biāo)不是創(chuàng)造難以管理的開銷，但企業(yè)必須重新優(yōu)化，并確保相關(guān)的資源和時(shí)間用得其所，因?yàn)檫@不再是一個(gè)選項(xiàng)，“Turner說。

合規(guī)性準(zhǔn)則指南

Good Practice Guide (GPG) 13是另一項(xiàng)英國(guó)的長(zhǎng)期合規(guī)性指南，同樣為企業(yè)的IT部門帶來了大量的工作，根據(jù)SolarWinds的經(jīng)銷商Kenson公司的Glen Kershaw介紹：GPG 13是重點(diǎn)關(guān)注保護(hù)監(jiān)測(cè)，包括IDS和IPS，以及日志和日志分析的政策。Kershaw聲稱，40%的客戶正在尋求探索他們的合規(guī)性戰(zhàn)略的下一個(gè)步驟，無論是涉及風(fēng)險(xiǎn)水平和管理水平。

“我們有很多客戶要求我們?yōu)镚PG 13提供解決方案，以方便他們能夠安裝軟件和繼續(xù)發(fā)展。”他說。但他認(rèn)為，更重要的是要建立一個(gè)專門處理安全性的工作團(tuán)隊(duì)。

“我不相信單獨(dú)由一個(gè)人來負(fù)責(zé)是可能的。企業(yè)有專門的IT部門，那么其他服務(wù)于客戶的安全團(tuán)隊(duì)則取決于公司的規(guī)模，也許對(duì)中小企業(yè)部門而言會(huì)依賴于軟件;而對(duì)于那些高端企業(yè)則依賴于特定的個(gè)人。”Kershaw說。

對(duì)于監(jiān)測(cè)現(xiàn)有準(zhǔn)則在細(xì)節(jié)水平方面的日益提高，并注重實(shí)時(shí)分析，也是另一個(gè)消耗IT時(shí)間的重要方面。用來測(cè)試漏洞和測(cè)量合規(guī)性的典型的方法是使用漏洞掃描，安全合規(guī)性解決方案提供商N(yùn)ew Net Technologies公司的首席技術(shù)官M(fèi)ark Kedgley說。

但是，他說，有兩個(gè)問題的方法：首先，掃描只是合規(guī)性的快照，并不會(huì)被檢測(cè)到的掃描之間的，使系統(tǒng)容易受到攻擊，直到下一次計(jì)劃的掃描。另一個(gè)主要問題是，一臺(tái)掃描儀是盲目的初始威脅(zero-day threats)，并沒有提供任何文件完整性監(jiān)控，以檢測(cè)違規(guī)活動(dòng)。Kedgley認(rèn)為，不停的文件完整性監(jiān)控是提供持續(xù)的合規(guī)性評(píng)估和實(shí)時(shí)檢測(cè)違約的唯一辦法。

例如，BCH數(shù)字化，交互式語音應(yīng)答(IVR)呼叫管理服務(wù)供應(yīng)商BCH Digital公司，就需要確保其電話卡支付業(yè)務(wù)的合規(guī)性。

BCH Digital公司的一名技術(shù)經(jīng)理克里斯·約翰遜說：“PCI合規(guī)性要求企業(yè)必須確保對(duì)各種文件的跟蹤和系統(tǒng)的監(jiān)控到位。而在尋找功能全面、易于使用、且可以很容易地集成到我們的系統(tǒng)的跟蹤軟件以幫助我們實(shí)現(xiàn)PCI合規(guī)性方面，我們面對(duì)的是一個(gè)難以逾越的障礙。”

在試用了幾種不同的軟件解決方案之后，BCH Digital公司選擇采用了New Net Technologies的變化跟蹤解決方案(Change Tracker solution)。這里的關(guān)鍵是，合規(guī)性跟蹤不僅僅只是一個(gè)“必須有”的標(biāo)記復(fù)選框，而是實(shí)際上有助于企業(yè)的業(yè)務(wù)拓展。

“展望未來，我們相信，我們將繼續(xù)通過PCI-DSS審核，并繼續(xù)保持兼容。”約翰遜說。“這是我們保持客戶和業(yè)務(wù)持續(xù)增長(zhǎng)的一個(gè)關(guān)鍵組成部分。”

可以肯定的是，遵守合規(guī)性和相關(guān)準(zhǔn)則指南不會(huì)簡(jiǎn)單地消失，反而還會(huì)將進(jìn)一步優(yōu)化和調(diào)整。

然而，同樣明顯的是，這對(duì)于軟件企業(yè)是一個(gè)巨大的市場(chǎng)機(jī)會(huì)：越來越多的解決方案以及相關(guān)的專業(yè)知識(shí)迎來市場(chǎng)機(jī)遇將成為可能。同時(shí)，現(xiàn)有的解決方案將會(huì)被優(yōu)化改進(jìn)。至于企業(yè)IT部門，他們會(huì)越來越需要保持與企業(yè)其他如行政管理，安全，金融財(cái)務(wù)等部門緊密合作。