各位朋友,先锋小编为你们选了一篇很好的文章,欢迎讨论!
目前,许多国家都出台了与信息安全有关的法规,比如萨班斯法案等,这对各个行业的日常经营提出了挑战。如何满足日益增多的法律要求,法律法规与安全技术中的联系体现在哪些环节,这些都是当下争论的焦点。
其实,各种法规制定的根本原则都是规定企业在业务流程上要对信息、流程采取安全措施并及时审计,同时将风险转移到企业的管理层上。这样的思路主要是从保护消费者和投资人的出发点考虑,但实现的前提是企业的IT基础设施必须能够支持这些安全管理的要求,特别是能够从企业的各个业务环节进行信息采集、汇总、分析与响应。
不过说起来容易,实现起来的困难却不小。所有的法规遵从性工作涉及到了企业的边界安全、内网安全、终端安全以及企业安全策略的下发、执行,此外还有大量的企业内部控制与内部审计的流程需要和业务系统结合。因此,全套过程涉及到企业的核心业务、OA、数据库安全、决策支持、供应链管理等诸多环节,如果采用传统的分散系统、IT分而治之的策略,几乎就是一件不可能完成的任务。而目前国内这样的企业还有很多。
正是意识到法规遵从对于企业IT系统的巨大挑战, EMC信息安全事业部门RSA推出了帮助企业进行安全管理与实现遵从性的enVision安全管理平台。RSA enVision平台的最大特点,就是可以横跨企业的IT计算环境,包括交换机、路由器、大中型主机、服务器、存储设备以及企业的核心业务系统与各种应用。
架构,通过采用标准的IP协议来采集、整合、规范、分析这些来自不同基础设施的源数据。换句话说,只要企业的内部网络足够发达,enVision平台就可以自动为企业创建完整的可视化安全视图,并提供集中管理的工作模式。这对于企业的IT人员来说,是大大的减负。”
其实,统一安全管理平台的好处不仅在降低管理复杂度上,而且,其自身对于企业创建、执行、监管相应的安全策略也非常有意义。
以 集团为例,该集团以往扩张新的加盟酒店的时候,都是采取区域自身审批、集中上报的模式。从业务风险的控制上看,这显然无法满足相关法规的要求。但如果利用集中的安全管理平台,在部署enVision系统之后,所有新店的开业、加盟都是按照企业在法规要求中的流程执行,enVision平台的实时监控系统会监控整个业务过程,并记录到相应的日志系统中去。
此外,在流程审批、权限审核、公文报表流转等业务环节,enVision都可以实时展开企业安全策略的遵从性要求,包括对分支机构员工的访问控制落实、对人员权限的授权与审计、对上下游供应链环节的访问控制,甚至是对企业新网点开展安全风险内部评估与监测。
不难看出,一套完整的安全管理平台可以把看似不相关的原始安全数据和网络事件转化为有意义的综合分析,从而降低企业CIO的压力,提高安全人员的工作效率,并为日益严格的法规遵从要求提供支持。 (转)
|