企业实现自动化IT安全合规管理

　　全面视角：法规遵从和IT团队

　　这三组团队虽然面对同样的数据实体，但是他们的观点都是片面的。

　　由于没有连贯性，从全面的角度查看公司所有(或者根据不同的法规要求查看某些)的合规数据越来越无法实现，成为特殊过程。在监管范围之间或者合规团队之间，合规任务通常是多余的。此外，使用仅能协助三个IT团队中的一个的单点解决方案的话，重叠的安全和合规要求会使零散数据和冗余工作变得更加繁重。

　　为了规划出一个成功的法规遵从解决方案的要求，必须认真考虑这三个与合规相关的团队的责任问题。让我们先来看看每个团队的传统重叠的职责。

　　我们可以将所有合规活动分为一系列的任务，这些任务可以归类为定义类、发现类、评估类和修复类，将这些任务分配给三个IT团队，如下图所示：

　　我们看到，尽管每个团队都有其独特的职责，但在他们各行其职时显然有很多重复的责任。与此同时，对于不同的法规要求和内部政策要求也有很多重复，这使得公司花费不必要得开支来为每个独立的合规团队部署和管理一次性解决方案。这些重叠为我们提供了这样一个机会，巩固政策管制和合规数据――重新使用政策、管制和合规数据以适应每个合规团队的需求以及法规和安全政策的要求。

　　例如，某公司的密码政策涉及到SOX、 HIPAA、 GLBA、 NIST和其他外部法规以及内部安全政策，同时，用户访问控制和权限则涉及到SOX、GLBA、NIST和内部政策，修补程序则与SOX、NIST和内部IT管理有关，而所有这些政策和控制都与合规审计、漏洞管理以及IT 运作团队活动相关。

　　整合解决方案的要求

　　企业应该如何利用这些重叠的部门来集中和简化合规管理，并同时节省时间和金钱呢?我们已经确定了每个IT团队在合规过程中的角色，以及需要支持每个团队角色的解决方案要素。要创建整合的解决方案要素应该包括：

　　政策合规标准与控制的单一的电子库

　　当公司开始为遵守法规和政策开发最佳做法的时候，他们将需要在可能的区域重新利用合规政策和控制，采用智能过滤和分析来满足每个团队和合规任务的要求。这意味着需要部署政策和合规信息的信息库，能够涵盖整个操作系统、应用程序和所有外部内部合规进程。

　　例如，很多企业会有一些安全要求，来控制恶意软件、限制P2P软件的安装、控制对IT环境有害的应用程序的安装等，以及其他合规和安全需求。在最近的部署中，某企业利用57项不同的纸质标准来处理各种操作系统和应用程序的使用问题。更有效的合规模式能够将所有这些标准和控制收集在一个电子库中，该电子库能够有效访问、更新和共享(不同团队依据不同目的共享)。

　　多用途合规检查

　　除了需要为每个法规和内部业务要求建立和例行维护合规检查外，公司还需要运用“建立后，多次部署”策略。一个单一的核心合规检查小组除了少量区别外，几乎可以为公司的所有合规要求提供支持。例如，用户密码政策、用户访问权限、帐户管理和其他类型的检查可以设计为满足所有内部和法规要求，从而减轻管理的负担，并且能够让合规团队将精力集中在维护少数独特的合规要求上。

　　变更控制

　　政策检查通常有一个生命周期，这取决于检查数量以及随着业务需求和新系统的改变而发生对具体要求的变化。为适应这些生命周期和支持合规归档，合规系统需要配置一个变更机制，能够提供审计线索，这包括变更的日期、变更的人和任何审批通过的变更。

　　根据既定的IT黄金标准进行审计

　　根据既定的IT黄金标准进行审计

　　为确保遵守政策，可以在新系统被部署前或者被用于生产环境前对其进行检查。为向所有方法提供有效支持，IT可以创建一个“黄金标准”或者为特定主机配置设定基本标准，根据黄金标准测试所有其他类型的主机。对于定期会从测试环境向生产环境部署服务器的公司而言，这种方法可以实现对主机配置的验证，以确保符合合规基本标准和减少部署阶段的风险。

　　一旦主机部署在生产环境中，需要运用适当的侦察控制来持续地衡量政策合规。确定合规通常需要查询代表操作系统和应用程序配置的数据集，并将查询结果与针对相关合规政策产生的预期结果进行比较。拥有一个既定的黄金标准可以为公司提供有效的支持，政策驱动控制测试(由具体控制确定的)可以将数以百计的主机配置数据集查询结果与预期查询结果比较。

　　异常控制

　　日常业务可能也会需要临时的或者基于角色的控制，例如，某公司的安全政策可能包含限制FTP服务在任何服务器上运行，但是某些企业员工在某些时候可能需要临时使用FTP。

　　这种异常控制以及随后的工作流程必须被允许和归档，通常情况下公司允许这种非常规活动需要承担一定风险。特别是当实施第三方审计(内部或外部审计员)控制时尤为重要，第三方可能无法理解故意违反政策的商业原因。

　　综合管理、报告和事件跟踪

　　在综合管理、报告和事件跟踪方面，整合合规和漏洞管理解决方案的主要目标已经实现，理想情况是，整个企业只有一个系统允许你进行以下操作：

　　管理多个合规要求：包括所有相关的外部法规和内部安全政策，解决方案应该要提供一个连续的自动化查看主机配置，并能在每次扫描主机时更新数据。

　　生成报告：支持每个合规团队的需求，包括合规数据和审计结果。所有的报告必须基于所有合规数据集，以确保一致性和完整性。

　　发布并跟踪问题：以确保问题及时得到解决并报告给资产所有者，这一功能应该作为解决方案的内置功能以便消除时间差或者黑洞，这种问题在从IT部门传送问题到部门经理(责任方)处时经常发生。

　　整合解决方案的架构

　　整合解决方案需要支持所有的合规进程，需要为合适的团队应用合适的工具，示例解决方案架构和流程如下图所示：

为什么软件即服务(SaaS)最能适应合规?

　　我们已经了解使用合规单点解决方案将带来的问题，单点解决方案智能解决IT团队需求的一部分，并且还将受到每个团队地理位置的限制。IT部门的所有团队需要一个统一的合规颁发，能够支持每个团队的具体职责同时能够支持团队检的职责分工关系。SaaS方法的好处在于：

　　值得信赖的第三方：能够提供可靠的数据，因为所有主机合规数据和政策都被QualyGuard存储并不受操控，审计者信任信息的完整性和准确性以及产生的报告。

　　部署和可扩展性：当不同的合规团队分散在全球各地时，部署和可扩展性尤其重要。SaaS最适合支持地理分割的团队，而这些团队分别负责整个企业合规的某部分。按期合规扫描可以在特定时间对企业特定区域运行，允许对合规事件进行连续扫描。SaaS作为总体成本考虑将可扩展性移除了，并且合规开始像网络浏览器一样无处不在。

　　无代理：解决方案能够加快部署速度并降低成本。修复配置合规问题并不复杂，仅需要将修复问题让收集合规数据的软件代理解决即可，对于有故障的主机，软件代理不能放入合规报告中。

　　订阅SaaS：模式可以让客户控制合规解决方案而不需要浪费大量资金购买、申请证书和支持基于软件的产品。整个服务是根据每台主机来收费的，没有任何隐藏费用。这与那些涵盖管理控制台、数据收集代理、数据库、合规报表附加模块以及选择合规政策管理等功能的解决方案有着明显的区别。简单的部署、可靠的黄金标准报告以及全面降低TCO都是订阅SaaS方法的主要优势。.

　　基于角色的访问：IT团队在合规过程中都会发挥某种作用，而对于由IT团队组成的企业而言，数据是至关重要的。所有合规团队发挥的作用――IT运作、安全和漏洞管理、内部审计和政策管理，都需要得到支持。即使是外部审计公司都可以作为审计报告以衡量实时合规状况并将咨询的参与流线化。（IT专家网）