概述
这个周末的自由时间,用来研究一下遵从性的话题,理论联系实际,同时学习一下VMware的vCM,即配置管理工具。它的主要功能是“连续评估虚拟与物理服务器的遵从状态,并可自动修复不满足遵从性要求的配置项。”
保障遵从性的意义是什么?
保障遵从性是保证安全的大前提,如果空有好的安全策略和安全技术却不能严格落实,就会极大地浪费企业在安全方面的投入,安全风险不能得到有效控制。说得通俗点儿,在安全方面保障不了遵从性就相当于在企业管理方面缺少执行力,结果导致“政令不通”。
何为遵从性检查?
遵从性检查的过程,就是当前值与期望值的比对,那么什么是期望值呢?对于大型公司而言,期望值可能是安全顾问根据企业情况制定的安全策略;对于中小企业而 言,期望值可能是业界的最佳实践;而对于某些特定的行业,上市公司或者对外提供IT服务的企业来说,期望值更可能是政府的法律法规。
对于很多企业来说,期望值是个混合体,即包括来自政府的法律法规,又包括来自业界的最值实践和来自安全顾问的安全策略,这就增加了遵从性检查的难度,加之需要检查的对象五花八门,分布广泛,形态各异,时刻保障遵从性几乎成了不可能完成的任务。
常用的遵从性标准有哪些?
标准的种类非常多,包括且不限于法律法规,行业规范,国际标准,技术指引,业界指南和最佳实践等。可以概括为几个大类,第一类是法律法规,主要有SOX; HIPAA; GLBA; FISMA; DISA; ISO 27002等。第二类是行业规范,主要有PCI DSS; NERC/FERC,第三类是厂商最佳实践,如VMware和Microsoft的系统安全加固指南等。第四类是安全研究组织制定的安全规范,如CIS Certified Benchmarks; DISA NIST等。
SOX即《萨班斯法案》(Sarbanes-Oxley Act)的简称。 萨班斯法案是美国政府出台的一部涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律。它的主要内容是财务监管,主要对象是上市公司。
HIPAA全称为Health Insurance Portability and Accountability Act/1996,Public Law 104-19,中文名为健康保险携带和责任法案。主要内容是在医疗行业内部如何有效共享资源并保护个人的隐私,主要对象是保险公司,医疗机构等。
GLBA的全称是Gramm-Leach-Bliley Act,也叫现代化金融服务法案。用于控制金融机构处理个人信息的方式,这项法案包括三部分:财产保密条例、安全措施条例、托辞供应。其中财产保密条例,用于管制对私 人财产信息的搜集和泄露;安全措施条例,用于保证财政机构必须实现对私人信息的安全保护;托辞供应用于禁止使用不正当的托辞访问私人信息。
FISMA即联邦信息安全管理法案(The Federal Information Security Management Act FISMA)定义了一个广泛的框架来确保联邦政府的数据安全。
DISA实际上指的是Defense Information Systems Agency (DISA) Security Technical Implementation Guide (STIG),是政府发布的技术指引。
ISO27002是由ISO制定的信息安全管理体系实用规则,是目前应用最广泛的安全管理最佳实践,已等同转化为中国国家标准GB/T 22081-2008。 本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。
PCI DSS是支付卡行业 (PCI) 数据安全标准 (DSS) 是一组全面的要求,旨在确保持卡人的信用卡和借记卡信息保持安全,而不管这些信息是在何处以何种方法收集、处理、传输和存储。
NERC/FERC是指North American Regulatory Commission和Federal Energy Regulatory Commission,用于管理能源行业的运营,防范能源行业风险。
CIS Certified Benchmarks,CIS即Center for Internet Security,是目前业界最权威的信息安全研究机构,为常见的系统编制了大量详细的安全指南。
NIST是美国国家标准与技术研究院,也制定了一系列的信息系统安全规范。
如何实现遵从性检查?
遵从性检查主要依靠两种手段,第一种是技术手段,可能自动扫描受检系统,发现遵从性问题,生成遵从性报告,也可以自动修复这些遵从性问题。第二种手段是调查问卷,用于检查那些无法靠技术性手段完成的,可利用培训考试,问答或人工审计等形式来完成。
为什么说遵从性是非常重要的?
在保证信息系统的安全,从技术,人员到流程,都是不容忽视的。全体人员要有安全意识,技术人员要有专业知识;流程要健全并能得到严格执行。但是再严密的安全防护,也难免百密一疏,根据木桶原理,如果不能及时发现并解决安全短板,系统安全将无法得到保障。遵从性解决方案正是应对这一问题的,它可以帮助你:
1,负责解读和映射法律法规与最佳实践,帮助安全管理员在内置模板的基础上制定企业的遵从性策略。
2,自动,快速置备新的系统,确保新部署的系统满足遵从性要求。
3,监测系统的变化,自动收集,分析系统数据,及时发现并纠正不满足遵从性要求的配置。
4,对于不满足遵从性要求且无法修复的系统,可以暂时将其隔离保护,通知管理人员进行处理。
5,生成遵从性报告,可用于企业内审自查,也可用于应对外部审计。
还有一句俗语现在很流行:“不怕神一样的对手,就怕猪一样的队友”,遵从性监测就是帮助企业把“害群之马”找出来,不管他是无心之失,还是有意为止,都可以在危险到来之前把隐患排除掉。
[完]
本文出自 “西蒙[爱生活,爱学习]” 博客,转载请与作者联系!