中国塞班斯法案背景下的企业安全管理新思路

　　去年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(也称中国的塞班斯法案)。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。在财政部早前的计划中，7月1日是《企业内部控制基本规范》开始实施的时间点。虽然财政部悄然推后了《内控规范》实施的时间，改为2010年1月1日开始执行。但企业需要进行IT合规已经是不容置疑的趋势了。

　　为此，我们采访了RSA全球产品管理与策略副总裁Sam Curry，Sam分享了他对《内控规范》背景下企业安全管理的一些看法。

RSA全球产品管理与策略副总裁Sam Curry

　　安全投资成本让企业为难

　　全球的经济衰退，一方面让企业的投资大幅缩水，另一方面，有让企业的安全风险急剧增加。防火墙、VPN、IPS、IDS、DLP……只要有一个设备的欠缺，企业的安全就会埋下极深的隐患。这的确不是一个伪命题。但是企业需要完成这个命题，可以说需要付出高昂的成本。

　　我们再回头看看《内控规范》，《规范》第七条指出， 企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。　　第四十一条指出，企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

　　从最好要去做到一定要做，在面临金融危机的时刻，很多企业会认为这种状态实在很囧。事实上，我们可以换一个角度去考虑问题。

密密麻麻的规范 如果企业用原来的方法应对，无疑陷入窘境

　　解决问题的新思路

　　在谈到规范时候，Sam向我们介绍，相比于中国，在美国，企业需要遵守更多的IT规范，如果全部做到IT合规，并且为这些IT合规单独投资，成本将会相当惊人，根据Gartner的估计，如果企业单个地解决IT合规的问题，由于重复劳动带来的开销甚至超过150%。随着中国的发展和规范化，这种矛盾也会在中国日益突出，因此，我们需要新的解决方案，具体来说，就是抛弃原有的单独投资，而采用统一的一套方案来应对不同的法规。

　　Sam的建议是，用一套通用的框架来解决所有的合规问题，从而简化合规，降低成本。例如，传统的方式下，为符合PCI DSS，需要在端点制定策略，实行监控、身份认证、数据加密等措施;为符合内部政策，需要在网络上防止数据泄漏，实行监控、网络准入控制、数据加密等措施;为符合合作伙伴的政策，需要在数据库和应用上实施日志管理、身份认证、访问控制;为符合数据隐私法规，需要对文件系统和内容管理系统进行监控、身份认证和访问控制;为符合巴塞尔II，需要对存储进行加密和监控。这种分散的方式带来了大量的重复劳动。

　　采用RSA的新思路，在底层实施防数据泄漏，然后对敏感数据加密，对密钥进行统一管理，再往上分别进行访问控制、身份认证、监控/报告/审计。这一套框架适用于所有的法规。接受检查时，根据不同法规提供相应的报告就可以了。这样大大减少重复劳动，可以快速地满足新法规的要求，而且降低合规成本。

　　Sam希望用户能够更关注于IT要执行的任务上，而不是IT设备，正如学写字的时候，应该把精力放在写字上，而不是笔上。IT系统应该是服务于企业的，首先我们应该给出一些指令，指示IT系统如何做，其次IT系统要回馈我们，它是如何完成的。实际情况如果企业从产生报告或者做审计开始，比从给出指令开始聪明得多。自动化会使系统变得更可靠，也使这个系统变得更具可扩展性，也更容易进行复制。问题的关键就在于做完报告后给出的IT指令是非常正确的，因此要使用恰当、正确的工具，而且这些工具是可以被修改的。这只是目标之一，还有许多其他的目标也需要实现。因为最终的目标就是要让IT系统服务于整个公司。

　　新思路下的新方法

　　RSA用五个核心架建块来最终实现IT合规。这五个构建块的实现中，既有RSA的产品和服务，也有EMC及合作伙伴的产品和服务。

　　首先，明确需要进行保护的数据和与数据关联的责任人;其次，建立你自己的政策和数据分类机制。明确的数据分类机制，例如最高机密、机密、内部使用、对外使用，列出对每一类数据的控制。第三，针对识别出来的重要数据，明确所有这些信息都在你技术环境什么地方，是结构化的还是非结构化的数据?数据存储在哪里?它们是如何移动的?如何访问?谁有访问权限?第四，执行控制框架。对识别出来的领域，下一步就是运用技术控制、政策和程序降低风险。第五，监控、管理和改进。持续监控安全程序，确保敏感数据能够识别出来，安全政策和控制正常运转。并将风险分析融入到新的控制流程中。

　　Sam很形象的向我们解释了这一个过程，他用了一个移动数据资料的例子，假设一位用户丢失了笔记本可能会损失掉很多数据，如果他向IT部门寻求解决方案，他们最初的回答可能是加密硬盘。接下来我们要考虑如何建立起一个系统进行相应的防备同时看信息是如何行事的。与微软的保护计划有关，如果出现什么问题，我们要对它进行相应的管理。这就需要要整体看待系统，而且定义数据和信息如何行为。下一步工作当然是要把上述提到的项目并行起来，让上下以同样的方式进行运作。

　　安全生态系统的建设

　　要实现最低成本的最高安全，不是一个厂商、一家企业能够做到的。而RSA一直倡导能够建立一个完善的安全生态系统。Sam介绍，RSA目前已经开始与微软、思科等厂商合作共同建立安全生态系统。

　　值得关注的是RSA与思科的合作，主要集中在RSA enVision安全信息和事件管理(SIEM)解决方案已经与思科移动服务引擎(Mobility Services Engine, MSE)平台集成。这一集成可以向IT专业人士提供可操作的事件信息，包括实时的用户物理位置、连接到有线/无线网络的主机和设备信息，从而帮助企业改善IT运营，强化安全策略，更快地响应安全威胁。

　　对于这个平台，有分析师表示，“今天，企业移动办公人员不断增加，保持数据安全成为一项挑战。了解最终用户位置是确定安全策略所需要的重要信息。它一直是许多SIEM解决方案所缺少的重要组件。通过包含位置数据，能够进一步在整个移动服务中建立一致、集中的安全策略。 ”

　　而Sam希望，厂商建的合作不要是“非此即彼”的关系，最好是RSA这样的安全公司和拥有先进技术的基础设施厂商共同领导。在过去的历史中，曾经有过很多现象，那些拥有最佳技术公司，实际上最后很多都以失败告终，而那些真正的赢家可以切实听取客户意见，做出反映满足客户需求的公司。