RSA专家支招巧应对 企业内控不再繁杂

　　2009年7月8日，RSA, EMC信息安全事业部在北京举行小型媒体交流会，RSA负责全球产品管理与策略的副总裁Sam Curry介绍了一种简化IT合规、降低合规成本的思路和途径，为当前“中国版萨班斯”执行难的状况提供了一个有益的启示。

　　企业IT合规迫在眉睫

　　一年前由财政部、证监会、审计署、银监会、保监会五大部委联合发布的《企业内部控制基本规范》(简称《规范》)，如今遇到执行难的问题。7月1日，原本是五部委《规范》正式实施的日子。但是据消息称这一规范推迟了半年，延期到2010年1月1日再实施，2010年年底，执行企业要出具内控自我评价报告。执行范围也缩小到境外上市公司，之后再扩大到国内上市公司及其它大型企业。据专家分析，延期的原因，一是企业的准备工作还不足，有大量工作要做;二是企业执行成本比较大，在经济危机时期形势尤其严峻。

　　尽管《规范》不等同于IT合规，但是跟IT合规有着密切的联系。《规范》第七条指出， 企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。　　第四十一条指出，企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

　　由此可见，对国内不少大型企业来说，IT合规成了迫在眉睫的事情。无论《规范》何时执行，中国企业的IT合规都是一个必修课。如何高效地实现IT合规，成为管理者关心的话题。

　　一套方案应对多种法规

　　其实，除了《规范》以外，企业可能还要面对很多管理规定，例如公安部、国家保密局、国家密码管理局、国务院信息工作办公室四部委下发的《信息安全等级保护管理办法》。对于境外上市的企业来说，要受到更多国际法规约束。Sam Curry指出，根据国外的经验，企业有大量的法规和政府需要遵从，例如支付卡行业数据安全标准(PCI DSS)、内部政策、合作伙伴政策、数据隐私法规、巴塞尔II规则等。传统的方法是，逐个满足这些法规的要求。但是法规层出不穷，企业会疲于应对，而且成本高昂。根据Gartner的估计，如果企业单个地解决IT合规的问题，由于重复劳动带来的开销超过150%。

　　RSA的建议是，用一套通用的框架来解决所有的合规问题，从而简化合规，降低成本。例如，传统的方式下，为符合PCI DSS，需要在端点制定策略，实行监控、身份认证、数据加密等措施;为符合内部政策，需要在网络上防止数据泄漏，实行监控、网络准入控制、数据加密等措施;为符合合作伙伴的政策，需要在数据库和应用上实施日志管理、身份认证、访问控制;为符合数据隐私法规，需要对文件系统和内容管理系统进行监控、身份认证和访问控制;为符合巴塞尔II，需要对存储进行加密和监控。这种分散的方式带来了大量的重复劳动。

　　图1 传统的方式造成大量重复劳动

　　采用RSA的新思路，在底层实施防数据泄漏，然后对敏感数据加密，对密钥进行统一管理，再往上分别进行访问控制、身份认证、监控/报告/审计。这一套框架适用于所有的法规。接受检查时，根据不同法规提供相应的报告就可以了。这样大大减少重复劳动，可以快速地满足新法规的要求，而且降低合规成本。

　　图2 以通用框架满足所有法规要求

　　五个构建块解决问题

　　基于以上的通用框架，RSA用五个核心架建块来最终实现IT合规。这五个构建块的实现中，既有RSA的产品和服务，也有EMC及合作伙伴的产品和服务。

　　首先，你需要搞清楚，哪些法规和要求适用于你的企业?哪些数据按要求必须保护?关键业务数据(例如客户名单、知识产权、源代码)的类型是什么?这些数据在谁手里——谁应该最终对保护这些数据负责?你能接受的风险级别是什么?

　　其次，建立你自己的政策和数据分类机制。明白了哪些信息对你的企业重要之后，你需要按照ISO 27002之类的行业框架建立全面的安全政策。在这个政策中，明确你的数据分类机制，例如最高机密、机密、内部使用、对外使用，列出对每一类数据的控制。例如，需要对最高机密的数据进行加密和双因素身份认证，而对内部使用的数据，只要加用户和强品令就可以了。

　　第三，发现。针对你识别出来的重要数据，你必须能够确定所有这些信息都在你技术环境什么地方，是结构化的还是非结构化的数据?数据存储在哪里?它们是如何移动的?如何访问?谁有访问权限?此外，你必须用IT安全政策检查一下，这些数据是否按照要求/分类和政策进行了保护;确定各类信息的风险级别。之后，制定全面的路线图，显示哪些领域超出了可接受的风险级别。

　　第四，执行控制框架。对识别出来的领域，下一步就是运用技术控制、政策和程序降低风险。可能的控制手段如：物理安全控制——读卡器、智能卡、摄像头;身份控制——口令、双因素认证;授权控制——基于角色的访问控制、按需提供;监控控制——事件日志、告警，等等。

　　第五，监控、管理和改进。你需要持续监控安全程序，确保敏感数据能够识别出来，安全政策和控制正常运转。并将风险分析融入到新的控制流程中。

　　图3 五个构建块及RSA相应的解决方案

　　Sam还以ISO/IEC 27002这一国际通行的信息安全管理规则为例，介绍了RSA统一框架的实施过程。