遵从性：天使还是恶魔？

内容摘要

亚洲有越来越多的CIO在企业内部开展遵从性项目。如果实施的好，遵从性项目会让IT主管成为保护企业数据和名誉的天使，然而不断增加的遵从性要求往往挤占企业的IT预算而牺牲掉其他的安全措施，一旦陷入这样的魔爪，企业的安全势态最终会因缺乏基本要素而不再安全。

本文将剖析企业为达到遵从性要求而牺牲基本安全需求的危害，进而探讨CIO制订出前瞻性的信息安全战略的四大步骤。

天使，还是恶魔？

不断增加的遵从性要求和由此带来的挑战，让亚洲IT主管们感到肩上的责任越来越重。他们中越来越多的人开始负责企业的遵从性项目，这令他们可能成为保护企业安全的天使，也可能变成制造企业安全灾难的恶魔。

为支持遵从性项目，企业信息安全主管能够获得更多促进企业安全的有利资源，从而创造更大的价值。如果项目实施顺利，信息安全主管便能利用遵从性项目打造更加具有前瞻性的安全项目，从而成为保护企业数据和名誉的天使。

然而在亚洲，CIO常常苦于不得不利用同样的IT预算满足不断增加的遵从性要求。要在遵从性项目上增大预算意味着不得不在其他IT方面减少预算，或者减少用于信息安全的经费。因此，满足遵从性的要求往往以牺牲其他安全措施或IT项目为代价。

尽管严格的遵从性要求会给企业带来最佳实践，但每个产业的规范都有局限性。不同产业规范有不同的产业侧重或流程侧重，并没有考虑到确保企业整体安全的系统控制。例如PCI标准可以规范无线和双重认证，但却不能解决云计算问题；ISO 27002对业务持续性管理的规范十分详尽，但却极少涉及无线和双重认证问题。

如果IT主管在企业安全策略上依赖遵从性要求，很可能陷入它的魔爪。企业的安全势态最终会因缺乏基本要素而不再安全。全面的安全策略能够满足遵从性要求，但满足遵从性要求的体系不一定带来全面的安全环境。

在如今复杂的IT环境下，要实现完全彻底的保护几乎是不可能的。但是设计一个全面的安全策略，同时精心挑选一个与企业基础设施规模和复杂程度匹配的产品，仍可确保获得具有前瞻性的安全战略。

数据保护——企业的权杖

制定一个全面的安全战略，第一步需要企业设计实施的"路线图"。这个长远计划应当覆盖企业基础设施的不同层面和已知遵从性要求，并将不同层面和不同要求中涉及的技术投资做优先级别分析。一个企业的基础设施包括不同层面：网络、应用、数据、接入设备等。在这些层面中，数据是企业最重要的财富，建议优先考虑。同时，建立企业信息安全路线图时也必须考虑到要保护交易、身份、数据和通信的安全。

第二步就是给通过网络传输的信息进行加密。需要高性能广域网的企业通常使用由当地互联网服务供应商提供的虚拟专用网络（VPN）。普遍认为这些"私有"的网络具备更高的安全性，因为它不与他人分享。这些产品也伴随着技术的控制和监视数据流量。但是，这种私密性只包括专用开关或虚电路连接，因而也未能保证数据的完整性和安全性。保证在专用广域网上数据的完整性，最有效的解决办法是高速网络通信加密。它保护在公共和私有网络上穿梭的敏感数据，同时满足如PCI和HIPAA多个标准的要求。

对于存储在服务器、工作站、个人电脑和其它移动媒体设备，如USB驱动器、记忆卡和光盘上的数据，磁盘加密技术是解决方案。这在便携式装置上显得尤为重要，因为它被遗失或被盗的可能性较高。全磁盘加密技术也非常可靠，即使在黑客成功进入的情况下，复杂而精密的加密算法，也可以确保存储数据的安全。

数据加密只是将充分保护信息生命周期的工作进行了一半，下面一步是保证身份和交易的安全性。敏感的公司数据，只有哪些被通过正确识别和确认的授权用户才可以访问。强认证技术，具有多因素的认证，在这一步凸显出它的重要性。此外，能够灵活地通过和撤销授权的全面的身份系统管理，亦是访问控制的主要因素。

最后一步，也是建设一个积极主动的安全战略中最重要的一步，是对安全制度和政策进行审查管理。在此步骤中的一个例子是控制管理数据的完整性。数据加密和解密所使用的密钥是数据安全解决方案的核心，如果它落入他人之手，整个安全基础设施将瘫痪。因此，"密钥管理器"是至关重要的。这个功能可以由硬件安全模块（HSM）——旨在创造、存储和保护敏感加密密钥的设备——来实现。HSM还提供审计试验，以支持跟踪和报告。

除了设计一个全面的路线图，充分的交流也是打造企业安全"天使军"的关键。 IT主管应该与其他的高级业务管理人员密切合作，以确保他们了解这个路线图中涉及的政策和技术，以及它将如何影响他们各自的业务和确保其运作的安全。这种不断的沟通和业务管理人员的参与，将为IT管理人员在第一时间完成正确的路线图提供所需要的信息。在一个IT组织中，交流也是必不可少的。与整个IT团队分享未来信息管理保障的蓝图，将令他们感到被授权成为这个未来计划中的的倡导者。对外方面，与提供和实施此项技术的供应商进行交流更重要。最简单的方法是，找到具有足够的知识与技术能够帮助企业完成路线图的供应商，然后将你们的需要完全委托给他们。

一旦路线图体制化并建立了沟通渠道，IT主管们已经开始向着一个更加主动的安全战略行进了。这是一个持续的过程。IT主管越早认识到，遵从仅仅是这一进程的开始，他们离成为该"企业的天使"就越近了一步。