從初期的數(shù)據(jù)保護(hù)法律頒布以來：包括911事件過后，于2002年頒布的《薩班斯·奧克斯利法案(Sarbanes-Oxley Act，SOX)》以及英國和歐盟的各種法律和指導(dǎo)方針，合規(guī)性一直是IT業(yè)界的一個噩夢。在許多情況下，其被認(rèn)為是在企業(yè)內(nèi)部能夠與諸多事務(wù)都能夠或多或少的扯上關(guān)系，包括IT和金融財務(wù)、安全和網(wǎng)絡(luò)、技術(shù)和管理，如此諸多繁雜的事務(wù)足以使任何IT專業(yè)人士嚇出了一身冷汗。

 [[138237]]

例如，如此眾多的合規(guī)性標(biāo)準(zhǔn)包括支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(Payment Card Industry Data Security Standard, PCI DSS)要求企業(yè)實施實時的網(wǎng)絡(luò)監(jiān)測，確保其機(jī)密的企業(yè)資產(chǎn)處于高安全水平，并要求審計人員提供符合審計要求的網(wǎng)絡(luò)合規(guī)審計報告。

在英國米爾頓·凱恩斯(Milton Keynes)地區(qū)委員會IT團(tuán)隊最近的一次會議上，一個被反復(fù)拿出來討論的議題便是安全合規(guī)性的問題。地區(qū)委員會顯然會定期的受到政局改選的影響，但在最近的大選結(jié)果公布之前，這些變化所帶來的潛在影響則是未知的，而安全合規(guī)性也會受到政治局勢的影響。那么，誰應(yīng)該為此負(fù)責(zé)呢?

“這對組織機(jī)構(gòu)而言無疑是一個相當(dāng)巨大的問題。”米爾頓·凱恩斯地區(qū)委員會首席IT工程師馬丁·希頓說。

“從某種意義來說很容易——每一個人都在努力降低運營成本，但是現(xiàn)在我們已經(jīng)走到一個十字路口：鑒于成本是如此重要，就要搞清楚究竟應(yīng)該由誰來把握和控制這一戰(zhàn)略性問題?我是否愿意為遵守這些合規(guī)安全性付出更多成本代價來換取更好一點的IT訪問體驗，并使用IT服務(wù)以便能夠有足夠的靈活性隨需求進(jìn)行相應(yīng)的改變?”

希頓還指出了該委員會曾遭遇過的PSN合規(guī)性方面的問題。為了連接到新的公共服務(wù)網(wǎng)絡(luò)(PSN)，地方議會以及其他政府部門必須確保他們的安全連接符合由英國內(nèi)閣所頒布設(shè)置的代碼連接規(guī)定。

歐盟法規(guī)

但企業(yè)或組織機(jī)構(gòu)的IT部門需要處理和應(yīng)對的遠(yuǎn)不僅僅只是英國政府機(jī)構(gòu)所頒布的各種合規(guī)性監(jiān)管規(guī)定，他們還必須處理由歐盟組織所發(fā)布的各種規(guī)定。歐盟最新的數(shù)據(jù)保護(hù)法規(guī)也將帶來一系列的問題，根據(jù)一家專注于云安全的企業(yè)Skyhigh Networks公司的歐洲發(fā)言人Nigel Hawthorn介紹說。

Hawthorn表示說，歐盟最新的數(shù)據(jù)保護(hù)法規(guī)將對所有曾收集了歐盟公民和居民數(shù)據(jù)的企業(yè)產(chǎn)生影響，而如果一旦違反，其嚴(yán)厲的制裁使得用戶有權(quán)對企業(yè)丟失消費者私人數(shù)據(jù)提起賠償，包括集體訴訟，還可能使企業(yè)面臨被處于高達(dá)全球收入5%的違規(guī)罰款。

在這種情況下，相關(guān)的責(zé)任也延伸到了要求數(shù)據(jù)控制者們對于安全合規(guī)性的嚴(yán)格遵守——內(nèi)容的所有者和數(shù)據(jù)的處理者的：如云供應(yīng)商，對于數(shù)據(jù)保護(hù)也負(fù)有較重的責(zé)任。Hawthorn認(rèn)為，相關(guān)的監(jiān)管規(guī)定也充分考慮到了利用技術(shù)手段可以幫助保持?jǐn)?shù)據(jù)的安全。并指出，如果數(shù)據(jù)被特別標(biāo)記或“化名”是為滿足個人對于數(shù)據(jù)隱私的合理期待。

“這對企業(yè)來說是好消息，因為它允許企業(yè)在將數(shù)據(jù)上傳到云之前對其實施加密或特別標(biāo)記，假設(shè)他們把加密密鑰保管在企業(yè)內(nèi)部的話，那么，即使數(shù)據(jù)丟失，也不會釀成太大的災(zāi)難。”他說。

另一個大問題是，當(dāng)涉及到好幾方都受到影響時，究竟誰應(yīng)該擔(dān)負(fù)起責(zé)任?例如，Hawthorn就指出了最近涉及到服務(wù)供應(yīng)商TalkTalk公司的數(shù)據(jù)泄露事件，在該事件中，因為供應(yīng)商因的數(shù)據(jù)泄露導(dǎo)致TalkTalk的客戶數(shù)據(jù)被曝光，迫使該電信公司采取法律行動。

但這種情況在現(xiàn)如今可謂司空見慣了。這迫使企業(yè)的IT部門需要努力了解第三方供應(yīng)商必須遵守哪些安全和合規(guī)標(biāo)準(zhǔn)，以及相關(guān)的數(shù)據(jù)最終去了哪里。Hawthorn說，在TalkTalk公司的案例中，其供應(yīng)商有權(quán)限訪問其客戶的個人信息，但TalkTalk并不知道這些客戶數(shù)據(jù)信息已經(jīng)被提取，直到他們的客戶反饋說總是收到電話騷擾和試圖進(jìn)行欺詐交易。

云計算和外包

一般而言，云計算和外包已經(jīng)為企業(yè)遵守安全合規(guī)性帶來了越來越多的壓力。英國解決方案銷售商CA Technologies的高級總監(jiān)Paul Briault指出，軟件即服務(wù)(SaaS)應(yīng)用程序所涉及到得企業(yè)的敏感或機(jī)密數(shù)據(jù)可以說是另一大主要問題。

據(jù)Briault看來，SaaS或應(yīng)用程序外包提供商通常未能很好的解決關(guān)于企業(yè)客戶的機(jī)密數(shù)據(jù)或私有數(shù)據(jù)所涉及到的相關(guān)法律風(fēng)險等重要問題：數(shù)據(jù)存儲在何處，或者其是如何傳播的。這可能會導(dǎo)致危險的合規(guī)性缺口和潛在的法律成本。在這種情況下，要求第三方和最終用戶要敢于大膽的向他們的云服務(wù)提供商提問棘手的問題，以解決遵守合規(guī)性和安全問題。

“一個很好的起點將包括提問了解：誰有權(quán)訪問數(shù)據(jù)和平臺，數(shù)據(jù)中心的具體地理位置，該企業(yè)需要了解任何具體國家的相關(guān)立法規(guī)定，以及一旦數(shù)據(jù)泄露問題發(fā)生，該機(jī)構(gòu)需要遵守的任何具有法律約束力的規(guī)定。”Briault說。

SolarWinds是一家具有網(wǎng)絡(luò)管理權(quán)限的軟件公司，但該公司現(xiàn)在越來越注重合規(guī)性。SolarWinds公司的安全主管Mav Turner說，他們現(xiàn)在所面臨的不斷增加的問題，所有不同的數(shù)據(jù)源整合在一起的合規(guī)性。

“對于數(shù)據(jù)信息有很大的需求，而性能數(shù)據(jù)加上安全性，無論其是防火墻的日志，或是來自Apache服務(wù)器或任何其他來源的數(shù)據(jù)，企業(yè)均需要將這些數(shù)據(jù)通過入侵檢測(IDS)和入侵防御(IPS)系統(tǒng)將他們整合在一起，關(guān)聯(lián)數(shù)據(jù)尋找漏洞，無論其是在Web服務(wù)器或其他地方。”他說。

Turner補(bǔ)充說，由于需要與其他終端保護(hù)系統(tǒng)、服務(wù)器、和任何運行系統(tǒng)日志的設(shè)備連接，整合僅僅只是起點。然而，他認(rèn)為，好消息是，很多人不只是簡單的找到“勾選框”了，他們也開始明白理解需求的嚴(yán)重性，他描述說“如果我要投資增加安全性，那么這不只是讓企業(yè)內(nèi)部管理團(tuán)隊運行一個報告”。換句話說，這其中既有業(yè)務(wù)責(zé)任也會有技術(shù)責(zé)任。

“遵守法規(guī)是沒有惡意的。我們的目標(biāo)不是創(chuàng)造難以管理的開銷，但企業(yè)必須重新優(yōu)化，并確保相關(guān)的資源和時間用得其所，因為這不再是一個選項，“Turner說。

合規(guī)性準(zhǔn)則指南

Good Practice Guide (GPG) 13是另一項英國的長期合規(guī)性指南，同樣為企業(yè)的IT部門帶來了大量的工作，根據(jù)SolarWinds的經(jīng)銷商Kenson公司的Glen Kershaw介紹：GPG 13是重點關(guān)注保護(hù)監(jiān)測，包括IDS和IPS，以及日志和日志分析的政策。Kershaw聲稱，40%的客戶正在尋求探索他們的合規(guī)性戰(zhàn)略的下一個步驟，無論是涉及風(fēng)險水平和管理水平。

“我們有很多客戶要求我們?yōu)镚PG 13提供解決方案，以方便他們能夠安裝軟件和繼續(xù)發(fā)展。”他說。但他認(rèn)為，更重要的是要建立一個專門處理安全性的工作團(tuán)隊。

“我不相信單獨由一個人來負(fù)責(zé)是可能的。企業(yè)有專門的IT部門，那么其他服務(wù)于客戶的安全團(tuán)隊則取決于公司的規(guī)模，也許對中小企業(yè)部門而言會依賴于軟件;而對于那些高端企業(yè)則依賴于特定的個人。”Kershaw說。

對于監(jiān)測現(xiàn)有準(zhǔn)則在細(xì)節(jié)水平方面的日益提高，并注重實時分析，也是另一個消耗IT時間的重要方面。用來測試漏洞和測量合規(guī)性的典型的方法是使用漏洞掃描，安全合規(guī)性解決方案提供商New Net Technologies公司的首席技術(shù)官Mark Kedgley說。

但是，他說，有兩個問題的方法：首先，掃描只是合規(guī)性的快照，并不會被檢測到的掃描之間的，使系統(tǒng)容易受到攻擊，直到下一次計劃的掃描。另一個主要問題是，一臺掃描儀是盲目的初始威脅(zero-day threats)，并沒有提供任何文件完整性監(jiān)控，以檢測違規(guī)活動。Kedgley認(rèn)為，不停的文件完整性監(jiān)控是提供持續(xù)的合規(guī)性評估和實時檢測違約的唯一辦法。

例如，BCH數(shù)字化，交互式語音應(yīng)答(IVR)呼叫管理服務(wù)供應(yīng)商BCH Digital公司，就需要確保其電話卡支付業(yè)務(wù)的合規(guī)性。

BCH Digital公司的一名技術(shù)經(jīng)理克里斯·約翰遜說：“PCI合規(guī)性要求企業(yè)必須確保對各種文件的跟蹤和系統(tǒng)的監(jiān)控到位。而在尋找功能全面、易于使用、且可以很容易地集成到我們的系統(tǒng)的跟蹤軟件以幫助我們實現(xiàn)PCI合規(guī)性方面，我們面對的是一個難以逾越的障礙。”

在試用了幾種不同的軟件解決方案之后，BCH Digital公司選擇采用了New Net Technologies的變化跟蹤解決方案(Change Tracker solution)。這里的關(guān)鍵是，合規(guī)性跟蹤不僅僅只是一個“必須有”的標(biāo)記復(fù)選框，而是實際上有助于企業(yè)的業(yè)務(wù)拓展。

“展望未來，我們相信，我們將繼續(xù)通過PCI-DSS審核，并繼續(xù)保持兼容。”約翰遜說。“這是我們保持客戶和業(yè)務(wù)持續(xù)增長的一個關(guān)鍵組成部分。”

可以肯定的是，遵守合規(guī)性和相關(guān)準(zhǔn)則指南不會簡單地消失，反而還會將進(jìn)一步優(yōu)化和調(diào)整。

然而，同樣明顯的是，這對于軟件企業(yè)是一個巨大的市場機(jī)會：越來越多的解決方案以及相關(guān)的專業(yè)知識迎來市場機(jī)遇將成為可能。同時，現(xiàn)有的解決方案將會被優(yōu)化改進(jìn)。至于企業(yè)IT部門，他們會越來越需要保持與企業(yè)其他如行政管理，安全，金融財務(wù)等部門緊密合作。