在信息技術(shù)世界里�����,變更是永恒的。如果您的 IT 組織與大多數(shù)其他 組織并無二致�����,那么了解在您的環(huán)境中所發(fā)生的變更就會(huì)成為您不得不面對的壓力,而且這種壓力與日俱增�����。IT 環(huán)境的復(fù)雜性和規(guī)模不斷變大����,由于管理錯(cuò)誤和意外數(shù)據(jù)泄漏所帶來的影響也越來越嚴(yán)重�。當(dāng)今的社會(huì)要求組織對此類事件負(fù)責(zé),因此組織現(xiàn)在擔(dān)負(fù)著法律責(zé)任來保護(hù)它們所管理的信息��。
這樣一來����,審核環(huán)境中所發(fā)生的變更也就變得至關(guān)重要。為什么呢?通過審核�����,可以為了解和管理當(dāng)今高度分散的大型 IT 環(huán)境中的變更提供方法��。本文將涵蓋大多數(shù)組織所面臨的常見難題�����、IT 組織中符合性和規(guī)定的前景、中的一些基本審核���,還將說明如何借助 的功能和 Microsoft System Center Operations Manager 2007 Audit Collection Services (ACS) 來完善全面的審核策略���。
瞥一眼新聞標(biāo)題就會(huì)發(fā)現(xiàn),現(xiàn)在數(shù)據(jù)泄漏已逐漸成為一種常見問題�����。在這些意外事件中����,許多都涉及到訴訟、財(cái)務(wù)損失以及組織要承擔(dān)的公共關(guān)系問題�。能夠解釋所發(fā)生的變更或能夠快速確定問題是減小數(shù)據(jù)泄漏事件影響的關(guān)鍵。
例如����,假定您的組織負(fù)責(zé)管理給定客戶群體的“個(gè)人身份信息”(PII)。盡管有多種方式來保護(hù)您所管理的系統(tǒng)中所包含的信息�,但仍可能會(huì)出現(xiàn)安全問題。通過適當(dāng)?shù)膶徍耍M織可以準(zhǔn)確知道存在安全問題的系統(tǒng)和可能會(huì)丟失的數(shù)據(jù)���。如果不進(jìn)行審核���,數(shù)據(jù)丟失所造成的影響可能會(huì)非常大,這主要是因?yàn)闆]有辦法來估計(jì)危害程度���。
那么為什么還沒有 IT 組織這樣做?原因在于���,大多數(shù)組織沒有完全了解審核的技術(shù)方面問題。而高級(jí)管理層通常只了解諸如備份和還原等概念�,審核環(huán)境中所發(fā)生的變更具有內(nèi)在的復(fù)雜性,這是一種很難傳達(dá)的消息���。因此,有關(guān)審核的問題通常只在重大意外事件發(fā)生后才會(huì)浮現(xiàn)出來��。例如�,雖然基本審核可能已啟用,但如果因缺少規(guī)劃而未將系統(tǒng)配置為審核某個(gè)特定變更���,則不會(huì)收集該信息����。
此外,在審核的安全事件中還有一些內(nèi)在的問題需要 IT 專業(yè)人員來處理��。其中一個(gè)難點(diǎn)是當(dāng)今大型計(jì)算環(huán)境中系統(tǒng)的分布問題�����,這會(huì)給收集和聚合帶來嚴(yán)峻的挑戰(zhàn)�,因?yàn)樽兏赡茉谌我饨o定時(shí)間出現(xiàn)在任何一個(gè)或一組系統(tǒng)中。進(jìn)而還會(huì)產(chǎn)生另一個(gè)挑戰(zhàn) — 關(guān)聯(lián)��。有時(shí)需要轉(zhuǎn)換單個(gè)系統(tǒng)和多個(gè)系統(tǒng)上的事件間的關(guān)系����,以提供所發(fā)生事情的真正涵義。
還要注意的另外一個(gè)問題是審核通常會(huì)超越傳統(tǒng)組織的邊界��。不同的組織或團(tuán)隊(duì)結(jié)構(gòu)出于不同的原因而存在����,可能不容易將其連接起來。許多組織都有目錄服務(wù)團(tuán)隊(duì)�����、消息傳遞基礎(chǔ)結(jié)構(gòu)團(tuán)隊(duì)和桌面團(tuán)隊(duì),但可能只有一個(gè)安全團(tuán)隊(duì)負(fù)責(zé)所有這些領(lǐng)域�。而且,組織內(nèi)的專門安全人員可能不會(huì)出現(xiàn)在所有位置�����。例如�����,分支機(jī)構(gòu)通常依賴單個(gè)人或一個(gè)小團(tuán)隊(duì)來負(fù)責(zé)包括安全事件日志管理在內(nèi)的所有任務(wù)��。
最后���,大量的事件也是一個(gè)挑戰(zhàn)�����。審核的安全事件的事件日志記錄數(shù)據(jù)量要遠(yuǎn)遠(yuǎn)多于其他類型的事件日志記錄的數(shù)據(jù)量���。收集的事件數(shù)使得有效保留和查看日志變得非常困難���。而且��,目前的規(guī)定和擬議的規(guī)定都要求保留此信息�,因此并無助于減少當(dāng)今計(jì)算基礎(chǔ)結(jié)構(gòu)中的這一負(fù)擔(dān)。
以前�����,審核訪問信息可能被歸納為希望知道和試圖確保安全?����,F(xiàn)在�,組織以及組織的高級(jí)管理人員對信息的泄漏或缺少適當(dāng)?shù)谋Wo(hù)負(fù)有法律責(zé)任,因此 IT 管理員熟悉可能適用于其環(huán)境的各種規(guī)定就顯得尤為重要����。對于全球性的公司,挑戰(zhàn)會(huì)更為嚴(yán)峻���,因?yàn)槊總€(gè)國家都有自己的信息和保護(hù)規(guī)定���。在圖 1 中列出了一些現(xiàn)有的規(guī)定符合性法規(guī)示例,還列出了 IT 組織的一些期望����。
2002 年的“薩班-奧西利法案”(SOX)第 404 節(jié)承認(rèn)信息系統(tǒng)的角色并要求上市公司每年對財(cái)務(wù)報(bào)告的內(nèi)部控制情況進(jìn)行一次復(fù)查���。
健康保險(xiǎn)可攜性與責(zé)任法案 (HIPPA)致力于有關(guān)健康數(shù)據(jù)的安全和隱私;“安全規(guī)則”涵蓋該數(shù)據(jù)的管理、物理和技術(shù)方面的保護(hù)�����。
電子發(fā)現(xiàn) (eDiscovery)定義文檔保留和訪問的標(biāo)準(zhǔn)�����,包括確定文檔訪問人員的范圍和訪問方式���。
2002 年的“聯(lián)邦信息安全管理法案”(FISMA)聯(lián)邦要求為美國政府體系提供全面的“信息安全”(INFOSEC) 框架���,與各種法律執(zhí)行機(jī)構(gòu)進(jìn)行協(xié)調(diào),建立對商業(yè)產(chǎn)品和軟件功能的控制和承認(rèn)機(jī)制����。第 3544 節(jié)涵蓋機(jī)構(gòu)的職責(zé)(包括 IT 控制)。
聯(lián)邦信息處理標(biāo)準(zhǔn) (FIPS) 發(fā)布 200指定聯(lián)邦信息和信息系統(tǒng)的最低安全要求��,并概述了在 NIST Special Publication (SP) 800-53 中找到的建議用法�����。在 NIST SP800-53 的第 AU-2 節(jié) (Auditable Events) 中�,指定信息系統(tǒng)必須能夠?qū)徍擞涗洀亩鄠€(gè)組件編譯到系統(tǒng)范圍內(nèi)與時(shí)間相關(guān)的審核追蹤中、能夠由單個(gè)組件管理審核的事件�,并能夠確保組織定期復(fù)查可審核事件。
考慮到所有這些法律壓力�����,IT 專業(yè)人員需要做些什么?IT 經(jīng)理和技術(shù)人員需要構(gòu)建清晰簡練的情節(jié)并將其提供給組織內(nèi)部和外部的人員����。這包括制定正確的審核策略(需要事前評估和投資)。此處的關(guān)鍵概念在于���,審核不能像常見的那樣可以事后進(jìn)行設(shè)計(jì)��。
此類 IT 挑戰(zhàn)通?�?赏ㄟ^人員��、過程和技術(shù)的組合加以解決�����。對審核而言��,它就是過程����。因此,第一步應(yīng)掌握基礎(chǔ)知識(shí)�����,以便能夠響應(yīng)組織對規(guī)定符合性的需要和要求�����。我們首先介紹 Windows 中有關(guān)審核的一些基礎(chǔ)知識(shí)�����,然后再深入研究 Windows Server 2008 和 Windows Vista® 中的變更�。
上一頁12 3 4 5 6 7 下一頁 閱讀全文
