從初期的數(shù)據保護法律頒布以來：包括911事件過后，于2002年頒布的《薩班斯·奧克斯利法案(Sarbanes-Oxley Act，SOX)》以及英國和歐盟的各種法律和指導方針，合規(guī)性一直是IT業(yè)界的一個噩夢。在許多情況下，其被認為是在企業(yè)內部能夠與諸多事務都能夠或多或少的扯上關系，包括IT和金融財務、安全和網絡、技術和管理，如此諸多繁雜的事務足以使任何IT專業(yè)人士嚇出了一身冷汗。

 [[138237]]

例如，如此眾多的合規(guī)性標準包括支付卡行業(yè)數(shù)據安全標準(Payment Card Industry Data Security Standard, PCI DSS)要求企業(yè)實施實時的網絡監(jiān)測，確保其機密的企業(yè)資產處于高安全水平，并要求審計人員提供符合審計要求的網絡合規(guī)審計報告。

在英國米爾頓·凱恩斯(Milton Keynes)地區(qū)委員會IT團隊最近的一次會議上，一個被反復拿出來討論的議題便是安全合規(guī)性的問題。地區(qū)委員會顯然會定期的受到政局改選的影響，但在最近的大選結果公布之前，這些變化所帶來的潛在影響則是未知的，而安全合規(guī)性也會受到政治局勢的影響。那么，誰應該為此負責呢?

“這對組織機構而言無疑是一個相當巨大的問題。”米爾頓·凱恩斯地區(qū)委員會首席IT工程師馬丁·希頓說。

“從某種意義來說很容易——每一個人都在努力降低運營成本，但是現(xiàn)在我們已經走到一個十字路口：鑒于成本是如此重要，就要搞清楚究竟應該由誰來把握和控制這一戰(zhàn)略性問題?我是否愿意為遵守這些合規(guī)安全性付出更多成本代價來換取更好一點的IT訪問體驗，并使用IT服務以便能夠有足夠的靈活性隨需求進行相應的改變?”

希頓還指出了該委員會曾遭遇過的PSN合規(guī)性方面的問題。為了連接到新的公共服務網絡(PSN)，地方議會以及其他政府部門必須確保他們的安全連接符合由英國內閣所頒布設置的代碼連接規(guī)定。

歐盟法規(guī)

但企業(yè)或組織機構的IT部門需要處理和應對的遠不僅僅只是英國政府機構所頒布的各種合規(guī)性監(jiān)管規(guī)定，他們還必須處理由歐盟組織所發(fā)布的各種規(guī)定。歐盟最新的數(shù)據保護法規(guī)也將帶來一系列的問題，根據一家專注于云安全的企業(yè)Skyhigh Networks公司的歐洲發(fā)言人Nigel Hawthorn介紹說。

Hawthorn表示說，歐盟最新的數(shù)據保護法規(guī)將對所有曾收集了歐盟公民和居民數(shù)據的企業(yè)產生影響，而如果一旦違反，其嚴厲的制裁使得用戶有權對企業(yè)丟失消費者私人數(shù)據提起賠償，包括集體訴訟，還可能使企業(yè)面臨被處于高達全球收入5%的違規(guī)罰款。

在這種情況下，相關的責任也延伸到了要求數(shù)據控制者們對于安全合規(guī)性的嚴格遵守——內容的所有者和數(shù)據的處理者的：如云供應商，對于數(shù)據保護也負有較重的責任。Hawthorn認為，相關的監(jiān)管規(guī)定也充分考慮到了利用技術手段可以幫助保持數(shù)據的安全。并指出，如果數(shù)據被特別標記或“化名”是為滿足個人對于數(shù)據隱私的合理期待。

“這對企業(yè)來說是好消息，因為它允許企業(yè)在將數(shù)據上傳到云之前對其實施加密或特別標記，假設他們把加密密鑰保管在企業(yè)內部的話，那么，即使數(shù)據丟失，也不會釀成太大的災難。”他說。

另一個大問題是，當涉及到好幾方都受到影響時，究竟誰應該擔負起責任?例如，Hawthorn就指出了最近涉及到服務供應商TalkTalk公司的數(shù)據泄露事件，在該事件中，因為供應商因的數(shù)據泄露導致TalkTalk的客戶數(shù)據被曝光，迫使該電信公司采取法律行動。

但這種情況在現(xiàn)如今可謂司空見慣了。這迫使企業(yè)的IT部門需要努力了解第三方供應商必須遵守哪些安全和合規(guī)標準，以及相關的數(shù)據最終去了哪里。Hawthorn說，在TalkTalk公司的案例中，其供應商有權限訪問其客戶的個人信息，但TalkTalk并不知道這些客戶數(shù)據信息已經被提取，直到他們的客戶反饋說總是收到電話騷擾和試圖進行欺詐交易。

云計算和外包

一般而言，云計算和外包已經為企業(yè)遵守安全合規(guī)性帶來了越來越多的壓力。英國解決方案銷售商CA Technologies的高級總監(jiān)Paul Briault指出，軟件即服務(SaaS)應用程序所涉及到得企業(yè)的敏感或機密數(shù)據可以說是另一大主要問題。

據Briault看來，SaaS或應用程序外包提供商通常未能很好的解決關于企業(yè)客戶的機密數(shù)據或私有數(shù)據所涉及到的相關法律風險等重要問題：數(shù)據存儲在何處，或者其是如何傳播的。這可能會導致危險的合規(guī)性缺口和潛在的法律成本。在這種情況下，要求第三方和最終用戶要敢于大膽的向他們的云服務提供商提問棘手的問題，以解決遵守合規(guī)性和安全問題。

“一個很好的起點將包括提問了解：誰有權訪問數(shù)據和平臺，數(shù)據中心的具體地理位置，該企業(yè)需要了解任何具體國家的相關立法規(guī)定，以及一旦數(shù)據泄露問題發(fā)生，該機構需要遵守的任何具有法律約束力的規(guī)定。”Briault說。

SolarWinds是一家具有網絡管理權限的軟件公司，但該公司現(xiàn)在越來越注重合規(guī)性。SolarWinds公司的安全主管Mav Turner說，他們現(xiàn)在所面臨的不斷增加的問題，所有不同的數(shù)據源整合在一起的合規(guī)性。

“對于數(shù)據信息有很大的需求，而性能數(shù)據加上安全性，無論其是防火墻的日志，或是來自Apache服務器或任何其他來源的數(shù)據，企業(yè)均需要將這些數(shù)據通過入侵檢測(IDS)和入侵防御(IPS)系統(tǒng)將他們整合在一起，關聯(lián)數(shù)據尋找漏洞，無論其是在Web服務器或其他地方。”他說。

Turner補充說，由于需要與其他終端保護系統(tǒng)、服務器、和任何運行系統(tǒng)日志的設備連接，整合僅僅只是起點。然而，他認為，好消息是，很多人不只是簡單的找到“勾選框”了，他們也開始明白理解需求的嚴重性，他描述說“如果我要投資增加安全性，那么這不只是讓企業(yè)內部管理團隊運行一個報告”。換句話說，這其中既有業(yè)務責任也會有技術責任。

“遵守法規(guī)是沒有惡意的。我們的目標不是創(chuàng)造難以管理的開銷，但企業(yè)必須重新優(yōu)化，并確保相關的資源和時間用得其所，因為這不再是一個選項，“Turner說。

合規(guī)性準則指南

Good Practice Guide (GPG) 13是另一項英國的長期合規(guī)性指南，同樣為企業(yè)的IT部門帶來了大量的工作，根據SolarWinds的經銷商Kenson公司的Glen Kershaw介紹：GPG 13是重點關注保護監(jiān)測，包括IDS和IPS，以及日志和日志分析的政策。Kershaw聲稱，40%的客戶正在尋求探索他們的合規(guī)性戰(zhàn)略的下一個步驟，無論是涉及風險水平和管理水平。

“我們有很多客戶要求我們?yōu)镚PG 13提供解決方案，以方便他們能夠安裝軟件和繼續(xù)發(fā)展。”他說。但他認為，更重要的是要建立一個專門處理安全性的工作團隊。

“我不相信單獨由一個人來負責是可能的。企業(yè)有專門的IT部門，那么其他服務于客戶的安全團隊則取決于公司的規(guī)模，也許對中小企業(yè)部門而言會依賴于軟件;而對于那些高端企業(yè)則依賴于特定的個人。”Kershaw說。

對于監(jiān)測現(xiàn)有準則在細節(jié)水平方面的日益提高，并注重實時分析，也是另一個消耗IT時間的重要方面。用來測試漏洞和測量合規(guī)性的典型的方法是使用漏洞掃描，安全合規(guī)性解決方案提供商New Net Technologies公司的首席技術官Mark Kedgley說。

但是，他說，有兩個問題的方法：首先，掃描只是合規(guī)性的快照，并不會被檢測到的掃描之間的，使系統(tǒng)容易受到攻擊，直到下一次計劃的掃描。另一個主要問題是，一臺掃描儀是盲目的初始威脅(zero-day threats)，并沒有提供任何文件完整性監(jiān)控，以檢測違規(guī)活動。Kedgley認為，不停的文件完整性監(jiān)控是提供持續(xù)的合規(guī)性評估和實時檢測違約的唯一辦法。

例如，BCH數(shù)字化，交互式語音應答(IVR)呼叫管理服務供應商BCH Digital公司，就需要確保其電話卡支付業(yè)務的合規(guī)性。

BCH Digital公司的一名技術經理克里斯·約翰遜說：“PCI合規(guī)性要求企業(yè)必須確保對各種文件的跟蹤和系統(tǒng)的監(jiān)控到位。而在尋找功能全面、易于使用、且可以很容易地集成到我們的系統(tǒng)的跟蹤軟件以幫助我們實現(xiàn)PCI合規(guī)性方面，我們面對的是一個難以逾越的障礙。”

在試用了幾種不同的軟件解決方案之后，BCH Digital公司選擇采用了New Net Technologies的變化跟蹤解決方案(Change Tracker solution)。這里的關鍵是，合規(guī)性跟蹤不僅僅只是一個“必須有”的標記復選框，而是實際上有助于企業(yè)的業(yè)務拓展。

“展望未來，我們相信，我們將繼續(xù)通過PCI-DSS審核，并繼續(xù)保持兼容。”約翰遜說。“這是我們保持客戶和業(yè)務持續(xù)增長的一個關鍵組成部分。”

可以肯定的是，遵守合規(guī)性和相關準則指南不會簡單地消失，反而還會將進一步優(yōu)化和調整。

然而，同樣明顯的是，這對于軟件企業(yè)是一個巨大的市場機會：越來越多的解決方案以及相關的專業(yè)知識迎來市場機遇將成為可能。同時，現(xiàn)有的解決方案將會被優(yōu)化改進。至于企業(yè)IT部門，他們會越來越需要保持與企業(yè)其他如行政管理，安全，金融財務等部門緊密合作。