摘要：確保符合安全合規性和對于數據保護法規的遵守無疑是企業IT部門的一個永恒的負擔。但事實上，這可以變得更容易。在IT領域，一些事務或許只是短暫性的，但另外一些事務則會隨著時間的推移變得越來越重要。安全合規性即是如此。

從初期的數據保護法律頒布以來：包括911事件過后，于2002年頒布的《薩班斯·奧克斯利法案(Sarbanes-Oxley Act，SOX)》以及英國和歐盟的各種法律和指導方針，合規性一直是IT業界的一個噩夢。在許多情況下，其被認為是在企業內部能夠與諸多事務都能夠或多或少的扯上關系，包括IT和金融財務、安全和網絡、技術和管理，如此諸多繁雜的事務足以使任何IT專業人士嚇出了一身冷汗。

例如，如此眾多的合規性標準包括支付卡行業數據安全標準(Payment Card Industry Data Security Standard, PCI DSS)要求企業實施實時的網絡監測，確保其機密的企業資產處于高安全水平，并要求審計人員提供符合審計要求的網絡合規審計報告。

在英國米爾頓·凱恩斯(Milton Keynes)地區委員會IT團隊最近的一次會議上，一個被反復拿出來討論的議題便是安全合規性的問題。地區委員會顯然會定期的受到政局改選的影響，但在最近的大選結果公布之前，這些變化所帶來的潛在影響則是未知的，而安全合規性也會受到政治局勢的影響。那么，誰應該為此負責呢?

“這對組織機構而言無疑是一個相當巨大的問題。”米爾頓·凱恩斯地區委員會首席IT工程師馬丁·希頓說。

“從某種意義來說很容易——每一個人都在努力降低運營成本，但是現在我們已經走到一個十字路口：鑒于成本是如此重要，就要搞清楚究竟應該由誰來把握和控制這一戰略性問題?我是否愿意為遵守這些合規安全性付出更多成本代價來換取更好一點的IT訪問體驗，并使用IT服務以便能夠有足夠的靈活性隨需求進行相應的改變?”

希頓還指出了該委員會曾遭遇過的PSN合規性方面的問題。為了連接到新的公共服務網絡(PSN)，地方議會以及其他政府部門必須確保他們的安全連接符合由英國內閣所頒布設置的代碼連接規定。

歐盟法規

但企業或組織機構的IT部門需要處理和應對的遠不僅僅只是英國政府機構所頒布的各種合規性監管規定，他們還必須處理由歐盟組織所發布的各種規定。歐盟最新的數據保護法規也將帶來一系列的問題，根據一家專注于云安全的企業Skyhigh Networks公司的歐洲發言人Nigel Hawthorn介紹說。

Hawthorn表示說，歐盟最新的數據保護法規將對所有曾收集了歐盟公民和居民數據的企業產生影響，而如果一旦違反，其嚴厲的制裁使得用戶有權對企業丟失消費者私人數據提起賠償，包括集體訴訟，還可能使企業面臨被處于高達全球收入5%的違規罰款。

在這種情況下，相關的責任也延伸到了要求數據控制者們對于安全合規性的嚴格遵守——內容的所有者和數據的處理者的：如云供應商，對于數據保護也負有較重的責任。Hawthorn認為，相關的監管規定也充分考慮到了利用技術手段可以幫助保持數據的安全。并指出，如果數據被特別標記或“化名”是為滿足個人對于數據隱私的合理期待。

“這對企業來說是好消息，因為它允許企業在將數據上傳到云之前對其實施加密或特別標記，假設他們把加密密鑰保管在企業內部的話，那么，即使數據丟失，也不會釀成太大的災難。”他說。

另一個大問題是，當涉及到好幾方都受到影響時，究竟誰應該擔負起責任?例如，Hawthorn就指出了最近涉及到服務供應商TalkTalk公司的數據泄露事件，在該事件中，因為供應商因的數據泄露導致TalkTalk的客戶數據被曝光，迫使該電信公司采取法律行動。

但這種情況在現如今可謂司空見慣了。這迫使企業的IT部門需要努力了解第三方供應商必須遵守哪些安全和合規標準，以及相關的數據最終去了哪里。Hawthorn說，在TalkTalk公司的案例中，其供應商有權限訪問其客戶的個人信息，但TalkTalk并不知道這些客戶數據信息已經被提取，直到他們的客戶反饋說總是收到電話騷擾和試圖進行欺詐交易。

云計算和外包

一般而言，云計算和外包已經為企業遵守安全合規性帶來了越來越多的壓力。英國解決方案銷售商CA Technologies的高級總監Paul Briault指出，軟件即服務(SaaS)應用程序所涉及到得企業的敏感或機密數據可以說是另一大主要問題。

據Briault看來，SaaS或應用程序外包提供商通常未能很好的解決關于企業客戶的機密數據或私有數據所涉及到的相關法律風險等重要問題：數據存儲在何處，或者其是如何傳播的。這可能會導致危險的合規性缺口和潛在的法律成本。在這種情況下，要求第三方和最終用戶要敢于大膽的向他們的云服務提供商提問棘手的問題，以解決遵守合規性和安全問題。

“一個很好的起點將包括提問了解：誰有權訪問數據和平臺，數據中心的具體地理位置，該企業需要了解任何具體國家的相關立法規定，以及一旦數據泄露問題發生，該機構需要遵守的任何具有法律約束力的規定。”Briault說。

SolarWinds是一家具有網絡管理權限的軟件公司，但該公司現在越來越注重合規性。SolarWinds公司的安全主管Mav Turner說，他們現在所面臨的不斷增加的問題，所有不同的數據源整合在一起的合規性。

“對于數據信息有很大的需求，而性能數據加上安全性，無論其是防火墻的日志，或是來自Apache服務器或任何其他來源的數據，企業均需要將這些數據通過入侵檢測(IDS)和入侵防御(IPS)系統將他們整合在一起，關聯數據尋找漏洞，無論其是在Web服務器或其他地方。”他說。

Turner補充說，由于需要與其他終端保護系統、服務器、和任何運行系統日志的設備連接，整合僅僅只是起點。然而，他認為，好消息是，很多人不只是簡單的找到“勾選框”了，他們也開始明白理解需求的嚴重性，他描述說“如果我要投資增加安全性，那么這不只是讓企業內部管理團隊運行一個報告”。換句話說，這其中既有業務責任也會有技術責任。

“遵守法規是沒有惡意的。我們的目標不是創造難以管理的開銷，但企業必須重新優化，并確保相關的資源和時間用得其所，因為這不再是一個選項，“Turner說。

合規性準則指南

Good Practice Guide (GPG) 13是另一項英國的長期合規性指南，同樣為企業的IT部門帶來了大量的工作，根據SolarWinds的經銷商Kenson公司的Glen Kershaw介紹：GPG 13是重點關注保護監測，包括IDS和IPS，以及日志和日志分析的政策。Kershaw聲稱，40%的客戶正在尋求探索他們的合規性戰略的下一個步驟，無論是涉及風險水平和管理水平。

“我們有很多客戶要求我們為GPG 13提供解決方案，以方便他們能夠安裝軟件和繼續發展。”他說。但他認為，更重要的是要建立一個專門處理安全性的工作團隊。

“我不相信單獨由一個人來負責是可能的。企業有專門的IT部門，那么其他服務于客戶的安全團隊則取決于公司的規模，也許對中小企業部門而言會依賴于軟件;而對于那些高端企業則依賴于特定的個人。”Kershaw說。

對于監測現有準則在細節水平方面的日益提高，并注重實時分析，也是另一個消耗IT時間的重要方面。用來測試漏洞和測量合規性的典型的方法是使用漏洞掃描，安全合規性解決方案提供商New Net Technologies公司的首席技術官Mark Kedgley說。

但是，他說，有兩個問題的方法：首先，掃描只是合規性的快照，并不會被檢測到的掃描之間的，使系統容易受到攻擊，直到下一次計劃的掃描。另一個主要問題是，一臺掃描儀是盲目的初始威脅(zero-day threats)，并沒有提供任何文件完整性監控，以檢測違規活動。Kedgley認為，不停的文件完整性監控是提供持續的合規性評估和實時檢測違約的唯一辦法。

例如，BCH數字化，交互式語音應答(IVR)呼叫管理服務供應商BCH Digital公司，就需要確保其電話卡支付業務的合規性。

BCH Digital公司的一名技術經理克里斯·約翰遜說：“PCI合規性要求企業必須確保對各種文件的跟蹤和系統的監控到位。而在尋找功能全面、易于使用、且可以很容易地集成到我們的系統的跟蹤軟件以幫助我們實現PCI合規性方面，我們面對的是一個難以逾越的障礙。”

在試用了幾種不同的軟件解決方案之后，BCH Digital公司選擇采用了New Net Technologies的變化跟蹤解決方案(Change Tracker solution)。這里的關鍵是，合規性跟蹤不僅僅只是一個“必須有”的標記復選框，而是實際上有助于企業的業務拓展。

“展望未來，我們相信，我們將繼續通過PCI-DSS審核，并繼續保持兼容。”約翰遜說。“這是我們保持客戶和業務持續增長的一個關鍵組成部分。”

可以肯定的是，遵守合規性和相關準則指南不會簡單地消失，反而還會將進一步優化和調整。

然而，同樣明顯的是，這對于軟件企業是一個巨大的市場機會：越來越多的解決方案以及相關的專業知識迎來市場機遇將成為可能。同時，現有的解決方案將會被優化改進。至于企業IT部門，他們會越來越需要保持與企業其他如行政管理，安全，金融財務等部門緊密合作。