萨班斯法案的出炉给广大企业的信息安全带来了技术上的挑战。对国内用户而言,如何构建符合法规遵从性要求的安全系统,满足由内到外的安全监控,将会是未来努力的方向。
新法案的启示
面对即将上市或已经上市公司的财务欺诈事件,为了提高上市公司的财务管理水平,恢复投资者信心,美国于2002 年签发了关于规范上市公司财务监管等方面的法律,即萨班斯法案(SOX)。依据国际市场对上市公司的相关要求,萨班斯法案从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制,改进企业的治理状况,并增强公司的社会责任感。
随着萨班斯法案对上市公司的约束,国内越来越多的上市公司意识到了信息安全对企业发展的重要作用。那么,如何满足日益增多的法律要求,法律法规与安全技术中的联系体现在哪些环节,这些都是值得企业用户来探讨的。
首先,不论是国外还是国内的任何一个企业来讲,遵循现有法规和信息安全都是非常重要的。一方面,实现法规遵从的核心是管理者与被管理者意识的转变,而持续有效的培训是关键。企业要跨入国际市场,法规遵从的意识必须加强,同时持续有效的培训也要加强。另一方面,信息安全技术是遵从相关法规强有力的保障,必须适应企业安全需求的变化,符合国际市场发展的要求。同时,又要很好地保障企业内部的知识产权。要达到这一标准,选择好的安全支撑企业系统,而非简单选择产品是关键。
法规遵从的核心是规范管理,信息安全是法规遵从的技术保障,两者是目标与手段的关系。从安全技术角度协助法规遵从对企业来讲是既机遇又是挑战,从国际市场的发展趋势来看机遇大于挑战。法规遵从不但可以保护企业的数据资源,提升效率,而且重新定义了企业监管与信息安全之间的关系。更重要的是,在全球经济一体化趋势下,法规遵从可以使企业在跨区域、跨国际商业合作和经贸活动中避免法律纠纷,以良好的资信赢得更大的市场和商机,从而保证企业商业目标的实现。
其次,企业应如何应对法规遵从,提高自身安全建设也是一个很值得关注的问题。毕竟法规遵从需要规范企业与员工的行为,对企业本身的管理模式、习惯乃至企业文化都是一个重新定义和规范的过程。同时,法规遵从通过信息安全技术实现对企业每个终端用户的管理。安全产品从个人用户感知不到的后台移到与用户直接打交道的前台,个人用户对这种管理的接受程度和管理的持续性都是对企业的信息安全建设的重大考验。
企业要做到完全符合法律法规遵从性,还要摆脱投资、管理难度和技术选择等方面的困扰。建设符合法规遵从的安全系统必将增大投资的压力,而管理目标与手段的选择也决定着企业安全建设的成败。
矛盾的求解
那么,如何平衡法规遵从和信息安全之间的矛盾呢?事实上,专业的安全防护系统必将承担非常重要的责任。从管理复杂性探讨,为法规遵从提供技术保障的最佳系统不应该是单一产品,而是一个整体的安全系统,涉及企业全方位的安全机制,是终端可信、认证与授权、资源管理、审计监控、安全管理等多种安全技术与系统的整合,贯穿对人和信息的全程管理和监控。这也就是可控系统下的非数据管理,即可信资源、可信授权、可信认证、可信管理、可信监控和可信使用。
从实施的技术性考虑,可信计算、可信网络是新的技术方向,也是法规遵从技术保障系统未来发展的技术核心。法规遵从的目的是规范管理信息和信息的使用者。对于企业来说,信息的完整可信、人的行为可控与追踪都是要克服的问题。就国际市场发展趋势来看,信息安全技术中的加密技术、认证与访问控制技术、安全审计技术、灾难备份技术等可以有效地帮助企业解决这些问题。
随着萨班斯法案的全面推行以及企业知识产权的树立,企业安全系统防护工作的重要性也显现出来。在国际市场的激烈竞争中,国内专业的安全系统开发企业亟须深入研究和理解国家相关法规与政策,在此基础上,以可信计算技术为理论基础;以加密技术为核心;以保护知识产权为重任来构建多重安全防护体系,将成为可操作的应对之策。
从系统角度出发,实现内网整体安全防护,避免了产品“堆积”方式导致的功能重叠、安全死角、数据孤岛等问题。其内涵包括了应用环境安全、应用区域边界安全和网络通信安全等多个层次。
事实证明,这种综合防护系统可实现“非法用户进不来”、“有效信息拿不走”、“涉密信息读不懂”、“非法行为跑不掉”、“数据设备不怕丢”的整体防护效果,从而能更好地帮助企业平衡法规遵从和信息安全之间的关系。