close
硬碟資料救援,RAID快速急救
網址:www.fubjj.com
如何滿足各種法規政策的要求已經成為今天IT行業的熱點話題。很多企業都絞盡腦汁試圖得到一種合適的解決方案。在考慮選擇順應性軟體或服務的
時候,請不要忘了方案的可擴展性。
雖然,順應性解決方案的需求都是一樣的,但是還要根據具體情況來選擇。大型醫院和國家銀行使用的順應性解決方案肯定與小的門診部和5個人的小公
司使用的順應性解決方案不同,無論是從解決方案的配置上還是從費用上。
如果你只是一家小公司,你一定不想在順應性解決方案上花費太多的精力。因為有時你並不確定你到底需要做多少,而软件销售商却一直试图让你相信
越多越好。你认识到自己的业务会步步高升(你当然希望),因此你需要的是具备可扩展性的解决方案。
如果你的业务已经很大,那么可扩展性更是一个问题。你需要的解决方案必需有足够多的功能,能处理多种类型的保护数据,还能够在不同的站点收集
存放这些数据,并让它们能够通过复杂的网络进行传输。
目前有成百个顺应性方案顾问和软件商在竞争,你如何去选择一个技能满足现在需要,同时也在以后易于扩展的解决方案呢?
理解法律法规的要求
第一步就是了解针对你所在行业的法律法规要求。现在人们对顺应性问题有很多的恐惧和困惑,公司的高层都担心自己如果不立刻购买昂贵的顺应性解
决方案,自己的公司就有可能被关闭,甚至自己被投入监牢。
的确,顺应性是一个严肃话题,但首先你需要收集信息,了解为了满足法律要求你需要做些什么,而不仅仅是听从方案销售商的危言耸听。
一个问题是,法条在要求你做什么方面已经显得含混不清了。例如,GLB
Act的安全维护规则要求金融机构“确定对客户信息所产生的威胁,评估已有的保
护措施,并确保这些措施能够完善任何漏洞,并检测保护措施的有效性。”
如果法条明确指出需要采用何种安全措施(例如,系统中存放的所有能够在网络中传输的信息都必须加密),那么实施起来就会简单得多。然而,你可
以理解为什么这是不可能的:技术发展的脚步太快,新的入侵和攻击的方式层出不穷。即使是要求数据应当被加密的要求也无法保障所采用的加密类型
能不被轻易破解。例如,由于WEP众所周知的安全漏洞,采用WEP加密通过无线网络发送的客户消息仍然有可能泄漏。
一些法条,例如HIPAA,已经太过复杂以至于已经扩展到了一本书那么厚,还有无数证明条款。其他的,诸如Sarbanes-Oxley
(SOX)
对小型企业而言则相
对太新,顺应性实施起来极为花钱。
绝大多数情况下,顺应性要求企业指定某人或某团队对顺应性负责。即使没有这样的约束,你也应该如此,确保所选择的对象能得到同相关法规相适当
的培训。
选择解决方案
第一步就是要意识到顺应性包括多种软件条件。顺应性会对你的业务开展方式产生深远的影响。任何的安全计划,无论是否是根据政府要求实施,都需
要政策先行。
其次,你需要评估受到顺应性影响的系统。例如:
评估边界控制,确保受控数据不至于因入侵或攻击而被泄露。
在服务器级别通过评估[wiki]存储[/wiki]系统(访问控制/权限、强有力的认证)来确保即使有人侵入网络也无法访问存储受保护数据的系统。
用磁盘和服务器评估安全性(加密)来确保即使入侵者访问到了系统也无法读取系统中的文件。
保障可扩展性
如果可扩展性是头等大事,那么模块化的解决方案是个好的选择。这意味着安全方案可以在不同的层次得到升级或扩充。也就是使用不同厂商的不同产
品来提供不同级别的保护(例如,防火墙和边界控制、存储、服务器和通信)。
很多企业都提供了边界(perimeter)顺应性解决方案,该方案集成于企业已有的网络构架。这些方案针对特定行业,例如,去年6月份Qumas为制药企业
提供了PharmaQCompliance方案。它采用了根据用户数量扩充许可证的模型。SenSage提供了独立的解决方案套装,它能帮助在SOX或HIPAA上有顺应性
要求的企业。
另一种方案就是找一家服务商,通过将你的网络流量转移到他们的网络来对你的数据提供安全保障。这种可管理的安全服务可以减轻你的网络系统管理
员的负担,服务商会提供攻击防范以及可管理的防火墙、VPN服务、电子邮件安全和加密等等。顺应性解决方案可以是全面外包的顺应性服务。
另一方面,一个大问题就是是否产品或服务的确是由专业的软件开发人员开发的?解决方案是否是由顺应性专家所设计的?理想情况是,你的产品和方
案能够集二者之精华。基隆市,台北市,台北縣,桃園縣,新竹縣,新竹市,苗栗縣,台中縣,台中市,彰化縣,南投縣,雲林縣,嘉義縣,嘉義市,台南縣,台南市,高雄縣,高雄市,屏東縣,澎湖,金門,馬祖,中國大陸,From InToHard
網址:www.fubjj.com
如何滿足各種法規政策的要求已經成為今天IT行業的熱點話題。很多企業都絞盡腦汁試圖得到一種合適的解決方案。在考慮選擇順應性軟體或服務的
時候,請不要忘了方案的可擴展性。
雖然,順應性解決方案的需求都是一樣的,但是還要根據具體情況來選擇。大型醫院和國家銀行使用的順應性解決方案肯定與小的門診部和5個人的小公
司使用的順應性解決方案不同,無論是從解決方案的配置上還是從費用上。
如果你只是一家小公司,你一定不想在順應性解決方案上花費太多的精力。因為有時你並不確定你到底需要做多少,而软件销售商却一直试图让你相信
越多越好。你认识到自己的业务会步步高升(你当然希望),因此你需要的是具备可扩展性的解决方案。
如果你的业务已经很大,那么可扩展性更是一个问题。你需要的解决方案必需有足够多的功能,能处理多种类型的保护数据,还能够在不同的站点收集
存放这些数据,并让它们能够通过复杂的网络进行传输。
目前有成百个顺应性方案顾问和软件商在竞争,你如何去选择一个技能满足现在需要,同时也在以后易于扩展的解决方案呢?
理解法律法规的要求
第一步就是了解针对你所在行业的法律法规要求。现在人们对顺应性问题有很多的恐惧和困惑,公司的高层都担心自己如果不立刻购买昂贵的顺应性解
决方案,自己的公司就有可能被关闭,甚至自己被投入监牢。
的确,顺应性是一个严肃话题,但首先你需要收集信息,了解为了满足法律要求你需要做些什么,而不仅仅是听从方案销售商的危言耸听。
一个问题是,法条在要求你做什么方面已经显得含混不清了。例如,GLB
Act的安全维护规则要求金融机构“确定对客户信息所产生的威胁,评估已有的保
护措施,并确保这些措施能够完善任何漏洞,并检测保护措施的有效性。”
如果法条明确指出需要采用何种安全措施(例如,系统中存放的所有能够在网络中传输的信息都必须加密),那么实施起来就会简单得多。然而,你可
以理解为什么这是不可能的:技术发展的脚步太快,新的入侵和攻击的方式层出不穷。即使是要求数据应当被加密的要求也无法保障所采用的加密类型
能不被轻易破解。例如,由于WEP众所周知的安全漏洞,采用WEP加密通过无线网络发送的客户消息仍然有可能泄漏。
一些法条,例如HIPAA,已经太过复杂以至于已经扩展到了一本书那么厚,还有无数证明条款。其他的,诸如Sarbanes-Oxley
(SOX)
对小型企业而言则相
对太新,顺应性实施起来极为花钱。
绝大多数情况下,顺应性要求企业指定某人或某团队对顺应性负责。即使没有这样的约束,你也应该如此,确保所选择的对象能得到同相关法规相适当
的培训。
选择解决方案
第一步就是要意识到顺应性包括多种软件条件。顺应性会对你的业务开展方式产生深远的影响。任何的安全计划,无论是否是根据政府要求实施,都需
要政策先行。
其次,你需要评估受到顺应性影响的系统。例如:
评估边界控制,确保受控数据不至于因入侵或攻击而被泄露。
在服务器级别通过评估[wiki]存储[/wiki]系统(访问控制/权限、强有力的认证)来确保即使有人侵入网络也无法访问存储受保护数据的系统。
用磁盘和服务器评估安全性(加密)来确保即使入侵者访问到了系统也无法读取系统中的文件。
保障可扩展性
如果可扩展性是头等大事,那么模块化的解决方案是个好的选择。这意味着安全方案可以在不同的层次得到升级或扩充。也就是使用不同厂商的不同产
品来提供不同级别的保护(例如,防火墙和边界控制、存储、服务器和通信)。
很多企业都提供了边界(perimeter)顺应性解决方案,该方案集成于企业已有的网络构架。这些方案针对特定行业,例如,去年6月份Qumas为制药企业
提供了PharmaQCompliance方案。它采用了根据用户数量扩充许可证的模型。SenSage提供了独立的解决方案套装,它能帮助在SOX或HIPAA上有顺应性
要求的企业。
另一种方案就是找一家服务商,通过将你的网络流量转移到他们的网络来对你的数据提供安全保障。这种可管理的安全服务可以减轻你的网络系统管理
员的负担,服务商会提供攻击防范以及可管理的防火墙、VPN服务、电子邮件安全和加密等等。顺应性解决方案可以是全面外包的顺应性服务。
另一方面,一个大问题就是是否产品或服务的确是由专业的软件开发人员开发的?解决方案是否是由顺应性专家所设计的?理想情况是,你的产品和方
案能够集二者之精华。基隆市,台北市,台北縣,桃園縣,新竹縣,新竹市,苗栗縣,台中縣,台中市,彰化縣,南投縣,雲林縣,嘉義縣,嘉義市,台南縣,台南市,高雄縣,高雄市,屏東縣,澎湖,金門,馬祖,中國大陸,From InToHard
全站熱搜
留言列表
