McAfee 安全观点

McAfee 安全观点

法规遵从性实践指南

如今，金融服务公司必须充分利用安全技术以及内容安全管理产品，确保自己遵从各种现行法规，如健康保险流通与责任法案 (HIPAA)、萨宾斯-奥克斯利法案以及格雷姆-里奇-比利雷法案 (GLBA)。 无论是投资公司、零售和商业银行、保险公司，还是为金融服务行业提供信托等服务的公司，都必须遵守这些法规。

每项法规针对的问题各不相同，对遵从性也都有各自的基本要求；但事实上，这些法规本身并不会明确地告知金融服务组织应该如何做才能符合要求。

CIA 三角

现行法规的重点集中在“CIA 三角”的三个方面 —— 机密性、完整性和可用性。 举例来说，2002 年由美国国会通过的萨宾斯-奥克斯利法案规定企业的 CEO 和 CFO 个人要对财务报告的准确性负责。

McAfee 安全宣传专员 Peter Schawacker 说：“萨宾斯-奥克斯利法案的着眼点在于完整性，它要求财务报告必须完整准确，至少制订这些报告的管理层要在这方面下足功夫。”

而 1999 年通过的格雷姆-里奇-比利雷法案则指示金融服务公司应如何正确处理在投资顾问活动中收集的个人私密信息。 Schawacker 指出：“该法案涉及机密性，因为企业理应明确 M&A 与经纪业务之间的界限。”

于 1996 年通过的 HIPAA 主要侧重于保护患者信息，它涵盖了 CIA 三角的三个方面。 HIPPA 与保险公司及其他处理患者医疗记录的企业息息相关。 “每个人都会关注隐私性问题，但要知道完整性和可用性这两部分同样不可忽视，”Schawacker 特别提到， “它们可以有效避免药物混用问题，并能够确保急诊手术病人拿到所有检查表。”

事实上，并非只有医疗保健机构和保险公司要遵守 HIPAA， 立法机构要求凡是涉及患者信息处理的企业都必须遵守 HIPAA 隐私条例。 例如，这可能包括向员工提供保健福利的雇主以及担当交易票据交换中心、将非传统交易转换成标准交易（反之亦然）的金融机构。

要实现法规遵从，首先要构建良好的安全环境

在这些法规颁布前的很长一段时间，许多金融服务公司就已开始为实现法规遵从而采取一系列措施。 Schawacker 说：“较成熟的企业首先会建立有效的安全计划，然后在此基础上进一步致力于法规遵从的实现。 多年来，法规完全在指示人们应该如何去做，这也是为何金融服务公司能够十分轻松地实现法规遵从的原因。”

至于企业需要怎样做才能完全实现法规遵从，法律并没有给出明确的答案。 “一些法规之所以不够明确，是因为要考虑到各种类型的企业，”Schawacker 说， “从这方面来说，HIPAA 和 GLBA 就较为具体，因为它们针对特定的垂直市场。 行业越具体，要求也会更明确。 很大程度上说，企业只需要在工作中做到克尽职责并领会法案的精神即可。”

尽管现行法规在目的和遵从要求方面各不相同，但有一点是共同的：要实现对这些法规的遵从，企业就必须部署自己的安全防护系统。

企业（无论属于哪种行业）应该首先确保建立一套良好的安全控制流程，然后要做的就是记录这些流程来确保自己遵从以审核为核心的法规（如萨宾斯-奥克斯利法案和 GLBA）。 而 HIPAA 不同于以上两种法规，它的着重点不在于审核， 而是要求企业实施自己的安全防护方案。

任何企业都要能够通过文档、可靠报告和完善的内容审核来验证工作的有效性，这样才能确保对各种法规的遵从。 “文档确确实实非常重要，”Schawacker 指出，“它可以采用归档消息或使用报告的形式，同时能够在短时间内生成有关控制流程状态的特定记录。”

另外，企业还应制定风险管理战略，确定资源的优先次序，以便集中精力处理对业务影响最大的威胁。 安全团队可通过了解信息资产价值、资产漏洞并评估资产自身所面临的实际威胁来估测风险的大小。

“实际上就是表明您已尽最大努力来确保法规的遵从性，”McAfee 的工程总监 Mark Harris 这样解释道。 “McAfee® ePolicy Orchestrator® (ePO™) 可出具安全防护报告，确保每个人都能了解最新的状况。 System Compliance Profiler (SCP) 作为 ePO 必不可少的一部分，可评估所安装的最新版本的补丁，”Mark Harris 说， “同时，它能够表明您已尽最大努力确保机器和控制室符合法规要求，并提供数据证明。”

Harris 认为遵从性还应包括可追溯性以及监控正在传递或要传递内容的能力。 “我们拥有能够确保邮件内容安全传输的系列产品， 所有这些产品都有一些共同的功能，例如查看电子邮件消息、附件、Word 文档和电子表格、提取文本以及搜索关键字等。”Harris 指出。

“您可以设置规则来阻止信息传出，也可以记录邮件内容或附件中包含指定关键字或短语的任何外发电子邮件，”Harris 解释说， “这适用于整个企业，也适用于企业内部的关键个人。”

Schawacker 补充说，任何一种能够生成全面配置报告的技术都有助于金融服务公司实现更高的工作核定、透明度和可估性，这些对实现法规遵从起着推波助澜的作用。 “每项法规都要求您将各种资产组合整理到一起，而 ePO 中的无管理系统防护正好精于此道。”他说。

此外，另一产品 McAfee® Foundstone® Enterprise 漏洞管理解决方案对于金融服务公司的法规遵从工作亦有很大价值。 这种企业级安全解决方案专为管理和降低与数字漏洞相关的业务风险设计，它通过资产发现、资产目录和优先级确定、智能威胁防护及关联和补救跟踪报告功能来保护网络基础设施。 Foundstone Enterprise Threat Correlation Module（威胁关联模块）可让客户跟踪特定威胁在一定时间内的进展情况，从而采取相应措施确保自己符合内部策略和法规遵从策略。

到本文截稿时为止，McAfee 又推出了可提供类似功能的新产品。 要了解更详细的信息，请参阅我们的产品部分。

了解更多信息

了解 McAfee Foundstone Enterprise 漏洞管理解决方案如何帮助您实现法规遵从。