从容应对安全和法规遵从挑战

从容应对安全和法规遵从挑战

随着法规遵从要求和安全水平的提高，企业必须实施战略性的安全风险管理措施。

安全现状今非昔比。 多年来，企业都是通过战术性措施来确保安全的。 IT 部门等到检测到漏洞和威胁后再采取措施应对攻击。 但现在，企业意识到这样做已经无法经济高效地抵御所有安全威胁， 同时，不断增加的法规压力也迫使企业必须采取积极有效的措施来降低安全风险。 它们必须确定一个符合自身业务需求的可接受风险等级，以此保证对各项法规的遵从。

Gartner Research 在 2006 年 1 月的报告《IT 安全风险管理中的风险评估方法》中建议：“IT 安全机构必须转变风险管理模式，放弃通过最大程度发挥现有资金的优势来确保企业安全这一旧有模式，转而采用根据具体需求有针对性地抵御风险这一新型模式。”分析人员总结说：“企业必须认识到并非所有风险和威胁都可以防御，因此它们需要做的就是确定哪些风险和威胁是可以防御的。”

更从容地应对风险
大多数企业在这方面都走了弯路， 它们没有将单独的法规和威胁有机联系起来，而寄希望于各个击破。 这样，法律一旦修订或颁布新法律，企业都必须重新审查整个流程， 每次发现新漏洞都意味着要采取新的防范措施， 这势必造成企业资源紧张的局面。

其实，企业完全可以更轻松地应对法规遵从和安全防护两方面的考验。 采用安全风险管理 (SRM) 方案不但能让企业降低违规风险，还能提高运营效率，一举两得。

安全风险管理是一个流程，而不是一种产品。 McAfee 的组合产品营销经理 Michelle Johnson Cobb 说：“安全风险管理作为一种开展业务的方法，可帮助企业前瞻性地识别并消除漏洞、拦截攻击、管理法规遵从性以及执行补救措施。”

实施安全风险管理战略后，企业还需要采取一系列措施： 评估 IT 安全风险等级和业务成本之间的关系， 确定企业可接受的风险等级； 了解提供风险信息的各种安全工具； 对风险信息的价值与获取和分析各种安全工具提供的信息所耗费的成本进行权衡。

Cobb 说：“大多数 IT 团队都需要对众多不同安全工具所提供的大量数据进行分析， 并通过手动方式将这些信息与企业的安全策略和监管措施相对应。” 他们面临的挑战是如何将毫无意义的大批数据流转换成有关风险等级的信息， 借助这些信息，企业就能清晰地了解需要拿出多少成本来支持各种 IT 投资。

企业必须及时将 IT 风险信息上报给自己的管理层，以方便企业管理层进行企业审核、ROI 分析和资源安排。 明确风险指标可帮助企业根据业务目标调整安全计划，从而简化安全管理流程。 最后，应针对与安全漏洞相关的业务风险进行量化，从而判断企业是否需要实施增强型 IT 安全解决方案。

企业应制定可以及早发出新漏洞通知的风险管理战略。 必须深入了解所拥有的资产，明确哪些资产是最重要的业务资产， 必须明确哪些资产容易受到攻击， 必须根据安全策略确定补救措施的优先级， 最后，企业必须监控各个方面对企业安全风险管理战略的遵从情况。 最后，企业还需要通过一些工具就风险级别和成本问题与企业管理层进行交流。

一款集成的解决方案
Cobb 说：“McAfee 是全球唯一一家提供全面安全风险管理方案的公司， 我们的方案集成了威胁防护和遵从性管理两方面功能。”

McAfee 集成的安全防护和遵从性管理方案不但能有效保护企业资产免受威胁侵扰， 还能帮助企业更好地遵从内部策略和行业法规。 例如，您可以在用户计算机访问网络之前先采取措施使用户计算机完全符合企业安全标准。 McAfee® Policy Enforcer 网络访问控制功能可以实现与用户计算机上的 McAfee ePolicy Orchestrator® (ePO™) 代理集成，这有助于判定计算机是否符合标准。 如果计算机不符合企业标准，那么只有在解决了相关问题后，这台计算机才能访问网络。

企业可使用漏洞管理工具来评估软件漏洞对公司网络和系统的影响， 同时还可使用入侵防护系统 (IPS) 来识别和拦截攻击， 但是，漏洞管理工具无法起到拦截攻击的作用， 而 IPS 虽然能够拦截攻击，却无法判断攻击是否对公司的网络和系统真正构成威胁。 针对这种情况，McAfee 将 McAfee Foundstone® 漏洞管理功能和 McAfee IntruShield® IPS 有效整合到一起，提供了一款“完美结合，效果更佳”的解决方案。 二者紧密协作，为企业提供特定攻击的相关信息，然后自动实施拦截。

McAfee 还在这款解决方案中集成了自己的系列产品，从而为客户提供有关策略遵从性的高级报告功能。 您不但能将 McAfee Foundstone 数据导入到 McAfee Preventsys 产品中， 还能将安全策略和标准与特定的 Foundstone 检查关联起来，从而确保整个网络始终遵循企业制定的策略。

其他资源：

单击此处了解有关 McAfee 安全风险管理方法的更多信息。

本文提及的 McAfee 和/或其他标识是 McAfee, Inc. 和/或其分支机构在美国和/或其他国家/地区的注册商标或商标。 McAfee 与安全性相关的红色是 McAfee 品牌产品的特有代表色。 本文提及的所有其他注册和未注册商标都是其各自所有者的专有财产。 © 2006 McAfee, Inc. 保留所有权利。