虚拟大会现场视频资料请点击查看

　　IT GRC代表IT治理、风险管理和法规遵从。IT治理是指企业采取有效的机制，保持业务目标的一致，促进业务的发展。风险管理是指通过风险的识别控制分析等过程来把IT风险控制到可接受的范围。法规遵从是指企业在IT运营中需要符合相关的法律法规、最佳实践、技术标准的要求，规避法律的风险，有效控制IT风险。

　　IT 治理、风险管理和法规遵从面临的挑战，主要分三个方面：　　

　　安全风险

• 威胁的复杂性与日俱增
• 基础架构和配置不断变化
• 法规要求日益增多

　　法规/审计遵从

• 评估的频率
• 内外部审计
• 向多方报告

　　安全和遵从成本

• 控制目标的重叠
• 手动评估控制
• 环境的多样性

　　企业如果采用自动化工具将大幅降低审计成本和提升效果，如下图所示：

　　左图表示，采用自动化工具之后，评估审计周期和成本将大幅度降低。右图表示从最不成熟到最成熟企业来看，其法规遵从花费一开始随着成熟度的提升而增加，到了一定的程度后会开始下降。为什么一开始成本会提升呢？因为一开始企业要用不同的成本来遵循法规遵从，成本会逐渐增加。随着成熟度增加，审计的频率也会增加，达到一定程度之后，成本就会下降，图中显示下降了54%。

　　企业IT GRC关键需求和面临的复杂问题

　　八大关键需求

　　1.策略和控制的对应，在IT GRC中策略是核心问题，定义和管理策略是比较困难的问题。策略的开发和管理也是一项比较复杂的任务。需要对法规、最佳实践、标准有深入的了解。为确保企业在业务控制中，IT策略必须映射到企业所保护的IT资产上，定义的控制目标要映射到多个法律法规上。而且自动通过更新减少管理时间。

　　2. 策略分发和更新不仅要制定，还要整个生命周期的管理。

• 定义和管理企业策略以符合多个法规和标准的要求
• 把控制措施和企业策略对应
• 策略分发、接受、反馈和回顾更新

　　3. 自动的技术控制评估

• 控制测试的自动化
• 平台支持的广度和深度
• 自动识别和技术标准的违规
• 识别关键漏洞

　　4. 自动的程序控制评估 ，规范员工的行为比较困难，难以评估。

• 将控制转换为问卷形式
• 基于Web的评估问卷来评估策略是否被理解和执行，取代手工纸质的问卷

　　5. 敏感数据控制

• 敏感信息的定义
• 自动搜索敏感信息
• 划分补救措施的优先级

　　6. 灵活报告和分析

• 通过一个管理平台实现可定制的透明监控
• 可供审计的证据
• 动态分析
• 灵活的分发

　　7. 补救管理，对IT部门来说及时发现和修复漏洞是一个非常重要的挑战。

• 自动与工单系统集成
• 闭型和开放型补救流程
• 精确跟踪

　　8. IT资产数据库 

• 资产信息以及来自其他设备和应用程序的控制数据

　　上述所说的IT GRC问题，每个问题都是一个单独的领域。大多数企业一般使用不同的单点产品解决上述问题。从下图可以看到有不只十家厂商提供产品来解决这些问题。企业不是集成商，没有必要掌握每种产品的使用方法。每个问题采用单点的方法来解决是不可行的。购买使用评估多个产品，成本会增加，而且还会进行重复评估。

　　怎样在降低成本的情况下解决IT GRC问题？

　　赛门铁克推出的IT GRC整体解决方案Symantec Control Compliance Suite（CCS）可以解决这个问题。Symantec Control Compliance Suite是以策略为主导的IT GRC方法。赛门铁克的CCS提供了全面集成式的IT GRC解决方案。

　　CCS由四个主要模块组成：策略管理模块、标准管理模块、漏洞管理模块和响应评估管理模块，还有其他的模块包括基础架构模块、第三方的Semantic DLP组建模块。策略管理模块是制定和管理策略的模块，它根据法律法规的要求来制定策略，把策略和控制目标进行对应，对策略生命周期进行管理。标准管理模块用来评估基础架构的技术控制识别和技术标准之间有哪些不符合的技术项目。漏洞管理模块主要用来进行网络主机、业务系统和数据库漏洞的评估。响应评估管理模块则以调查问卷的方式进行，取代了费时费力的手工操作。

　　Semantic IT GRC实现原理，内置了60多个法律法规和框架，如下图所示：

　　CCS主要模块的功能

　　策略管理模块：制定和管理策略

• IT 策略生命周期管理降低成本和复杂度
• 通过内置的策略内容制定策略
• 评估包括法规和最佳实践
• 自动的法规更新
• 将策略与控制措施进行对应
• 避免重复遵从多个法规中的相同控制

　　标准管理模块：自动评估IT 基础架构

• 改进的IT风险可视化，降低法规遵从的成本和复杂度
• 自动评估技术控制，识别不符合和 配置错误
• 利用业界最好的预装内容
• 管理例外情况
• 灵活的无代理或基于代理的
• 以遵从证据的形式发布

　　CCS支持的技术平台是非常广泛的，包括操作系统（如Windows、Linux）和数据库（如Oracle，SQL server，DB2）。

　　漏洞管理模块：执行高级漏洞评估

• 主动防止对关键资产和信息的威胁
• 识别 Web 应用程序、数据库、服务器和其他网络设备中的重大漏洞
• 超过 54,000 项检查，覆盖14,000个漏洞
• 独一无二的漏洞“链”机制
• 特有的风险评级算法
• 64 位的高性能扫描引擎

　　CCS Vulnerability Manager 可将所有已知漏洞关联起来，以查明隐而未知的新问题。

　　响应评估管理模块：自动评估程序控制

• 自动评估程序控制，取代了费时费力的手工操作
• 基于Web的调查问卷，涵盖超过60个法规和标准
• 通过风险加权调查进行评估
• 跟踪响应——接受情况、例外情况和澄清申请
• 与技术控制检查结合使用，以全面了解遵从状况

　　CCS还可以与数据丢失防护紧密结合，确保拥有最敏感信息的IT资产能够符合策略和法规的要求，同时确定重要资产并划分优先级：

• 结合DLP，获得更好的遵从和安全现状概况
• 使用 DLP Discovery 信息识别具有敏感数据的资产
• 划分这些资产的优先级，以进行控制评估
• 对这些资产考虑加固方法
• 并排显示 CCS 和 DLP 数据，以划分补救工作的优先级
• 更全面地了解遵从和安全状况

　　报告风险和遵从状况

• 可为多个股东提供相关数据，供其做出更明智的决策
• 基于 Web 的动态管理面板
• 将技术、流程和数据控制功能与外部系统提供的证据相集成
• 可从多个面板视图和过滤选项中选择，并可深入了解所有细节
• 最终用户部署成本较低

　　集中收集和管理证据

• 降低管理开销，增进对 IT 风险和遵从状况的了解
• 结合来自多个系统和应用程序的数据，包括 DLP 和漏洞评估数据
• 标准化数据，并将数据与策略和法规相对应
• 在基于 Web 的管理面板和报告中查看导入的数据

　　基于风险修补缺陷

• 首先解决最严重的缺陷，改善IT风险状况
• 根据遵从和风险评分（使用 CVSS 量化分析）确定修补措施的优先级
• 提供详细的修补说明
• 自动与故障单系统相集成：通过 Altiris  Service Desk提供闭环的验证；支持第三方Remedy/HP Service Desk。

　　Symantec Control Compliance Suite案例介绍

　　案例1：美国大陆航空公司的IT GRC方案如下图：

　　图中显示该公司使用了CCS的四个基本模块，另外还使用了DLP技术对敏感信息进行分类，通过DLP发现敏感信息的位置，对移动的笔记本进行全盘磁盘加密，从而实现IT策略的遵从，达到了IT GRC的目标。

　　案例2：中国平安的IT GRC方案

　　案例介绍：主机安全配置检查和漏洞评估

• 数据中心有几千台服务器，系统平台有HP-UX，Solaris，Linux，AIX，AS400，Windows，数据库有SQL Server，Oracle，DB2，My-SQL
• 中国平安基于CIS benchmark制定了各主机、应用和数据库的安全配置策略
• 企业通过ISO27001认证，需要接受ISO27001外审、公司审计部的IT审计、银监会审计、保监会、证监会的审计，法规遵从压力大
• 原来使用脚本在主机服务器上运行进行主机安全配置检查，需要管理员手工执行，工作量大
• 使用CCS Standard Manager Module ESM进行配置检查和漏洞评估，自动化安全审计过程，大大降低审计工作量，轻松应对内外部各方审计