【TechTarget中国原创】信息技术基础设施库(ITIL)所引导的方式
虽然公共机构可以免于受到华尔街的冲击,但是,这并不能消除约束他们的规则要求。他们遵守规则的压力仅仅来自于不同的来源。比如,迈阿密滩(Miami Beach)市一定要获得佛罗里达州执法部门的许可,这是该城市的公安部门可以申请联邦基金的晴雨表。此外,还有PCI。随着市民支付自己的税款,驾驶执照费用和停车罚单用信用卡交付,这个城市和其它大部分城市一样,必将会遵守行业的支付卡安全标准。
Nelson Martinez是这个城市的系统支持经理,他通过集中城市的IT基础设施,并将作为服务管理平台的ITIL,以及NIST标准用来处理安全问题,进而处理这些需求的交叉问题。随着这个城市开始执行电子政务的倡议,这种集中化在未来几个月中会变得越来越重要,电子政务基本上在网上创造了一个虚拟的市政厅。
Martinez 说:“由于是公共资助的资金,因此这里存在一个道德问题。我们坚决负有一定程度的责任。我们希望能够符合一定的行业范围内的安全政策。很大程度上,我们就是一个ITIL工作室,我们像私营行业一样,采用变更控制从事一切工作。我们追踪一切,我们遵循服务水平协议(SLAs)。”
Martinez的组织负责这个城市的基础设施——网络、服务器、台式机、网关、此外还有灾难恢复。它主要采用移动的工作人员来支撑各个部门。比如公众安全必须安全地连接到国家和联邦的数据库,这样可以在信息传输发生阻塞时,进行背景核查。
Martinez的系统必须坚持遵守严格的FDLE配置方针,否则,事故不仅仅会危害到敏感的公众信息的安全,而且也会危及到这个部门获得资金的能力,导致其得不到认可。
Martinez指出,ITIL的标准化是至关重要的。在迈阿密滩市有一个IT部门专门负责该市所有的办事机关。Martinez 说:“这是我想要开一家IT工作室的真正的唯一途径。已经有了合适的标准。有一个统一的安全策略可以指示如何进行工作。这是唯一的途径,能够使我们在不同环境中拥有充分的控制。”
变更控制是最大的胜利,因为ITIL为Martinez的工作室提供了安全。
Martinez说:“你还必须采取主动,进行你的扫描和电笔测试,察看问题出在哪里并解决这些问题。只要你已经建立了一个基准,你可以说:‘我是要大部分都处于安全状态’。ITIL称,你需要具备合适的变更控制流程,这样你就可以追踪所在环境中的变更。”
Martinez说,迈阿密滩市配置了Symantec Enterprise Security Manager(简称ESM),用来处理其漏洞扫描并且监测政策偏差。比如,该工具就配备了NIST和NSA标准的模板。Martinez用这些安全模板来制定规则,以遵守诸如PCI和用于移动连接的内部政策之类的行业规定。这个城市也使用eEye的Blink来实时监测入侵防御系统(IPS)和入侵监测系统(IDS)。
Martinez说:“Symantec ESM尤其擅长于为服务器创建模块,并告诉我们:我们是否遵守这些规则。这个工具是一个很好的方式,可以显示出正在进行季度规则审核的审计员是否违背了我们的机器,并能够进行补救。
Martinez指出,如果某个安全问题威胁到了数据安全(法规遵从),可以检查问题的根源,并解决这个问题。比如,使用ITIL,可以确定是服务器的变更还是防火墙设置中的变更导致了这个问题的发生。
他说:“这个工具可以帮助你进行排查并且重新回到起点,指出是什么原因导致了这个问题。如果你已经具备了服务水平协议(SLA),那么我怎么能向我的客户保证我将满足该服务的5 9s呢?
我需要确定我正在主动控制环境中的变更,或者确定这些变更在实施之前已经经过了核查。”
Martinez指出,在实施变更之前,对与任何变更领域相关的风险进行评估,这一点是至关重要的。
他提到:“变更必须经过深思熟虑。我相信这对于产品环境的安全和性能来说都是非常关键的。如果你没有合适的充足的变更控制策略,发生重大的事故,是迟早的问题。”
Forrester公司的Othersen指出,大多数组织都处在与这三种情况相类似的困境之中:选定框架的过程中、以及向遵守规则的规范化环境发展的道路上。
Othersen说:“大约10%的组织已经达到了圆满的状态:实现了规范化,其框架也是合理化和自动化。其余的组织正在选定框架,获得财政预算。虽然还没有采购或者进行工程实施,但是每家组织都在朝着那个方向发展。只是它们现在的运行方式效率比较低下。”