详述Windows Server 2008全面审核策略
在信息技术世界里,变更是永恒的。如果您的 IT 组织与大多数其他 组织并无二致,那么了解在您的环境中所发生的变更就会成为您不得不面对的压力,而且这种压力与日俱增。IT 环境的复杂性和规模不断变大,由于管理错误和意外数据泄漏所带来的影响也越来越严重。当今的社会要求组织对此类事件负责,因此组织现在担负着法律责任来保护它们所管理的信息。
这样一来,审核环境中所发生的变更也就变得至关重要。为什么呢?通过审核,可以为了解和管理当今高度分散的大型 IT 环境中的变更提供方法。本文将涵盖大多数组织所面临的常见难题、IT 组织中符合性和规定的前景、中的一些基本审核,还将说明如何借助 的功能和 Microsoft System Center Operations Manager 2007 Audit Collection Services (ACS) 来完善全面的审核策略。
瞥一眼新闻标题就会发现,现在数据泄漏已逐渐成为一种常见问题。在这些意外事件中,许多都涉及到诉讼、财务损失以及组织要承担的公共关系问题。能够解释所发生的变更或能够快速确定问题是减小数据泄漏事件影响的关键。
例如,假定您的组织负责管理给定客户群体的“个人身份信息”(PII)。尽管有多种方式来保护您所管理的系统中所包含的信息,但仍可能会出现安全问题。通过适当的审核,组织可以准确知道存在安全问题的系统和可能会丢失的数据。如果不进行审核,数据丢失所造成的影响可能会非常大,这主要是因为没有办法来估计危害程度。
那么为什么还没有 IT 组织这样做?原因在于,大多数组织没有完全了解审核的技术方面问题。而高级管理层通常只了解诸如备份和还原等概念,审核环境中所发生的变更具有内在的复杂性,这是一种很难传达的消息。因此,有关审核的问题通常只在重大意外事件发生后才会浮现出来。例如,虽然基本审核可能已启用,但如果因缺少规划而未将系统配置为审核某个特定变更,则不会收集该信息。
此外,在审核的安全事件中还有一些内在的问题需要 IT 专业人员来处理。其中一个难点是当今大型计算环境中系统的分布问题,这会给收集和聚合带来严峻的挑战,因为变更可能在任意给定时间出现在任何一个或一组系统中。进而还会产生另一个挑战 ― 关联。有时需要转换单个系统和多个系统上的事件间的关系,以提供所发生事情的真正涵义。
还要注意的另外一个问题是审核通常会超越传统组织的边界。不同的组织或团队结构出于不同的原因而存在,可能不容易将其连接起来。许多组织都有目录服务团队、消息传递基础结构团队和桌面团队,但可能只有一个安全团队负责所有这些领域。而且,组织内的专门安全人员可能不会出现在所有位置。例如,分支机构通常依赖单个人或一个小团队来负责包括安全事件日志管理在内的所有任务。
最后,大量的事件也是一个挑战。审核的安全事件的事件日志记录数据量要远远多于其他类型的事件日志记录的数据量。收集的事件数使得有效保留和查看日志变得非常困难。而且,目前的规定和拟议的规定都要求保留此信息,因此并无助于减少当今计算基础结构中的这一负担。
以前,审核访问信息可能被归纳为希望知道和试图确保安全。现在,组织以及组织的高级管理人员对信息的泄漏或缺少适当的保护负有法律责任,因此 IT 管理员熟悉可能适用于其环境的各种规定就显得尤为重要。对于全球性的公司,挑战会更为严峻,因为每个国家都有自己的信息和保护规定。在图 1 中列出了一些现有的规定符合性法规示例,还列出了 IT 组织的一些期望。
2002 年的“萨班-奥西利法案”(SOX)第 404 节承认信息系统的角色并要求上市公司每年对财务报告的内部控制情况进行一次复查。
健康保险可携性与责任法案 (HIPPA)致力于有关健康数据的安全和隐私;“安全规则”涵盖该数据的管理、物理和技术方面的保护。
电子发现 (eDiscovery)定义文档保留和访问的标准,包括确定文档访问人员的范围和访问方式。
2002 年的“联邦信息安全管理法案”(FISMA)联邦要求为美国政府体系提供全面的“信息安全”(INFOSEC) 框架,与各种法律执行机构进行协调,建立对商业产品和软件功能的控制和承认机制。第 3544 节涵盖机构的职责(包括 IT 控制)。
联邦信息处理标准 (FIPS) 发布 200指定联邦信息和信息系统的最低安全要求,并概述了在 NIST Special Publication (SP) 800-53 中找到的建议用法。在 NIST SP800-53 的第 AU-2 节 (Auditable Events) 中,指定信息系统必须能够将审核记录从多个组件编译到系统范围内与时间相关的审核追踪中、能够由单个组件管理审核的事件,并能够确保组织定期复查可审核事件。
考虑到所有这些法律压力,IT 专业人员需要做些什么?IT 经理和技术人员需要构建清晰简练的情节并将其提供给组织内部和外部的人员。这包括制定正确的审核策略(需要事前评估和投资)。此处的关键概念在于,审核不能像常见的那样可以事后进行设计。
此类 IT 挑战通常可通过人员、过程和技术的组合加以解决。对审核而言,它就是过程。因此,第一步应掌握基础知识,以便能够响应组织对规定符合性的需要和要求。我们首先介绍 Windows 中有关审核的一些基础知识,然后再深入研究 Windows Server 2008 和 Windows Vista® 中的变更。