Windows Server 2008中的審核和符合性

概覽:

日益重要的符合性

瞭解環境中所發生的變更

審核安全事件所面臨的挑戰

審核的技術方面問題

在資訊技術世界裡，變更是永恒的。如果您的 IT 組織與大多數其他 IT 組織並無二致，那麼瞭解在您的環境中所發生的變更就會成為您不得不面對的壓力，而且這種壓力與日俱增。IT 環境的複雜性和規模不斷變大，

由於管理錯誤和意外資料泄漏所帶來的影響也越來越嚴重。當今的社會要求組織對此類事件負責，因此組織現在擔負著法律責任來保護它們所管理的資訊。

這樣一來，審核環境中所發生的變更也就變得至關重要。為什麼呢？通過審核，可以為瞭解和管理當今高度分散的大型 IT 環境中的變更提供方法。本文將涵蓋大多數組織所面臨的常見難題、IT 組織中符合性和規定的前景、Windows® 中的一些基本審核，還將說明如何藉助 Windows Server® 2008 的功能和 Microsoft® System Center Operations Manager 2007 Audit Collection Services (ACS) 來完善全面的稽核原則。

審核挑戰

瞥一眼新聞標題就會發現，現在資料泄漏已逐漸成為一種常見問題。在這些意外事件中，許多都涉及到訴訟、財務損失以及組織要承擔的公用關係問題。能夠解釋所發生的變更或能夠快速確定問題是減小資料泄漏事件影響的關鍵。

例如，假定您的組織負責管理給定客戶群體的“個人識別資訊”(PII)。儘管有多種方式來保護您所管理的系統中所包含的資訊，但仍可能會出現安全問題。通過適當的審核，組織可以準確知道存在安全問題的系統和可能會丟失的資料。如果不進行審核，資料丟失所造成的影響可能會非常大，這主要是因為沒有辦法來估計危害程度。

那麼為什麼還沒有 IT 組織這樣做？原因在於，大多數組織沒有完全瞭解審核的技術方面問題。而進階管理層通常只瞭解諸如備份與還原等概念，審核環境中所發生的變更具有內在的複雜性，這是一種很難傳達的訊息。因此，有關審核的問題通常只在重大意外事件發生後才會浮現出來。例如，雖然基本審核可能已啟用，但如果因缺少規劃而未將系統配置為審核某個特定變更，則不會收集該資訊。

此外，在審核的安全事件中還有一些內在的問題需要 IT 專業人員來處理。其中一個痛點是當今大型計算環境中系統的分布問題，這會給收集和彙總帶來嚴峻的挑戰，因為變更可能在任意給定時間出現在任何一個或一組系統中。進而還會產生另一個挑戰 — 關聯。有時需要轉換單個系統和多個系統上的事件間的關係，以提供所發生事情的真正涵義。

還要注意的另外一個問題是審核通常會超越傳統組織的邊界。不同的組織或團隊結構出於不同的原因而存在，可能不容易將其串連起來。許多組織都有目錄服務團隊、訊息傳遞基礎結構團隊和案頭團隊，但可能只有一個安全團隊負責所有這些領域。而且，組織內的專門安全人員可能不會出現在所有位置。例如，分公司通常依賴單個人或一個小團隊來負責包括安全事件記錄管理在內的所有任務。

最後，大量的事件也是一個挑戰。審核的安全事件的事件記錄記錄資料量要遠遠多於其他類型的事件記錄記錄的資料量。收集的事件數目使得有效保留和查看日誌變得非常困難。而且，目前的規定和擬議的規定都要求保留此資訊，因此並無助於減少當今計算基礎結構中的這一負擔。

以前，審核訪問資訊可能被歸納為希望知道和試圖確保安全。現在，組織以及組織的進階管理員對資訊的泄漏或缺少適當的保護負有法律責任，因此 IT 管理員熟悉可能適用於其環境的各種規定就顯得尤為重要。對於全球性的公司，挑戰會更為嚴峻，因為每個國家都有自己的資訊和保護規定。在圖 1 中列出了一些現有的規定符合性法規樣本，還列出了 IT 組織的一些期望。

Figure1法規以及它們對 IT 專業人員意味著什麼

法規	期望
2002 年的“薩班-奧西利法案”(SOX)	第 404 節承認資訊系統的角色並要求上市公司每年對財務報告的內部控制情況進行一次複查。
健康保險可攜性與責任法案 (HIPPA)	致力於有關健康資料的安全和隱私；“安全規則”涵蓋該資料的管理、物理和技術方面的保護。
電子化探索 (eDiscovery)	定義文檔保留和訪問的標準，包括確定文檔訪問人員的範圍和訪問方式。
2002 年的“聯邦資訊安全管理法案”(FISMA)	聯邦要求為美國政府體系提供全面的“資訊安全”(INFOSEC) 架構，與各種法律執行機構進行協調，建立對商業產品和軟體功能的控制和承認機制。第 3544 節涵蓋機構的職責（包括 IT 控制）。
聯邦資訊處理標準 (FIPS) 發布 200	指定聯邦資訊和資訊系統的最低安全要求，並概述了在 NIST Special Publication (SP) 800-53 中找到的建議用法。在 NIST SP800-53 的第 AU-2 節 (Auditable Events) 中，指定資訊系統必須能夠將審核記錄從多個組件編譯到系統範圍內與時間相關的審核追蹤中、能夠由單個組件管理審核的事件，並能夠確保組織定期複查可審核事件。

考慮到所有這些法律壓力，IT 專業人員需要做些什嗎？IT 經理和技術人員需要構建清晰簡練的情節並將其提供給組織內部和外部的人員。這包括制定正確的稽核原則（需要事前評估和投資）。此處的關鍵概念在於，審核不能像常見的那樣可以事後進行設計。

此類 IT 挑戰通常可通過人員、過程和技術的組合加以解決。對審核而言，它就是過程。因此，第一步應掌握基礎知識，以便能夠回應群組織對規定符合性的需要和要求。我們首先介紹 Windows 中有關審核的一些基礎知識，然後再深入研究 Windows Server 2008 和 Windows Vista® 中的變更。