去年，上市似乎成為了IT界的焦點(diǎn)。10月9日，金山軟件在香港聯(lián)交所上市;11月1日，巨人網(wǎng)絡(luò)集團(tuán)在紐約交易所上市;11月6日阿里巴巴集團(tuán)B2B子公司在香港掛牌上市。三家知名IT公司在一個(gè)月內(nèi)陸續(xù)上市，且股價(jià)都一路走高，讓身處全民炒股熱情中的中國(guó)IT界更加狂熱。

大家都在關(guān)注每天的股票上漲情況以及創(chuàng)造出了多少個(gè)千萬(wàn)富翁，卻忽視了上市公司背后的壓力和責(zé)任。

就在7月5日，中國(guó)第一家海外上市公司—華晨中國(guó)汽車控股有限公司從美國(guó)紐約證券交易所退市了！華晨汽車在香港發(fā)布的英文公告顯示:鑒于公司的美國(guó)存托股票交易量萎縮和維持美國(guó)報(bào)告和登記義務(wù)的管理成本增長(zhǎng)，公司董事會(huì)重新評(píng)估了維持紐交所掛牌的價(jià)值，并決定終止這一掛牌。

業(yè)界專家指出，讓華晨不堪重負(fù)的，正是為了遵循《薩班斯—奧克斯利法案》而不得不向?qū)徲?jì)公司支付的巨額咨詢、審計(jì)費(fèi)用，以及高昂的內(nèi)部遵循成本。與這筆支出相比，華晨在紐約交易所融到的資金卻非常有限。

華晨的退市讓中國(guó)的海外上市企業(yè)又一次切身的感受到了薩班斯法案的威力，嚴(yán)格審計(jì)的背后是企業(yè)成本的巨額增加。

法規(guī)遵從和IT治理相結(jié)合

對(duì)于上市企業(yè)來(lái)說(shuō)，需要遵循的何止是薩班斯法案，除此之外，還有很多的法案需要企業(yè)遵循。巴塞爾協(xié)議、GLBA法案、FISMA、PCI DSS等等，根據(jù)企業(yè)性質(zhì)的不同，遵循的法案也有所區(qū)分。但是這些法案的遵循都是需要一筆不費(fèi)的執(zhí)行成本。

對(duì)于企業(yè)來(lái)說(shuō)，遵循法規(guī)都是沒(méi)有商量的，這些費(fèi)用的支出也都是無(wú)法回避的。但是企業(yè)可以選擇把這筆費(fèi)用的效益發(fā)揮到最大，讓法規(guī)遵從所要求的內(nèi)部控制不僅僅是做給監(jiān)管部門看的，更重要的是以此提高企業(yè)的管理水平，創(chuàng)造更大的效益，切實(shí)保證企業(yè)健康、快速地成長(zhǎng)。

這就需要把法規(guī)遵從和IT治理聯(lián)系起來(lái)。IT治理的專家David Thompson認(rèn)為，當(dāng)把法規(guī)遵從與IT治理聯(lián)結(jié)在一起時(shí)，企業(yè)就會(huì)擁有一個(gè)新的框架，這不僅能產(chǎn)生戰(zhàn)術(shù)上的結(jié)果，而且還能帶來(lái)戰(zhàn)略上的重大利益。

不可忽略的日志管理

《薩班斯法案》強(qiáng)調(diào)企業(yè)的信息技術(shù)策略和企業(yè)內(nèi)控活動(dòng)(不論是人還是機(jī)器)的操作流程都必須進(jìn)行明白的定義并保存相關(guān)記錄，而后才能實(shí)施。而操作記錄在IT系統(tǒng)中一般都是以日志的方式進(jìn)行保存的。

“日志管理是安全防范的基礎(chǔ)，同時(shí)在法規(guī)遵從上也有著重要的作用。” RSA的高級(jí)技術(shù)顧問(wèn)馮崇彪說(shuō)。

同時(shí)美國(guó)的許多法規(guī)還明確要求搜集、保存、維護(hù)及檢查日志。尤其是FISMA、HIPAA和PCI-DSS這三項(xiàng)法規(guī)同時(shí)影響著事件響應(yīng)流程和日志管理，因?yàn)樗鼈兗纫髾z查日志，還要求具備日志功能。

但是，現(xiàn)在，不同類型的日志正在從不同來(lái)源以驚人的速度生成。對(duì)這些日志的管理給企業(yè)造成了巨大的負(fù)擔(dān)，如何在整個(gè)企業(yè)的IT架構(gòu)下對(duì)所有的系統(tǒng)日志進(jìn)行統(tǒng)一的管理成為日志管理中最緊迫的任務(wù)。

“不僅要對(duì)不同來(lái)源、不同格式的日志進(jìn)行整合，同時(shí)還要在其中進(jìn)行相關(guān)性分析，從而在相互聯(lián)系中找到可能的安全隱患。同時(shí)集中地收集、整合使得應(yīng)對(duì)法規(guī)遵從更加容易，而不用陷入每一個(gè)系統(tǒng)的日志維護(hù)中而疲憊不堪。”馮崇彪說(shuō)。

而作為網(wǎng)絡(luò)安全領(lǐng)域歷史悠久的企業(yè)，RSA也提供了相應(yīng)的產(chǎn)品—enVision來(lái)幫助企業(yè)從容應(yīng)對(duì)繁瑣的日志管理，同時(shí)它還可以輕松生成新巴塞爾協(xié)議、薩班斯法案等法規(guī)要要求的安全性風(fēng)險(xiǎn)報(bào)告。這種集中的管理降低了企業(yè)的成本，同時(shí)使內(nèi)部的安全控制更加嚴(yán)密。