SolarWinds是一家具有网络管理权限的软件公司，但该公司现在越来越注重合规性。SolarWinds公司的安全主管Mav Turner说，他们现在所面临的不断增加的问题，所有不同的数据源整合在一起的合规性。

“对于数据信息有很大的需求，而性能数据加上安全性，无论其是防火墙的日志，或是来自Apache服务器或任何其他来源的数据，企业均需要将这些数据通过入侵检测(IDS)和入侵防御(IPS)系统将他们整合在一起，关联数据寻找漏洞，无论其是在Web服务器或其他地方。”他说。

　Turner补充说，由于需要与其他终端保护系统、服务器、和任何运行系统日志的设备连接，整合仅仅只是起点。然而，他认为，好消息是，很多人不只是简单的找到“勾选框”了，他们也开始明白理解需求的严重性，他描述说“如果我要投资增加安全性，那么这不只是让企业内部管理团队运行一个报告”。换句话说，这其中既有业务责任也会有技术责任。

“遵守法规是没有恶意的。我们的目标不是创造难以管理的开销，但企业必须重新优化，并确保相关的资源和时间用得其所，因为这不再是一个选项，“Turner说。

　　合规性准则指南

Good Practice Guide (GPG) 13是另一项英国的长期合规性指南，同样为企业的IT部门带来了大量的工作，根据SolarWinds的经销商Kenson公司的Glen Kershaw介绍：GPG 13是重点关注保护监测，包括IDS和IPS，以及日志和日志分析的政策。Kershaw声称，40%的客户正在寻求探索他们的合规性战略的下一个步骤，无论是涉及风险水平和管理水平。

“我们有很多客户要求我们为GPG 13提供解决方案，以方便他们能够安装软件和继续发展。”他说。但他认为，更重要的是要建立一个专门处理安全性的工作团队。

“我不相信单独由一个人来负责是可能的。企业有专门的IT部门，那么其他服务于客户的安全团队则取决于公司的规模，也许对中小企业部门而言会依赖于软件;而对于那些高端企业则依赖于特定的个人。”Kershaw说。

对于监测现有准则在细节水平方面的日益提高，并注重实时分析，也是另一个消耗IT时间的重要方面。用来测试漏洞和测量合规性的典型的方法是使用漏洞扫描，安全合规性解决方案提供商New Net Technologies公司的首席技术官Mark Kedgley说。

但是，他说，有两个问题的方法：首先，扫描只是合规性的快照，并不会被检测到的扫描之间的，使系统容易受到攻击，直到下一次计划的扫描。另一个主要问题是，一台扫描仪是盲目的初始威胁(zero-day threats)，并没有提供任何文件完整性监控，以检测违规活动。Kedgley认为，不停的文件完整性监控是提供持续的合规性评估和实时检测违约的唯一办法。

例如，BCH数字化，交互式语音应答(IVR)呼叫管理服务供应商BCH Digital公司，就需要确保其电话卡支付业务的合规性。

BCH Digital公司的一名技术经理克里斯·约翰逊说：“PCI合规性要求企业必须确保对各种文件的跟踪和系统的监控到位。而在寻找功能全面、易于使用、且可以很容易地集成到我们的系统的跟踪软件以帮助我们实现PCI合规性方面，我们面对的是一个难以逾越的障碍。”

在试用了几种不同的软件解决方案之后，BCH Digital公司选择采用了New Net Technologies的变化跟踪解决方案(Change Tracker solution)。这里的关键是，合规性跟踪不仅仅只是一个“必须有”的标记复选框，而是实际上有助于企业的业务拓展。

“展望未来，我们相信，我们将继续通过PCI-DSS审核，并继续保持兼容。”约翰逊说。“这是我们保持客户和业务持续增长的一个关键组成部分。”

可以肯定的是，遵守合规性和相关准则指南不会简单地消失，反而还会将进一步优化和调整。

然而，同样明显的是，这对于软件企业是一个巨大的市场机会：越来越多的解决方案以及相关的专业知识迎来市场机遇将成为可能。同时，现有的解决方案将会被优化改进。至于企业IT部门，他们会越来越需要保持与企业其他如行政管理，安全，金融财务等部门紧密合作。

(责任编辑：安博涛)