Equifax构筑集成安全战略_.pdfVIP

网络世界/2007 年/11 月/19 日/第034 版 网络安全 Equifax 构筑集成安全战略 作为美国三大信用报告机构之一，Equifax 保存着3000 万消费者的个人和财务数据，其安全 建设丝毫不能放松。 整合安全服务 作为美国三大信用报告机构之一，Equifax 保存着3000 万消费者的个人和财务数据。此外， 这家总部设在亚特兰大、有着107 年历史、资产15.5 亿美元的公司与查询这些消费者信息的数百 家机构建立了业务关系。 大规模的数据泄露会威胁 Equifax 不仅作为数据提供者而且作为数据保护者的声誉。但是， 和许多不得不为已有IT 基础设施和业务流程重新增加安全性的老牌企业一样，Equifax 的安全性 计划当时已经变成了“一床满是补丁的被子”。 该公司信息安全副总裁Tony Spinelli 说：“从历史上看，Equifax 的安全性是非常部门化的。 你有一个完成法规遵从性任务的部门，这个部门拥有一些安全人员、一些进行访问控制的雇员以 及其他一些管理防火墙的人。” 在拥有4600 名分散在14 个国家工作的雇员的情况下，公司每个区域业务单位都通过部署基 于该部门特殊需要的技术和政策来应付日益高涨的安全担心与法规遵从性要求。他说，“我们有 一个可靠的安全计划，但随着新风险的出现，公司知道这还不够。” 事实上，对于一家互联的、全球性的企业，其安全性的高低取决于最薄弱的一环，因此，专 家们不建议采用这种部门式的方法。Gartner 分析师Rich Mogull 说：“这应该是集成做的事情。” 集成中找安全 Spinelli 表示，除非企业中的不同单位的职能差别非常大，否则集中的安全性管理会更有效、 更容易。“如果有人攻击Equifax ，他们会经过主大门——Equifax 的网站。” 到2005 年，随着安全风险和法规遵从性要求的提高，Equifax 的管理团队知道公司必须采取 行动了。这年9 月，公司雇用了Spinelli，授权他负责评估企业的安全态势，通过建立全公司范围 的技术和政策标准，以求让不太安全的区域达到标准。Spinelli 曾经担任过First Data 公司的安全 负责人，是Ernst Young 子公司eSecurityOnline 的创建人，他知道标准化的IT 安全性的重要。 Spinelli 和他的企业从安全与法规遵从性团队迈出的第一步，就是雇用一家咨询机构来进行安 全评估和决定低、中、高风险区域。 Spinelli 要求这家机构依照 ISO 27001 规范（即管理信息系统和网络安全性标准）来评估 Equifax 的安全水平。Spinelli 说，他希望公司得到“世界级安全”标准的评估。“然后我们可以利 用ISO 安全性和法规遵从性的 10 项原则作为目标。”Spinelli 还让公司自己的法规遵从性小组评 估安全性的执行情况。 全球热点 Spinelli 和他的团队利用这些评估制作了一张“热图”来显示公司哪些区域不如其他区域安全， 并根据最大需要安排修补的优先次序。Spinelli 在他被雇用的几周后，拿着这张热图与Equifax 董 事会见面，向他们介绍了评估的结果并提出了一个重组安全性的计划。该计划为期三年，预计投 资1500 万美元。 这张热图给董事们留下了深刻印象，它不仅显示了公司安全性未达到标准的区域，而且还展 示了让安全性变为一种共享服务的优势。 他说：“这是一张管理团队花了很多时间观看的幻灯片。”官员可以根据颜色编码看到哪些单 位或地理位置在安全性方面达标，而且这张图还可利用可供使用的有限的共享服务——如网络监 第1 页 共2 页 测，描绘出一幅显示这些区域的有效性和效率的图。 Spinelli 说，这些部门“花最少的钱获得最大的安全性，因为它们依靠中央控制。这证明，如 果你正确地投资共享服务，就可以避免重复投资。” 董事会批准了 Spinelli 的项目，并且在他受雇105 天后，开始实施他的计划。第一步是解散 原有的安全部门，决定人员的核心技能，稍后重新组合他们。Spinelli 投资 1500 万美元的项目包 括在为期三年的计划期内增加43 个职位。他成为了Equifax 新安全委员会的领导人。这个委员会 的宗旨是，确保IT