另一个架构方面的考虑因素就是解决方案供应商的商业模式,如果你使用应用服务供应商(ASP)提供的应用服务,你的数据和客户数据就不可避免要经过第三方,这样做就扩大了合规责任的范围。确保ASP使用的安全性将涉及严格的服务水平协议(SLA)以及第三方涉及机构定期严格的服务供应商审计。在计算解决方案的隐形成本时也要考虑这些审计问题。
第三要素:审核第三方验证
在调查远程支持解决方案的安全性时,你也需要权衡第三方验证问题。有些供应商已经将其软件提交给了安全审计机构,这些软件的审计评估结果通常能够在供应商的网站找到,如果你不能找到解决方案的安全审计数据,可以要求供应商提供给你。对解决方案安全问题的调查绝对不能掉以轻心。
第四要素:确保审计能力
要确保每个远程支持会话的详细信息都自动记录和保存,以符合合规审计要求。持有聊天记录和文件传输记录能够极大地简化审计的流程。
此外,对所有系统和IP信息也应该保存,因为这些数据能够说明哪些设备何时被访问过。理性情况下,远程控制解决方案还可以记录每次会话活动的视频以提供每次通信的画面信息。
这种能见度以及所有会话详情的记录将为审计提供强有力的证据。
第五要素:设置访问权限等级
当技术人员的规模扩大到几百人时,要对拥有远程控制权限的人进行追踪。另外,支持技术人员相对较高的周转率,特定客户的安全需求以及不断增多的围绕重要数据的合规要求都给保护远程支持安全性带来挑战。
给与支持技术人员相同的登录信息和权限显然是不合理的,应该对访问权限进行设置,以确保最有资格和最值得信赖的技术人员才可以访问最机密的信息,同时降低数据泄漏的风险,使安全得到控制。