RSA新推enVision 4.0 众多功能提升发力企业内控

文/孙莹

3月13日，RSA, EMC信息安全事业部在中国发布了enVision 4.0新版本。RSA enVision在2007年初进入中国市场，经历3.3、3.5、3.7等版本，此次新发布的是增强版，enVision 4.0版本相对于之前的产品，不是一个大版本，是在一些功能上有所强化，界面上更加改进。4.0版还是分ES和LS两个系列，ES是单机版，LS是分布式的版本，此前的enVision版本可以直接免费升级。

SIEM“3合1”

RSA enVision通过对IT日志数据进行自动化的收集、分析、告警、审计、报告和存储来优化IT和网络的运行，以达到简化合规性，提高安全措施执行和风险减缓的效率和效果。

RSA enVision是用于安全信息事件管理（SIEM）的“3合1”集成日志管理解决方案。何为“3合1”的日志管理平台？RSA,EMC信息安全事业部中国区资深技术顾问华丹介绍，“3合1”就是简化合规、提升安全、优化IT。enVision底下的基础是日志管理，它不是“3”里面的，而是一个基础功能，enVision整个定位是在规性和安全运行的一个平台。

众新功能提升

对于SIEM来说，有一个必要条件是一定要做到的，才能做合规。首先所有数据、时间点、时间段都要保存放好，不能过早地把数据删掉；第二，要保证在安全的空间里不可以被篡改；第三，不可以做任何的过滤、编辑和修改；第四，要保证数据是经过验证和统计的，就是企业或者政府的认可；第五，保证审计路径，数据是从哪儿来的，来了以后有没有被别人改过，整个一条线叫做“回溯”，调查取证，类似于证据链的一个概念。enVision能够帮助企业来满足这五点都需求，并做好合规。

华丹表示，enVision 4.0版本在包括用户体验、合规、IT运行环境等各方面都有许多功能提升，这些提升大部分是在一些细节方面。进一步强化的功能包括事件、资产管理以及自动化实时和定时的事件告警分析。

enVision 4.0包括关联分析、知识库都已经有模板在里面，只要一个初始化的设置，后面一系列问题都能解决。4.0可以更好地帮助用户判断生产状况发生的一些情况，比如怎样定义关键的业务资产及其相对应的一些风险。enVision 4.0新版在功能上主要的突破是事件响应处理流程的集成，可以内部的处理或者外部的工单系统，输出方面4.0也做了一些提升。

IPDB技术支撑

enVision采用了一个比较技术化的概念IPDB，这是enVision一个核心的数据库、核心技术。IPDB特点就是验证、压缩和加密，是不可逆的，也是不可以修改的。华丹指出，enVision是下一代数据库，它是一个并行的结构，一边分析，一边入库保存，不是二维表状的结构，是一个竖直的结构，压缩率是0.29，原始数据保存到这里1G会变成290兆，这样可以有效地节省存储空间。

enVision为什么要采用IPDB？华丹解释道，这个指标包括各方面的功能排第一，enVision用了IPDB数据库，现在能一秒钟收集30万条，而现在国内外一些类似产品只能收几万条，enVision在这方面做得是最优秀的。

总体而言，enVision日志管理平台，首先收集所有的设备，包括应用的日志，比如内部的OA应用、一些网站的应用及一些网络设备、数据库、存储等等安全设备，都可以来做分析。在日志收集的基础上，这些数据库都在IPDB里面，通过IPDB的技术支撑，实现“3合1”的规范，简化合规、提升安全和优化IT。

发力企业内控

合规报表大概分为行业法规，国家法规，萨班斯法案以及ISO一些国际标准等等。华丹强调，新版enVision在合规功能上有了很大的提升，之前的版本包含十大类的法规模板，现在法规模板扩充到1400多张报表，涵盖了方方面面的标准，所有报表都是内置的。目前enVision界面暂时还是英文的，但出报表是全中文的报表，包括字段、表头等全是中文的。

在企业内控方面，萨班斯法案对于国内企业在境外上市可能有用，但是大部分企业可能还是在国内境内上市。今年7月1日，中国自己的合规要求《企业内部控制基本规范》（C-SOX法案）将在国内上市范围内实行，这是国内对于上市企业的一个审计要求，明确了实现企业内控的机制，健全内部审计的一个架构。华丹介绍，目前在国内RSA正在跟一些部门合作，正在做中国的萨班斯法案报表。