我有一位客户,SOX审核员对我们的ASP.NET应用程序的部署实践非常努力。注意确保使用适当的文件和文件夹级安全性和授权。只有具有部署权限的少数人才能将产品服务器复制到产品服务器(通常使用安全FTP完成)。
但是,文件/文件夹级安全性和安全FTP的要求对于bean计数器来说还不够。他们想要系统日志的部署什么时候,什么版本取代了什么版本(以及为什么),以及通常许多其他细节设计,以保持业务不被Office Spaced(豆计数器显然希望所有自己的圆形美分)。
您有什么建议让审核员满意?我们不介意投入一些钱(事实上,我认为我们可能会在一个足够好的解决方案上投入大笔资金)。
答案 0 :(得分:4)
您可能希望查看自动部署解决方案,并且需要正式的更改控制流程。我们使用anthill pro。它可以跟踪版本和部署时间。
为了满足sox的需要,我们每周都会召开一次会议。它必须得到合规经理的批准,每个部署都需要填写一份表格,说明改变的内容,原因和方式。一旦表格填写完毕,第三人必须参与(不是请求或批准的人,他们都不能访问生产环境,因为你必须遵守职责分离规则)以进行更改和变更是基于“变更文件”中的内容,而不是来自提出请求的人的外部沟通。一旦部署,所有人都必须签署它已完成和何时完成。
答案 1 :(得分:4)
满足要求应该不会太难,可能需要对您的开发过程进行一些更改,但这肯定是可能的。
您需要的是:
同时启用审核,运行常规安全测试,并记录几乎所有内容。
所有这些都可以通过多种系统实现,最大的变化是内部流程的变化。
答案 2 :(得分:1)
您可能需要查看NTFS提供的审核功能。