ECS: Zgodność z CAS
Summary: W tym artykule opisano zgodność ECS dla CAS.
Instructions
Zgodność
Zawiera opis funkcji ECS, które obsługują rządowe i branżowe standardy przechowywania dokumentacji elektronicznej.
ECS spełnia wymagania dotyczące pamięci masowej zgodnie z następującymi normami, co zostało potwierdzone certyfikatem Cohasset Associates Inc.:
- Komisja Papierów Wartościowych i Giełd (SEC) w regule 17 C.F.R. 240.17a-4(f)
- Commodity Futures Trading Commission (CFTC) w regule 17 C.F.R. 1.31(b)-(c)
Zgodność z przepisami składa się z trzech elementów:
- Hartowanie platformy: Usuwanie typowych luk w zabezpieczeniach.
- Przechowywanie danych na podstawie zasad: Ograniczenie możliwości zmiany zasad przechowywania rekordów objętych przechowywaniem.
- Raportowanie zgodności: Okresowe raporty agenta systemowego rejestrują stan zgodności systemu.
Hardening platformy i zgodność z przepisami
Poniższe funkcje zabezpieczeń ECS obsługują standardy zgodności.
Funkcje zabezpieczeń platformy ECS:
- Wyłączono dostęp użytkownika root do węzłów (logowanie z uprawnieniami użytkownika root jest niedozwolone).
- Klienci korzystający z rozwiązania ECS mogą uzyskać dostęp do węzłów za pośrednictwem administratora skonfigurowanego podczas pierwszej instalacji.
- Administrator uruchamia polecenia w węzłach przy użyciu polecenia sudo.
- Istnieje pełne rejestrowanie inspekcji dla poleceń sudo.
- ESRS może zamknąć cały zdalny dostęp do węzłów. W Menedżerze zasad ESRS ustaw akcję Uruchom terminal zdalny na Nigdy nie zezwalaj.
- Wszystkie niepotrzebne porty (ftpd, sshd) są zamknięte.
- Użytkownik emcsecurity z rolą administratora blokady może blokować węzły w klastrze. Oznacza to, że zdalny dostęp przez sieć przez SSH jest wyłączony. Administrator blokady może następnie odblokować węzeł, aby umożliwić zdalne czynności konserwacyjne lub inny autoryzowany dostęp.
Zasady zgodności z przepisami i przechowywania
Zawiera udoskonalone reguły przechowywania rekordów w systemie ECS z obsługą zgodności. ECS ustawia funkcje przechowywania obiektów na Włączone na poziomach obiektu, zasobnika i przestrzeni nazw. Zgodność wzmacnia te funkcje, ograniczając zmiany, które można wprowadzić w ustawieniach przechowywania obiektów. Reguły obejmują:
- Zgodność jest ustawiana na poziomie przestrzeni nazw. Oznacza to, że wszystkie zasobniki w przestrzeni nazw muszą mieć okres przechowywania większy od zera. W przypadku urzędów certyfikacji można tworzyć zasobniki z zerowym przechowywaniem, o ile ustawienie Wymuś informacje o przechowywaniu w obiekcie jest włączone.
- Zgodność można włączyć tylko podczas tworzenia przestrzeni nazw. (Nie można dodać zgodności do istniejącej przestrzeni nazw).
- Zgodności nie można wyłączyć, gdy jest już włączona.
- Wszystkie zasobniki w przestrzeni nazw muszą mieć okres przechowywania większy od zera.
UWAGA: Jeśli masz aplikację, która przypisuje okresy przechowywania na poziomie obiektu, nie używaj ECS do przypisywania okresu przechowywania dłuższego niż okres przechowywania aplikacji. Ta czynność powoduje błędy aplikacji.
- Zasobnika zawierającego dane nie można usunąć niezależnie od jego wartości retencji.
- Zastosowanie opcji Nieskończone do zasobnika oznacza, że obiekty w zasobniku w przestrzeni nazw Complianceenabled nie mogą zostać trwale usunięte.
- Okresu przechowywania obiektu nie można usunąć ani skrócić. W związku z tym nie można usunąć ani skrócić okresu retencji zasobnika.
- Można wydłużyć okresy przechowywania obiektów i zasobnika.
- Użytkownik nie może usunąć przechowywanego obiektu. Obejmuje to użytkowników z uprawnieniami CAS privilegeddelete.
Agent zgodności
Opisuje działanie agenta zgodności.
Funkcje zgodności są domyślnie włączone, z wyjątkiem monitorowania zgodności. Jeśli monitorowanie jest włączone, agent okresowo rejestruje komunikat.