域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

青藤云安去表示:對(duì)于一些安全運(yùn)維人員來(lái)說(shuō),安全和合規(guī)之間的界限有時(shí)候會(huì)比較模糊。因?yàn)榘踩秃弦?guī)常常被放在一起討論,就好像它們是一個(gè)詞匯一樣,實(shí)際上安全與合規(guī)有很大的不同。

那么滿足合規(guī)要求是否就能保證企業(yè)信息安全?合規(guī)與安全的差異性體現(xiàn)在哪里?下面我們將詳細(xì)說(shuō)明。

安全與合規(guī)兩者的區(qū)別

安全與合規(guī)最主要的區(qū)別是,安全是使用有效的技術(shù)手段來(lái)保護(hù)資產(chǎn)免遭攻擊。它是不斷動(dòng)態(tài)變化的,需要進(jìn)行持續(xù)的改進(jìn)以應(yīng)對(duì)各類安全風(fēng)險(xiǎn)。合規(guī)在多數(shù)情況下則是為了滿足各類監(jiān)管單位的監(jiān)管要求,保證業(yè)務(wù)正常運(yùn)作。

通過(guò)采取一定的技術(shù)手段確保信息資產(chǎn)免遭威脅,是網(wǎng)絡(luò)安全團(tuán)隊(duì)的職責(zé)。安全人員通過(guò)資產(chǎn)清點(diǎn)、風(fēng)險(xiǎn)管理、入侵檢測(cè)以及其他技術(shù)手段來(lái)管理文件完整性和安全配置等,所有這些工作都是為了保護(hù)企業(yè)組織的信息安全和網(wǎng)絡(luò)資產(chǎn)。但是這些內(nèi)容可能并非是合規(guī)所關(guān)注的要點(diǎn)。

合規(guī)更加關(guān)注的是政策、法規(guī)和法律等,合規(guī)的作用是確保組織符合不同的監(jiān)管要求。對(duì)于合規(guī)團(tuán)隊(duì)而言,他們要理解那些需要遵循的法律、規(guī)則,并開(kāi)發(fā)對(duì)應(yīng)策略來(lái)滿足這些規(guī)則。安全團(tuán)隊(duì)只需要保證,他們的防護(hù)和控制措施已經(jīng)到位,并如預(yù)期一樣發(fā)揮作用即可。而合規(guī)建設(shè)則需要相應(yīng)的證據(jù),他們需要證據(jù)來(lái)證明已滿足第三方的要求,比如在等保2.0建設(shè)過(guò)程中,企業(yè)需要權(quán)威機(jī)構(gòu)的測(cè)評(píng)報(bào)告來(lái)證明自身滿足等保合規(guī)的要求。

合規(guī)不等于安全

在現(xiàn)實(shí)中,安全人員通常會(huì)為滿足合規(guī)要求,投入大量時(shí)間精力進(jìn)行合規(guī)建設(shè)。然而合規(guī)只是滿足安全建設(shè)所需完成的基礎(chǔ)事件而已,如果安全建設(shè)只關(guān)注了這些合規(guī)標(biāo)準(zhǔn),那么將在不知不覺(jué)中給攻擊者敞開(kāi)了大門(mén)。

實(shí)際上,合規(guī)和安全是包含關(guān)系。滿足合規(guī)并不等于就安全了。網(wǎng)絡(luò)安全的監(jiān)管機(jī)構(gòu)關(guān)注合規(guī),但黑客是機(jī)會(huì)主義者,最小的風(fēng)險(xiǎn)都可能導(dǎo)致重大數(shù)據(jù)泄露,滿足合規(guī)僅僅是滿足了最低的安全需求。安全是一個(gè)系統(tǒng),只有建立了全方位的保護(hù),才能有效保護(hù)企業(yè)資產(chǎn)免受網(wǎng)絡(luò)安全威脅。

雖然合規(guī)只是完成了安全最基本的工作,但是它是必不可少的。為滿足合規(guī),通過(guò)自查、自加固到迎接有關(guān)部門(mén)的統(tǒng)一抽檢,確實(shí)可以幫助企業(yè)認(rèn)清自身風(fēng)險(xiǎn)現(xiàn)狀和漏洞隱患。例如,遵循行業(yè)標(biāo)準(zhǔn),如CIS、等保2.0等,將有助于企業(yè)識(shí)別現(xiàn)有信息安全程序中的漏洞。此外,合規(guī)還幫助企業(yè)擁有標(biāo)準(zhǔn)化的安全程序,而不是由管理員隨意選擇控件。

安全與合規(guī)的統(tǒng)一

筆者認(rèn)為,安全和合規(guī)是相輔相成的。合規(guī)建設(shè)為企業(yè)的安全態(tài)勢(shì)建立了一個(gè)全面的基線,安全基線的意義在于為達(dá)到最基本的防護(hù)要求而制定的一系列基準(zhǔn),在互聯(lián)網(wǎng)、運(yùn)營(yíng)商等行業(yè)有非常廣泛的應(yīng)用。此外,做好安全基線工作可以幫助企業(yè)實(shí)現(xiàn)等保合規(guī)的基礎(chǔ)目標(biāo),從容應(yīng)對(duì)各類安全檢查。

合規(guī)標(biāo)準(zhǔn)讓運(yùn)維人員有了檢查默認(rèn)風(fēng)險(xiǎn)的標(biāo)桿,但是面對(duì)網(wǎng)絡(luò)中種類繁雜、數(shù)量眾多的設(shè)備和軟件。如果要實(shí)現(xiàn)完整合規(guī)體系的建設(shè),企業(yè)必須在人力、財(cái)力、時(shí)間上有相當(dāng)大的投入,急需可以快速檢測(cè)合規(guī)的方法。如何快速、有效地檢查設(shè)備,又如何集中地收集核查結(jié)果,以及制作風(fēng)險(xiǎn)審核報(bào)告,最終識(shí)別那些與安全規(guī)范不符合的項(xiàng)目,以達(dá)到整改合規(guī)的要求,這些是網(wǎng)絡(luò)安全運(yùn)維人員面臨的新難題。

青藤合規(guī)基線構(gòu)建了由國(guó)內(nèi)信息安全等級(jí)保護(hù)要求和CIS(Center for Internet Security)組成的基準(zhǔn)要求,涵蓋多個(gè)版本的主流操作系統(tǒng)、Web應(yīng)用、數(shù)據(jù)庫(kù)等。結(jié)合這些基線內(nèi)容,一方面,用戶可快速進(jìn)行企業(yè)內(nèi)部風(fēng)險(xiǎn)自測(cè),發(fā)現(xiàn)問(wèn)題并及時(shí)修復(fù),以滿足監(jiān)管部門(mén)要求的安全條件;另一方面,企業(yè)可自行定義基線標(biāo)準(zhǔn),作為企業(yè)內(nèi)部管理的安全基準(zhǔn)。

總得來(lái)說(shuō),青藤基線管理解決方案通過(guò)自動(dòng)化檢查,提供API下發(fā)基線檢查策略,可定時(shí)上報(bào)檢測(cè)結(jié)果,與傳統(tǒng)的手動(dòng)方式進(jìn)行安全配置檢查的方案相比大大縮短了時(shí)間,也避免傳統(tǒng)人工檢查方式所帶來(lái)的失誤風(fēng)險(xiǎn)。

青藤自動(dòng)化的基線掃描支持一鍵檢測(cè),服務(wù)器合規(guī)情況清晰可見(jiàn)。針對(duì)每一條不合規(guī)的Checklist,提供代碼級(jí)修復(fù)建議,同時(shí)支持基線導(dǎo)出和白名單等功能,為基線整改提供更便捷的管理方式。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！