青藤云安全:滿足合規(guī),就一定安全嗎?

青藤云安去表示：對于一些安全運(yùn)維人員來說，安全和合規(guī)之間的界限有時候會比較模糊。因?yàn)榘踩秃弦?guī)常常被放在一起討論，就好像它們是一個詞匯一樣，實(shí)際上安全與合規(guī)有很大的不同。

那么滿足合規(guī)要求是否就能保證企業(yè)信息安全?合規(guī)與安全的差異性體現(xiàn)在哪里?下面我們將詳細(xì)說明。

安全與合規(guī)兩者的區(qū)別

安全與合規(guī)最主要的區(qū)別是，安全是使用有效的技術(shù)手段來保護(hù)資產(chǎn)免遭攻擊。它是不斷動態(tài)變化的，需要進(jìn)行持續(xù)的改進(jìn)以應(yīng)對各類安全風(fēng)險。合規(guī)在多數(shù)情況下則是為了滿足各類監(jiān)管單位的監(jiān)管要求，保證業(yè)務(wù)正常運(yùn)作。

通過采取一定的技術(shù)手段確保信息資產(chǎn)免遭威脅，是網(wǎng)絡(luò)安全團(tuán)隊(duì)的職責(zé)。安全人員通過資產(chǎn)清點(diǎn)、風(fēng)險管理、入侵檢測以及其他技術(shù)手段來管理文件完整性和安全配置等，所有這些工作都是為了保護(hù)企業(yè)組織的信息安全和網(wǎng)絡(luò)資產(chǎn)。但是這些內(nèi)容可能并非是合規(guī)所關(guān)注的要點(diǎn)。

合規(guī)更加關(guān)注的是政策、法規(guī)和法律等，合規(guī)的作用是確保組織符合不同的監(jiān)管要求。對于合規(guī)團(tuán)隊(duì)而言，他們要理解那些需要遵循的法律、規(guī)則，并開發(fā)對應(yīng)策略來滿足這些規(guī)則。安全團(tuán)隊(duì)只需要保證，他們的防護(hù)和控制措施已經(jīng)到位，并如預(yù)期一樣發(fā)揮作用即可。而合規(guī)建設(shè)則需要相應(yīng)的證據(jù)，他們需要證據(jù)來證明已滿足第三方的要求，比如在等保2.0建設(shè)過程中，企業(yè)需要權(quán)威機(jī)構(gòu)的測評報(bào)告來證明自身滿足等保合規(guī)的要求。

合規(guī)不等于安全

在現(xiàn)實(shí)中，安全人員通常會為滿足合規(guī)要求，投入大量時間精力進(jìn)行合規(guī)建設(shè)。然而合規(guī)只是滿足安全建設(shè)所需完成的基礎(chǔ)事件而已，如果安全建設(shè)只關(guān)注了這些合規(guī)標(biāo)準(zhǔn)，那么將在不知不覺中給攻擊者敞開了大門。

實(shí)際上，合規(guī)和安全是包含關(guān)系。滿足合規(guī)并不等于就安全了。網(wǎng)絡(luò)安全的監(jiān)管機(jī)構(gòu)關(guān)注合規(guī)，但黑客是機(jī)會主義者，最小的風(fēng)險都可能導(dǎo)致重大數(shù)據(jù)泄露，滿足合規(guī)僅僅是滿足了最低的安全需求。安全是一個系統(tǒng)，只有建立了全方位的保護(hù)，才能有效保護(hù)企業(yè)資產(chǎn)免受網(wǎng)絡(luò)安全威脅。

雖然合規(guī)只是完成了安全最基本的工作，但是它是必不可少的。為滿足合規(guī)，通過自查、自加固到迎接有關(guān)部門的統(tǒng)一抽檢，確實(shí)可以幫助企業(yè)認(rèn)清自身風(fēng)險現(xiàn)狀和漏洞隱患。例如，遵循行業(yè)標(biāo)準(zhǔn)，如CIS、等保2.0等，將有助于企業(yè)識別現(xiàn)有信息安全程序中的漏洞。此外，合規(guī)還幫助企業(yè)擁有標(biāo)準(zhǔn)化的安全程序，而不是由管理員隨意選擇控件。

安全與合規(guī)的統(tǒng)一

筆者認(rèn)為，安全和合規(guī)是相輔相成的。合規(guī)建設(shè)為企業(yè)的安全態(tài)勢建立了一個全面的基線，安全基線的意義在于為達(dá)到最基本的防護(hù)要求而制定的一系列基準(zhǔn)，在互聯(lián)網(wǎng)、運(yùn)營商等行業(yè)有非常廣泛的應(yīng)用。此外，做好安全基線工作可以幫助企業(yè)實(shí)現(xiàn)等保合規(guī)的基礎(chǔ)目標(biāo)，從容應(yīng)對各類安全檢查。

合規(guī)標(biāo)準(zhǔn)讓運(yùn)維人員有了檢查默認(rèn)風(fēng)險的標(biāo)桿，但是面對網(wǎng)絡(luò)中種類繁雜、數(shù)量眾多的設(shè)備和軟件。如果要實(shí)現(xiàn)完整合規(guī)體系的建設(shè)，企業(yè)必須在人力、財(cái)力、時間上有相當(dāng)大的投入，急需可以快速檢測合規(guī)的方法。如何快速、有效地檢查設(shè)備，又如何集中地收集核查結(jié)果，以及制作風(fēng)險審核報(bào)告，最終識別那些與安全規(guī)范不符合的項(xiàng)目，以達(dá)到整改合規(guī)的要求，這些是網(wǎng)絡(luò)安全運(yùn)維人員面臨的新難題。

青藤合規(guī)基線構(gòu)建了由國內(nèi)信息安全等級保護(hù)要求和CIS(Center for Internet Security)組成的基準(zhǔn)要求，涵蓋多個版本的主流操作系統(tǒng)、Web應(yīng)用、數(shù)據(jù)庫等。結(jié)合這些基線內(nèi)容，一方面，用戶可快速進(jìn)行企業(yè)內(nèi)部風(fēng)險自測，發(fā)現(xiàn)問題并及時修復(fù)，以滿足監(jiān)管部門要求的安全條件;另一方面，企業(yè)可自行定義基線標(biāo)準(zhǔn)，作為企業(yè)內(nèi)部管理的安全基準(zhǔn)。

總得來說，青藤基線管理解決方案通過自動化檢查，提供API下發(fā)基線檢查策略，可定時上報(bào)檢測結(jié)果，與傳統(tǒng)的手動方式進(jìn)行安全配置檢查的方案相比大大縮短了時間，也避免傳統(tǒng)人工檢查方式所帶來的失誤風(fēng)險。

青藤自動化的基線掃描支持一鍵檢測，服務(wù)器合規(guī)情況清晰可見。針對每一條不合規(guī)的Checklist，提供代碼級修復(fù)建議，同時支持基線導(dǎo)出和白名單等功能，為基線整改提供更便捷的管理方式。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。