青藤云安全:滿足合規(guī),就一定安全嗎?

青藤云安去表示：對于一些安全運維人員來說，安全和合規(guī)之間的界限有時候會比較模糊。因為安全和合規(guī)常常被放在一起討論，就好像它們是一個詞匯一樣，實際上安全與合規(guī)有很大的不同。

那么滿足合規(guī)要求是否就能保證企業(yè)信息安全?合規(guī)與安全的差異性體現在哪里?下面我們將詳細說明。

安全與合規(guī)兩者的區(qū)別

安全與合規(guī)最主要的區(qū)別是，安全是使用有效的技術手段來保護資產免遭攻擊。它是不斷動態(tài)變化的，需要進行持續(xù)的改進以應對各類安全風險。合規(guī)在多數情況下則是為了滿足各類監(jiān)管單位的監(jiān)管要求，保證業(yè)務正常運作。

通過采取一定的技術手段確保信息資產免遭威脅，是網絡安全團隊的職責。安全人員通過資產清點、風險管理、入侵檢測以及其他技術手段來管理文件完整性和安全配置等，所有這些工作都是為了保護企業(yè)組織的信息安全和網絡資產。但是這些內容可能并非是合規(guī)所關注的要點。

合規(guī)更加關注的是政策、法規(guī)和法律等，合規(guī)的作用是確保組織符合不同的監(jiān)管要求。對于合規(guī)團隊而言，他們要理解那些需要遵循的法律、規(guī)則，并開發(fā)對應策略來滿足這些規(guī)則。安全團隊只需要保證，他們的防護和控制措施已經到位，并如預期一樣發(fā)揮作用即可。而合規(guī)建設則需要相應的證據，他們需要證據來證明已滿足第三方的要求，比如在等保2.0建設過程中，企業(yè)需要權威機構的測評報告來證明自身滿足等保合規(guī)的要求。

合規(guī)不等于安全

在現實中，安全人員通常會為滿足合規(guī)要求，投入大量時間精力進行合規(guī)建設。然而合規(guī)只是滿足安全建設所需完成的基礎事件而已，如果安全建設只關注了這些合規(guī)標準，那么將在不知不覺中給攻擊者敞開了大門。

實際上，合規(guī)和安全是包含關系。滿足合規(guī)并不等于就安全了。網絡安全的監(jiān)管機構關注合規(guī)，但黑客是機會主義者，最小的風險都可能導致重大數據泄露，滿足合規(guī)僅僅是滿足了最低的安全需求。安全是一個系統(tǒng)，只有建立了全方位的保護，才能有效保護企業(yè)資產免受網絡安全威脅。

雖然合規(guī)只是完成了安全最基本的工作，但是它是必不可少的。為滿足合規(guī)，通過自查、自加固到迎接有關部門的統(tǒng)一抽檢，確實可以幫助企業(yè)認清自身風險現狀和漏洞隱患。例如，遵循行業(yè)標準，如CIS、等保2.0等，將有助于企業(yè)識別現有信息安全程序中的漏洞。此外，合規(guī)還幫助企業(yè)擁有標準化的安全程序，而不是由管理員隨意選擇控件。

安全與合規(guī)的統(tǒng)一

筆者認為，安全和合規(guī)是相輔相成的。合規(guī)建設為企業(yè)的安全態(tài)勢建立了一個全面的基線，安全基線的意義在于為達到最基本的防護要求而制定的一系列基準，在互聯網、運營商等行業(yè)有非常廣泛的應用。此外，做好安全基線工作可以幫助企業(yè)實現等保合規(guī)的基礎目標，從容應對各類安全檢查。

合規(guī)標準讓運維人員有了檢查默認風險的標桿，但是面對網絡中種類繁雜、數量眾多的設備和軟件。如果要實現完整合規(guī)體系的建設，企業(yè)必須在人力、財力、時間上有相當大的投入，急需可以快速檢測合規(guī)的方法。如何快速、有效地檢查設備，又如何集中地收集核查結果，以及制作風險審核報告，最終識別那些與安全規(guī)范不符合的項目，以達到整改合規(guī)的要求，這些是網絡安全運維人員面臨的新難題。

青藤合規(guī)基線構建了由國內信息安全等級保護要求和CIS(Center for Internet Security)組成的基準要求，涵蓋多個版本的主流操作系統(tǒng)、Web應用、數據庫等。結合這些基線內容，一方面，用戶可快速進行企業(yè)內部風險自測，發(fā)現問題并及時修復，以滿足監(jiān)管部門要求的安全條件;另一方面，企業(yè)可自行定義基線標準，作為企業(yè)內部管理的安全基準。

總得來說，青藤基線管理解決方案通過自動化檢查，提供API下發(fā)基線檢查策略，可定時上報檢測結果，與傳統(tǒng)的手動方式進行安全配置檢查的方案相比大大縮短了時間，也避免傳統(tǒng)人工檢查方式所帶來的失誤風險。

青藤自動化的基線掃描支持一鍵檢測，服務器合規(guī)情況清晰可見。針對每一條不合規(guī)的Checklist，提供代碼級修復建議，同時支持基線導出和白名單等功能，為基線整改提供更便捷的管理方式。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。