域名預訂/競價，好“米”不錯過

青藤云安去表示:對于一些安全運維人員來說,安全和合規(guī)之間的界限有時候會比較模糊。因為安全和合規(guī)常常被放在一起討論,就好像它們是一個詞匯一樣,實際上安全與合規(guī)有很大的不同。

那么滿足合規(guī)要求是否就能保證企業(yè)信息安全?合規(guī)與安全的差異性體現(xiàn)在哪里?下面我們將詳細說明。

安全與合規(guī)兩者的區(qū)別

安全與合規(guī)最主要的區(qū)別是,安全是使用有效的技術(shù)手段來保護資產(chǎn)免遭攻擊。它是不斷動態(tài)變化的,需要進行持續(xù)的改進以應對各類安全風險。合規(guī)在多數(shù)情況下則是為了滿足各類監(jiān)管單位的監(jiān)管要求,保證業(yè)務正常運作。

通過采取一定的技術(shù)手段確保信息資產(chǎn)免遭威脅,是網(wǎng)絡安全團隊的職責。安全人員通過資產(chǎn)清點、風險管理、入侵檢測以及其他技術(shù)手段來管理文件完整性和安全配置等,所有這些工作都是為了保護企業(yè)組織的信息安全和網(wǎng)絡資產(chǎn)。但是這些內(nèi)容可能并非是合規(guī)所關(guān)注的要點。

合規(guī)更加關(guān)注的是政策、法規(guī)和法律等,合規(guī)的作用是確保組織符合不同的監(jiān)管要求。對于合規(guī)團隊而言,他們要理解那些需要遵循的法律、規(guī)則,并開發(fā)對應策略來滿足這些規(guī)則。安全團隊只需要保證,他們的防護和控制措施已經(jīng)到位,并如預期一樣發(fā)揮作用即可。而合規(guī)建設(shè)則需要相應的證據(jù),他們需要證據(jù)來證明已滿足第三方的要求,比如在等保2.0建設(shè)過程中,企業(yè)需要權(quán)威機構(gòu)的測評報告來證明自身滿足等保合規(guī)的要求。

合規(guī)不等于安全

在現(xiàn)實中,安全人員通常會為滿足合規(guī)要求,投入大量時間精力進行合規(guī)建設(shè)。然而合規(guī)只是滿足安全建設(shè)所需完成的基礎(chǔ)事件而已,如果安全建設(shè)只關(guān)注了這些合規(guī)標準,那么將在不知不覺中給攻擊者敞開了大門。

實際上,合規(guī)和安全是包含關(guān)系。滿足合規(guī)并不等于就安全了。網(wǎng)絡安全的監(jiān)管機構(gòu)關(guān)注合規(guī),但黑客是機會主義者,最小的風險都可能導致重大數(shù)據(jù)泄露,滿足合規(guī)僅僅是滿足了最低的安全需求。安全是一個系統(tǒng),只有建立了全方位的保護,才能有效保護企業(yè)資產(chǎn)免受網(wǎng)絡安全威脅。

雖然合規(guī)只是完成了安全最基本的工作,但是它是必不可少的。為滿足合規(guī),通過自查、自加固到迎接有關(guān)部門的統(tǒng)一抽檢,確實可以幫助企業(yè)認清自身風險現(xiàn)狀和漏洞隱患。例如,遵循行業(yè)標準,如CIS、等保2.0等,將有助于企業(yè)識別現(xiàn)有信息安全程序中的漏洞。此外,合規(guī)還幫助企業(yè)擁有標準化的安全程序,而不是由管理員隨意選擇控件。

安全與合規(guī)的統(tǒng)一

筆者認為,安全和合規(guī)是相輔相成的。合規(guī)建設(shè)為企業(yè)的安全態(tài)勢建立了一個全面的基線,安全基線的意義在于為達到最基本的防護要求而制定的一系列基準,在互聯(lián)網(wǎng)、運營商等行業(yè)有非常廣泛的應用。此外,做好安全基線工作可以幫助企業(yè)實現(xiàn)等保合規(guī)的基礎(chǔ)目標,從容應對各類安全檢查。

合規(guī)標準讓運維人員有了檢查默認風險的標桿,但是面對網(wǎng)絡中種類繁雜、數(shù)量眾多的設(shè)備和軟件。如果要實現(xiàn)完整合規(guī)體系的建設(shè),企業(yè)必須在人力、財力、時間上有相當大的投入,急需可以快速檢測合規(guī)的方法。如何快速、有效地檢查設(shè)備,又如何集中地收集核查結(jié)果,以及制作風險審核報告,最終識別那些與安全規(guī)范不符合的項目,以達到整改合規(guī)的要求,這些是網(wǎng)絡安全運維人員面臨的新難題。

青藤合規(guī)基線構(gòu)建了由國內(nèi)信息安全等級保護要求和CIS(Center for Internet Security)組成的基準要求,涵蓋多個版本的主流操作系統(tǒng)、Web應用、數(shù)據(jù)庫等。結(jié)合這些基線內(nèi)容,一方面,用戶可快速進行企業(yè)內(nèi)部風險自測,發(fā)現(xiàn)問題并及時修復,以滿足監(jiān)管部門要求的安全條件;另一方面,企業(yè)可自行定義基線標準,作為企業(yè)內(nèi)部管理的安全基準。

總得來說,青藤基線管理解決方案通過自動化檢查,提供API下發(fā)基線檢查策略,可定時上報檢測結(jié)果,與傳統(tǒng)的手動方式進行安全配置檢查的方案相比大大縮短了時間,也避免傳統(tǒng)人工檢查方式所帶來的失誤風險。

青藤自動化的基線掃描支持一鍵檢測,服務器合規(guī)情況清晰可見。針對每一條不合規(guī)的Checklist,提供代碼級修復建議,同時支持基線導出和白名單等功能,為基線整改提供更便捷的管理方式。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！