青藤云安去表示:对于一些安全运维人员来说,安全和合规之间的界限有时候会比较模糊。因为安全和合规常常被放在一起讨论,就好像它们是一个词汇一样,实际上安全与合规有很大的不同。
那么满足合规要求是否就能保证企业信息安全?合规与安全的差异性体现在哪里?下面我们将详细说明。
安全与合规两者的区别
安全与合规最主要的区别是,安全是使用有效的技术手段来保护资产免遭攻击。它是不断动态变化的,需要进行持续的改进以应对各类安全风险。合规在多数情况下则是为了满足各类监管单位的监管要求,保证业务正常运作。
通过采取一定的技术手段确保信息资产免遭威胁,是网络安全团队的职责。安全人员通过资产清点、风险管理、入侵检测以及其他技术手段来管理文件完整性和安全配置等,所有这些工作都是为了保护企业组织的信息安全和网络资产。但是这些内容可能并非是合规所关注的要点。
合规更加关注的是政策、法规和法律等,合规的作用是确保组织符合不同的监管要求。对于合规团队而言,他们要理解那些需要遵循的法律、规则,并开发对应策略来满足这些规则。安全团队只需要保证,他们的防护和控制措施已经到位,并如预期一样发挥作用即可。而合规建设则需要相应的证据,他们需要证据来证明已满足第三方的要求,比如在等保2.0建设过程中,企业需要权威机构的测评报告来证明自身满足等保合规的要求。
合规不等于安全
在现实中,安全人员通常会为满足合规要求,投入大量时间精力进行合规建设。然而合规只是满足安全建设所需完成的基础事件而已,如果安全建设只关注了这些合规标准,那么将在不知不觉中给攻击者敞开了大门。
实际上,合规和安全是包含关系。满足合规并不等于就安全了。网络安全的监管机构关注合规,但黑客是机会主义者,最小的风险都可能导致重大数据泄露,满足合规仅仅是满足了最低的安全需求。安全是一个系统,只有建立了全方位的保护,才能有效保护企业资产免受网络安全威胁。
虽然合规只是完成了安全最基本的工作,但是它是必不可少的。为满足合规,通过自查、自加固到迎接有关部门的统一抽检,确实可以帮助企业认清自身风险现状和漏洞隐患。例如,遵循行业标准,如CIS、等保2.0等,将有助于企业识别现有信息安全程序中的漏洞。此外,合规还帮助企业拥有标准化的安全程序,而不是由管理员随意选择控件。
安全与合规的统一
笔者认为,安全和合规是相辅相成的。合规建设为企业的安全态势建立了一个全面的基线,安全基线的意义在于为达到最基本的防护要求而制定的一系列基准,在互联网、运营商等行业有非常广泛的应用。此外,做好安全基线工作可以帮助企业实现等保合规的基础目标,从容应对各类安全检查。
合规标准让运维人员有了检查默认风险的标杆,但是面对网络中种类繁杂、数量众多的设备和软件。如果要实现完整合规体系的建设,企业必须在人力、财力、时间上有相当大的投入,急需可以快速检测合规的方法。如何快速、有效地检查设备,又如何集中地收集核查结果,以及制作风险审核报告,最终识别那些与安全规范不符合的项目,以达到整改合规的要求,这些是网络安全运维人员面临的新难题。
青藤合规基线构建了由国内信息安全等级保护要求和CIS(Center for Internet Security)组成的基准要求,涵盖多个版本的主流操作系统、Web应用、数据库等。结合这些基线内容,一方面,用户可快速进行企业内部风险自测,发现问题并及时修复,以满足监管部门要求的安全条件;另一方面,企业可自行定义基线标准,作为企业内部管理的安全基准。
总得来说,青藤基线管理解决方案通过自动化检查,提供API下发基线检查策略,可定时上报检测结果,与传统的手动方式进行安全配置检查的方案相比大大缩短了时间,也避免传统人工检查方式所带来的失误风险。
青藤自动化的基线扫描支持一键检测,服务器合规情况清晰可见。针对每一条不合规的Checklist,提供代码级修复建议,同时支持基线导出和白名单等功能,为基线整改提供更便捷的管理方式。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
