青藤云安去表示:对于一些安全运维人员来说,安全和合规之间的界限有时候会比较模糊。因为安全和合规常常被放在一起讨论,就好像它们是一个词汇一样,实际上安全与合规有很大的不同。
那么满足合规要求是否就能保证企业信息安全?合规与安全的差异性体现在哪里?下面我们将详细说明。
安全与合规两者的区别
安全与合规最主要的区别是,安全是使用有效的技术手段来保护资产免遭攻击。它是不断动态变化的,需要进行持续的改进以应对各类安全风险。合规在多数情况下则是为了满足各类监管单位的监管要求,保证业务正常运作。
通过采取一定的技术手段确保信息资产免遭威胁,是网络安全团队的职责。安全人员通过资产清点、风险管理、入侵检测以及其他技术手段来管理文件完整性和安全配置等,所有这些工作都是为了保护企业组织的信息安全和网络资产。但是这些内容可能并非是合规所关注的要点。
合规更加关注的是政策、法规和法律等,合规的作用是确保组织符合不同的监管要求。对于合规团队而言,他们要理解那些需要遵循的法律、规则,并开发对应策略来满足这些规则。安全团队只需要保证,他们的防护和控制措施已经到位,并如预期一样发挥作用即可。而合规建设则需要相应的证据,他们需要证据来证明已满足第三方的要求,比如在等保2.0建设过程中,企业需要权威机构的测评报告来证明自身满足等保合规的要求。
合规不等于安全
在现实中,安全人员通常会为满足合规要求,投入大量时间精力进行合规建设。然而合规只是满足安全建设所需完成的基础事件而已,如果安全建设只关注了这些合规标准,那么将在不知不觉中给攻击者敞开了大门。
实际上,合规和安全是包含关系。满足合规并不等于就安全了。网络安全的监管机构关注合规,但黑客是机会主义者,最小的风险都可能导致重大数据泄露,满足合规仅仅是满足了最低的安全需求。安全是一个系统,只有建立了全方位的保护,才能有效保护企业资产免受网络安全威胁。
虽然合规只是完成了安全最基本的工作,但是它是必不可少的。为满足合规,通过自查、自加固到迎接有关部门的统一抽检,确实可以帮助企业认清自身风险现状和漏洞隐患。例如,遵循行业标准,如CIS、等保2.0等,将有助于企业识别现有信息安全程序中的漏洞。此外,合规还帮助企业拥有标准化的安全程序,而不是由管理员随意选择控件。
安全与合规的统一
笔者认为,安全和合规是相辅相成的。合规建设为企业的安全态势建立了一个全面的基线,安全基线的意义在于为达到最基本的防护要求而制定的一系列基准,在互联网、运营商等行业有非常广泛的应用。此外,做好安全基线工作可以帮助企业实现等保合规的基础目标,从容应对各类安全检查。
合规标准让运维人员有了检查默认风险的标杆,但是面对网络中种类繁杂、数量众多的设备和软件。如果要实现完整合规体系的建设,企业必须在人力、财力、时间上有相当大的投入,急需可以快速检测合规的方法。如何快速、有效地检查设备,又如何集中地收集核查结果,以及制作风险审核报告,最终识别那些与安全规范不符合的项目,以达到整改合规的要求,这些是网络安全运维人员面临的新难题。
青藤合规基线构建了由国内信息安全等级保护要求和CIS(Center for Internet Security)组成的基准要求,涵盖多个版本的主流操作系统、Web应用、数据库等。结合这些基线内容,一方面,用户可快速进行企业内部风险自测,发现问题并及时修复,以满足监管部门要求的安全条件;另一方面,企业可自行定义基线标准,作为企业内部管理的安全基准。
总得来说,青藤基线管理解决方案通过自动化检查,提供API下发基线检查策略,可定时上报检测结果,与传统的手动方式进行安全配置检查的方案相比大大缩短了时间,也避免传统人工检查方式所带来的失误风险。
青藤自动化的基线扫描支持一键检测,服务器合规情况清晰可见。针对每一条不合规的Checklist,提供代码级修复建议,同时支持基线导出和白名单等功能,为基线整改提供更便捷的管理方式。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- GitLab将告别中国区用户:是时候选择新的“极狐”或保护账号了
- 苹果明年推至少22款新品,阿里非洲首站启动,科技新品盛宴拉开帷幕
- SUSE预测:未来私有AI平台崛起,让我们共同见证AI的未来
- AI伴侣“小奇”:奇富科技重塑金融服务体验的探索之作
- 揭秘软银孙正义神秘芯片计划:打造超越NVIDIA的未来科技新星
- 大模型创企星辰资本获数亿融资,腾讯启明等巨头入局,人工智能新篇章开启
- 大模型独角兽阶跃星辰融资新动态:数亿美金B轮,揭秘星辰未来之路
- 哪吒汽车创始人资金遭冻结,1986万元股权风波引关注
- 本田与日产酝酿合并:明年6月敲定协议,新公司社长待本田推荐
- 金融大模型新突破:百川智能Baichuan4-Finance引领行业,准确率领先GPT-4近20%,变革金融业未来
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。