青藤云安全六大建议：助力企业满足监管要求的合规建设

   对于企业而言，合规是安全防护中最重要的基础工作。合规基线是信息系统必须满足的最低安全要求。安全建设往往需要在所付出的成本与所能够承受的风险之间进行平衡, 而合规基线正是这个平衡的分界线。如果满足不了最基本的安全需求, 也就无法承受由此带来的安全风险。如今，合规基线己经成为安全建设的首要步骤, 同时也是进行安全评估、解决安全问题的先决条件。

    那么合规基线工作具体该如何筹备建设呢？又该如何利用好自动化的工具做好基线管理工作呢？笔者有六大建议，能够助力企业满足监管单位合规要求。

    在思想上重视合规基线建设

    合规基线与公认的标准内容是一致的，这意味着满足合规基线就是遵守法律法规。信息系统在现代企业中扮演着至关重要的角色，因此满足合规要求也同样至关重要。信息系统的合规建设是指按照公认的标准实施和管理信息技术，包括技术标准以及如何在业务操作过程中使用该技术标准。

    如果不知道哪些法律法规适用于现在的业务系统，就无法正确按照法律法规进行合规建设。例如，等级保护要求对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

    企业可以从多个来源获得可用的合规标准。例如，CIS公布了三十多个基线标准，各行业监管单位也发布了许多行业合规要求。企业可以根据组织的具体要求定制标准，关键在于现在就要开始。

    全面了解IT环境

    企业的IT环境直接影响合规基线的设计。两种常见的环境类型是:

（1）同构环境， 由标准化的供应商、模型和配置组成，采用互相兼容的各个子系统

（2）异构环境，使用了不同制造商生产的计算机和系统组成的网络环境。

    一般来说，对于同构环境，合规建设的成本要低一些。因为同构环境包含更少的技术类型、更少的技术供应商和更少的技术版本。这意味着合规建设需要更少的策略，每个系统的合规基线和安全成本更低，但是单个供应商对整体IT环境安全的影响也更大。

    此外，企业应该安全地配置整个企业网络各个环节的安全基线，而不是只配置操作系统。应该特别注意面向互联网的服务器，也不要忽视虚拟化、云基础架构、容器、Web服务器和数据库服务器。

    建立安全问责制

    问责制包括对组织角色和责任的定义，其中规定了个人负责保护哪些资产以及谁有权做出决定。问责制需要从高管开始，将IT策略合规建设转换为业务风险而不是技术风险。这有助于让企业高管更加积极参与。监管单位或者企业内部审核员会根据授权的角色和指定的责任，仔细核查合规活动的执行情况。安全及企业负责人主要扮演两个角色：

    （1）数据/系统所有者。所有者是管理团队的一员，负责数据的使用及其最终维护。

    （2）数据/系统保管人。具体的保管角色可能包括系统管理员、安全分析师、内部审计、法律顾问等等。

    安全合规建设应与业务发展保持一致

    当安全和业务流程保持一致时，成本会更低，效果也会更好。当拥有高层的支持时，可以使用自上而下的方法。这种方法的优势在于可以协同有效地利用资源（包括人员），业务流程和安全技术一起工作来共同管理风险和成本。

    相反，如果管理层没有为安全方案指定大的方向，而只是设定了一些诸如数据防泄漏、端点保护、主机入侵检测等安全产品的部署要求，合规建设就仅仅只能满足修复的需求，而无法成为具有长期收益的建设工程。

    用自动化做合规基线

    企业IT资产在不断地发展和增长，对于安全运维人员来说，人工定期检查用户帐户或系统配置是不切实际的，因此自动化合规基线检查是确保定期评估足够数量资产的唯一合理方法。

    自动化使安全人员能够更好地验证合规性，因为它能自动完成对所有步骤和所有控件的测试，而没有人为的主观性、偏见或数据的收集和分析造成的错误。自动化通过在多台机器上应用以前定义的策略和模板来实现这一点。它还减少了投入安全检测的人力、物力资源，并通过实时安全报告加快了发现和纠正问题的速度。自动化合规检测收集的数据还可以帮助组织改进业务流程。使用青藤合规基线管理解决方案，通过灵活可配置的任务式的扫描机制，用户可快捷创建基线扫描任务。根据检测需要，自行选择需要扫描的主机和基线。在完成检测后，检查结果将以“检查项视图”和“主机视图”两种方式可视化呈现，满足企业个性化的检测需求。

一键任务化检测

    定期监控合规策略配置

    即使遵循严格的配置管理并提供安全的“黄金镜像”，企业仍然应该经常审核配置，以修正在手动修改配置时发生的不可避免的配置偏移。定期检查合规策略配置的完整性，可以确保对风险的适当控制。

    写在最后

    青藤云安全合规基线构建了由国内信息安全等级保护要求和CIS（Center for Internet Security）组成的基准要求，涵盖多个版本的主流操作系统、Web应用、数据库等。结合这些基线内容，一方面，用户可快速进行企业内部风险自测，发现问题并及时修复，以满足监管部门要求的安全条件；另一方面，企业可自行定义基线标准，作为企业内部管理的安全基准。