51CTO首屆中國APP創(chuàng)新評選大賽正在招募>>

一直以來，許多企業(yè)和安全顧問比較認可的一個安全解決方案就是合規(guī)，符合標準規(guī)定至少在某種程度上就意味著安全。

但有人認為，應該把兩者看做并列關系，而不是因果關系。或說兩者是互相影響的關系，安全可以有助于合規(guī)，合規(guī)可以是安全的副產(chǎn)品，但安全并不能自動成為合規(guī)的副產(chǎn)品。因為有時完全在合規(guī)的情況下，也可以是不安全的。

合規(guī)是為了讓企業(yè)達到一個既定的標準，表面上給了客戶或股東一個滿足整套安全標準的樣子，其實是把每個人都拖到了一個最小的安全級別。不信就看看最近發(fā)生的 一些嚴重安全事件，無論是摩根大通還是塔吉特、家得寶，索尼影業(yè)，他們不都是宣稱自己企業(yè)的安全機制是合規(guī)的嗎?很明顯，這些案例中，要么有些人在撒謊， 要么所謂的“合規(guī)”實際上是不合規(guī)的。

合規(guī)的問題在哪里?

對 于推動合規(guī)的咨詢顧問和培訓認證行業(yè)來說，如何平衡企業(yè)的業(yè)務需求和安全機制是一個兩難的問題。這些行業(yè)是依靠幫助企業(yè)合規(guī)或說達標以獲得收入，因此當企業(yè)為了其業(yè)務需求或是成本控制，需要某種程度上的妥協(xié)時，安全隱患自此產(chǎn)生。同樣，風險控制管理、獨立的第三方審計和評估等工作，都有可能出現(xiàn)類似的情 形。

比如PCI標準規(guī)定在線金融服務需要通過ASV廠商(經(jīng)認證的掃描廠商)執(zhí)行互聯(lián)網(wǎng)環(huán)境的脆弱性掃描，但實際上在認證的掃描廠商名單上，全是付了錢并證明自己符合掃描標準的廠商。市場雖然很大，但廠商就這幾家。

這并不是在說所有的顧問公司都只想著拿到支票，而不管客戶的真實合規(guī)情況。但表面上通過合規(guī)，卻在實際審計中表現(xiàn)的慘不忍睹的企業(yè)并不少見。出現(xiàn)這種情況，要么是這些企業(yè)向顧問撒謊，要么就是顧問自己在撒謊。無論是哪種情況，安全問題沒有解決，最后吃虧的還是企業(yè)。

為什么合規(guī)不等于安全?

年度的合規(guī)審查是一個不錯的矯正問題的機會，但即使配備了外部的獨立審計，企業(yè)在平時也不能對內(nèi)部真正的合規(guī)狀態(tài)掉以輕心。

大型企業(yè)在一周內(nèi)就可能會有許多業(yè)務、管理方面的調(diào)整，年度的合規(guī)審計遠不能滿足動態(tài)的變化需求。把過去取得的靜態(tài)的合規(guī)認證，當作目前的合規(guī)狀態(tài)是愚蠢的。因此，要經(jīng)常性的檢查內(nèi)部的工作變化，并跟蹤最新的合規(guī)標準。

顧問的水準也是動態(tài)變化的，審計隊伍中經(jīng)常會看到?jīng)]有幾年經(jīng)驗的年輕畢業(yè)生在執(zhí)行一般標準的審計。這是因為，顧問公司是要經(jīng)營并贏利的，雇傭年輕的畢業(yè)生并訓練他們(一般都是相對基礎的技能)，意味著人力成本的降低。

普通的顧問僅僅為了通過合規(guī)而工作，他們只想讓客戶簽字確認然后進行下一項工作。資深顧問則會絕對確保企業(yè)滿足標準，然后才會繼續(xù)。高級顧問則要確保企業(yè)超出合規(guī)標準，才算完成工作。

標準本身的問題

大多數(shù)合規(guī)標準允許限制合規(guī)范圍。比如，PCI把CDE(卡數(shù)據(jù)環(huán)境)和ISO27001作為合規(guī)標準范圍。這樣做的結果只是向第三方證明了你的合規(guī)，而不 是考慮整個環(huán)境的安全。PCI只關心支付卡的數(shù)據(jù)安全，并沒有考慮其他(這也可以理解，畢竟是支付行業(yè)寫的標準)。但問題在于，使用PCI合規(guī)標準的企業(yè) 并不是安全的。因為PCI合規(guī)只意味著企業(yè)對支付卡的數(shù)據(jù)處理和存儲是安全的，它并不負責企業(yè)客戶的其他數(shù)據(jù)安全。

理論與現(xiàn)實的脫節(jié)就此發(fā)生。如果企業(yè)一個較不重要的網(wǎng)絡被黑客入侵，那么即使保存在安全環(huán)境下的CDE中的數(shù)據(jù)，也最終會被黑客訪問到。

標準并不獎勵過分合規(guī)。大多數(shù)標準只是通過和不通過，你要么合規(guī)要么不合規(guī)。這也就意味著，企業(yè)往往只想符合最低的標準。而且標準的設計一定是大部分企業(yè)可以達到的，過高的話，人們要么不去遵守要么干脆撒謊。標準的到底應該定高還是定低一些的爭論一直就沒有停止過。

合規(guī)通常還被當作是對安全投入的回饋，企業(yè)在安全上花了錢，自然想得到一個認證標志，畢竟董事會需要知道他們的錢沒有打水漂。可實際上，這些投入僅僅是滿足 了合規(guī)標準，并不意味著安全得到了真正的改善。當然，把錢投入到純粹的安全環(huán)境上可以增加安全，但這一點很難展示給安全部門之外的人，更不用說企業(yè)的管理 者和投資者了，他們最想看到的是投入所帶來的有形的價值。

結論

現(xiàn)在問題來了，合規(guī)不利于安全嗎?

當然不是這樣。上文所表達的意思是：“為了合規(guī)而合規(guī)”對提高安全性的意義不大，合規(guī)不等于安全。但合規(guī)可以作為一個框架來幫助人們理解安全，指導安全工作。

點評

什么程度才是安全?這個問題太難有一致的答案。因此為了較好達成一致，合規(guī)方法有所幫助。當然，如果僅把合規(guī)作為唯一衡量準則，當然不利于安全。

合 規(guī)和安全就想體檢報告和身體健康程度，不能說體檢合格就肯定健康，相信一個沒得過重病的人也不一定體檢合格。企業(yè)安全是保障，投入就是成本，在不同行業(yè)不 同時期安全要考慮的是不一樣的，是一個常態(tài)化的過程，不是無限的投入就是好，也不是合規(guī)了就是好，從上到下要理解、支持，并要找一個平衡，從措施的有效性 來衡量。

最后，為了合規(guī)而合規(guī)是無法保障安全的，必須把合規(guī)工作作為安全的起點，不斷把技術和管理落到實處，并不斷提升員工安全意識，才能保障長期的安全。CS論壇

關注網(wǎng)絡空間安全(Cyber Security)，解讀趨勢前瞻，聚焦管理策略、體系指引，為企業(yè)、機構安全規(guī)劃與實施提供咨詢建議。

【編輯推薦】