为啥合规性不等于网络安全

和其他有趣的地图比较，它展现了一定的相似性，“安全性”和“合规性”的概念有很多共通之处，但并不相同。网络安全服务提供商RSA Security公司的首席技术官Ben Smith表示，这种区别不仅是一种练习，也是一种现实挑战。

人们已经看到，对合规性等同于安全性的过度依赖是许多公开报道的重大数据泄露事件的共同原因。一家大型零售商在采用了一种不太理想且成本更低的无线身份验证之后，对外泄露了9000多万张信用卡和借记卡信息。美国一家州政府丢失了该州75%的纳税人敏感数据，然后抱怨美国联邦政府没有要求数据加密。

这种更直接的证明合规的性质有时使它被轻蔑地描述为一种复选框练习，这往往是一种不公平的贬低，因为从外科手术到飞机飞行之前的检查再到安全检查，检查清单在非常关键的情况下被广泛依赖。检查表的可重复性可以更容易地验证或确认企业是否遵守特定的规则或目标，无论是由政府法规还是整个行业的通用标准。

这就是应该开始驱散迷雾的地方：当从合规性的角度考虑标准和法规时，在将它们映射到安全问题时，它们应该被视为绝对最低的限度。合规性通治安全性，特别是围绕这两个功能所需的技术控制，但是交易的合规性从来没有被合适的设计工具用来取代交易的安全性。

把安全性与合规性的关系想象成大多数人都经历过的重要的成年仪式：十几岁的孩子第一次通过驾照程序，就像颁发驾照之前进行的笔试和路考一样，合规标准涵盖了基本内容，但并没有完全考虑到司机可能遇到的交通拥堵、恶劣天气等挑战。标准是必不可少的，但不能涵盖所有可能性——这正是事件响应人员每天在网络安全中所经历的。在一个实例中，所述方法包括。例如，如果用户希望查看一个文件，则可以使用"查看"按钮。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!