2.2 標(biāo)準(zhǔn)的意義

2.1節(jié)探討了從找到安全工作的著眼點(diǎn)開始，到進(jìn)行第一項(xiàng)安全工作的基本過(guò)程。這種有很強(qiáng)針對(duì)性的工作對(duì)大家來(lái)說(shuō)是比較熟悉的，但安全工作是一個(gè)很復(fù)雜的體系，如果采用逐個(gè)問(wèn)題逐個(gè)解決的方式，很難從救火隊(duì)員的身份中脫離出來(lái)。這時(shí)就需要一個(gè)更高層、更全面的指導(dǎo)思想，指導(dǎo)我們從宏觀的視角審視企業(yè)的安全建設(shè)，這個(gè)指導(dǎo)思想就是標(biāo)準(zhǔn)。

事先聲明一下，本節(jié)對(duì)標(biāo)準(zhǔn)的介紹不會(huì)非常全面，因?yàn)槟菢訒?huì)很枯燥，本節(jié)的文字旨在激發(fā)興趣，讓大家在相對(duì)輕松的氛圍下了解相關(guān)標(biāo)準(zhǔn)的作用和架構(gòu)，對(duì)這些標(biāo)準(zhǔn)有一個(gè)基本的認(rèn)識(shí)，從而不那么抵觸閱讀它們。

筆者曾經(jīng)參與過(guò)一些標(biāo)準(zhǔn)的評(píng)審工作，這項(xiàng)工作讓我受益良多。因?yàn)槲野l(fā)現(xiàn)作為標(biāo)準(zhǔn)，要考慮普適性和全面性的問(wèn)題，遣詞造句要高度精練和概括。但正是這種精練和概括，阻礙了大家閱讀標(biāo)準(zhǔn)的熱情。一份ISO27001文檔才多少字，大家閱讀起來(lái)卻如此難受。但看看金庸先生的作品，《射雕英雄傳》101萬(wàn)字、《神雕俠侶》118萬(wàn)字、《倚天屠龍記》117萬(wàn)字，大家閱讀起來(lái)完全沒覺得長(zhǎng)，反而有點(diǎn)意猶未盡。筆者一直有個(gè)夢(mèng)想，就是把標(biāo)準(zhǔn)的內(nèi)容改寫得通俗易懂。

言歸正傳，下面介紹幾個(gè)最常使用的標(biāo)準(zhǔn)，以及該如何看待合規(guī)。

2.2.1 風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)的定義是：威脅利用脆弱性對(duì)資產(chǎn)造成損害的可能性?？粗容^繞吧，那我們先提煉三個(gè)關(guān)鍵詞：資產(chǎn)、脆弱性、威脅。

風(fēng)險(xiǎn)評(píng)估其實(shí)是一個(gè)很大的概念，本節(jié)討論的是信息安全風(fēng)險(xiǎn)評(píng)估，屬于企業(yè)IT風(fēng)險(xiǎn)評(píng)估的子類，所以本節(jié)定義的范圍都是與網(wǎng)絡(luò)安全相關(guān)的場(chǎng)景，其他方面不做討論。

比如資產(chǎn)，在此先不討論廣義的資產(chǎn)概念，本節(jié)所指的資產(chǎn)的概念包括：最基本的軟硬件資產(chǎn)、數(shù)據(jù)資產(chǎn)，以及人員、知識(shí)產(chǎn)權(quán)等。

那么脆弱性呢？百度百科的解釋是這樣的：“脆弱性又稱弱點(diǎn)或漏洞，是資產(chǎn)或資產(chǎn)組中存在的可能被威脅利用造成損害的薄弱環(huán)節(jié)，脆弱性一旦被威脅成功利用就可能對(duì)資產(chǎn)造成損害。漏洞可能存在于物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬件、軟件和信息等各個(gè)方面?！毕旅孢M(jìn)行一個(gè)簡(jiǎn)單的類比。

對(duì)于人來(lái)說(shuō)，如果我很瘦弱，我的弱點(diǎn)就是體力，你可以用武力來(lái)控制我。如果我是頭腦簡(jiǎn)單四肢發(fā)達(dá)的人，我最大的弱點(diǎn)是智商，你就可以用語(yǔ)言來(lái)控制我。一個(gè)體系的脆弱性往往是可以被外部威脅利用的關(guān)鍵點(diǎn)。

第三個(gè)詞：威脅。百度百科對(duì)它的解釋是：“威脅指用武力、權(quán)勢(shì)脅迫；使遭遇危險(xiǎn)?！边@顯然不是特指的網(wǎng)絡(luò)安全的威脅，不過(guò)稍作改動(dòng)可以將其解釋成：網(wǎng)絡(luò)安全中的威脅指用各類（合規(guī)或違規(guī)）技術(shù)手段、非技術(shù)手段脅迫；使遭遇危險(xiǎn)。

所謂的威脅就是外部要利用脆弱性的因素，也就是說(shuō)，雖然頭腦簡(jiǎn)單四肢發(fā)達(dá)是我的脆弱性，但我生活在一個(gè)非常理想的社會(huì)中，沒人想著利用我做壞事，那么我再傻也沒關(guān)系，因?yàn)橥{不存在。

把上述場(chǎng)景替換到網(wǎng)絡(luò)安全相關(guān)的場(chǎng)景中：如果你的系統(tǒng)無(wú)法實(shí)現(xiàn)人機(jī)識(shí)別，這就是系統(tǒng)的脆弱性，那威脅就是惡意爬蟲、薅羊毛的程序或人。也就是說(shuō)如果沒有這樣的程序或人，也就不存在威脅，那就算有脆弱性也沒有風(fēng)險(xiǎn)了。什么情況下威脅不存在呢？答案是當(dāng)你的資產(chǎn)沒有價(jià)值的時(shí)候，當(dāng)然這種情況基本上是不存在的。套用經(jīng)濟(jì)學(xué)中的需求原理，需求價(jià)格取決于物品對(duì)消費(fèi)者的邊際效益。也就是企業(yè)的資產(chǎn)對(duì)外部入侵者有效益的時(shí)候，入侵者就會(huì)付出一些成本（包括經(jīng)濟(jì)成本、時(shí)間成本、法律風(fēng)險(xiǎn)成本）去獲取你的資產(chǎn)。而當(dāng)獲取資產(chǎn)的成本高于邊際效益時(shí)，威脅行為就不會(huì)發(fā)生。

經(jīng)濟(jì)學(xué)的目標(biāo)是不斷降低交易成本，盡可能地促成交易，使市場(chǎng)繁榮。而安全工作的本質(zhì)就是提高交易成本，盡可能地使入侵這種“交易”清零。

從上面的論述可以看到，安全工作既不是將脆弱性變成0，也不是將威脅變成0，而是動(dòng)態(tài)的提高入侵成本（同樣包括經(jīng)濟(jì)成本、時(shí)間成本、法律風(fēng)險(xiǎn)成本），使外界對(duì)系統(tǒng)內(nèi)資產(chǎn)的感興趣程度降為0。接下來(lái)將目光轉(zhuǎn)回到風(fēng)險(xiǎn)管理上，在標(biāo)準(zhǔn)的體系中，對(duì)風(fēng)險(xiǎn)的應(yīng)對(duì)有如下方式。

1）直接把風(fēng)險(xiǎn)處理掉，這肯定是最直接的，但是這就要考慮邊際收益了。也就是說(shuō)某個(gè)風(fēng)險(xiǎn)的處理如果代價(jià)極大但收益有限，我們就要考慮接受或者轉(zhuǎn)移。

2）接受風(fēng)險(xiǎn)代表著我們對(duì)風(fēng)險(xiǎn)所帶來(lái)的損失有明確的認(rèn)識(shí)后選擇承擔(dān)這個(gè)風(fēng)險(xiǎn)，問(wèn)題發(fā)生了就發(fā)生了，意料之內(nèi)。

3）而轉(zhuǎn)移相對(duì)比較復(fù)雜，在風(fēng)險(xiǎn)既無(wú)法直接處理，又不能簡(jiǎn)單接受的情況下可以選擇轉(zhuǎn)移風(fēng)險(xiǎn)。轉(zhuǎn)移風(fēng)險(xiǎn)一般有兩種選擇：找愿意承受風(fēng)險(xiǎn)的主體將風(fēng)險(xiǎn)轉(zhuǎn)移，或者找控制風(fēng)險(xiǎn)能力更強(qiáng)的主體將風(fēng)險(xiǎn)轉(zhuǎn)移。風(fēng)險(xiǎn)轉(zhuǎn)移的一個(gè)非常有效的方式是保險(xiǎn)，目前網(wǎng)絡(luò)安全行業(yè)保險(xiǎn)的最大市場(chǎng)在美國(guó)，隨著《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）的頒布，歐洲的網(wǎng)絡(luò)安全保險(xiǎn)市場(chǎng)也開始?jí)汛螅谥袊?guó)目前還非常少見。

以上我們弄清楚了什么是風(fēng)險(xiǎn)，也弄清楚了風(fēng)險(xiǎn)的處置方式。這里還少了一個(gè)中間環(huán)節(jié)，就是風(fēng)險(xiǎn)的評(píng)估，沒有評(píng)估工作，風(fēng)險(xiǎn)自然無(wú)從談起，更不要說(shuō)處置了。

其實(shí)2.1節(jié)提到的對(duì)于核心問(wèn)題的識(shí)別也是一種不成體系的風(fēng)險(xiǎn)評(píng)估，因?yàn)橛行╋L(fēng)險(xiǎn)就是很容易評(píng)估出來(lái)的，但如果想更全面地認(rèn)清系統(tǒng)面臨的風(fēng)險(xiǎn)，就必須按風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)執(zhí)行。

2.2.2 ISO 27000

ISO 27000的整體內(nèi)容是面向策略的，概述了安全規(guī)劃所需要關(guān)注的方向，其標(biāo)準(zhǔn)體系關(guān)系如圖2-1所示。ISO的標(biāo)準(zhǔn)是通用的，這意味著我們不能拿來(lái)就用，而是需要安全團(tuán)隊(duì)在考慮企業(yè)實(shí)際情況的基礎(chǔ)上，將其應(yīng)用到企業(yè)的具體需求上。ISO 27001的目標(biāo)就是以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，以PDCA（Plan，Do，Check，Act）為方法論建立企業(yè)的信息安全管理體系。

2.2.1節(jié)簡(jiǎn)單介紹了風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估是ISO 27001的基礎(chǔ)，而ISO 27001則是ISO 27000系列標(biāo)準(zhǔn)的主標(biāo)準(zhǔn)。ISO/IEC 27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（British Standards Institution，BSI）重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分：BS7799-1，信息安全管理實(shí)施規(guī)則；BS7799-2，信息安全管理體系規(guī)范。第一部分對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用；第二部分說(shuō)明了建立、實(shí)施和文件化信息安全管理體系（Information Security Management System，ISMS）的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。

我們把定義放在一邊，先看看ISO 27001有什么用。

（1）獲取資質(zhì)

通過(guò)ISO 27001認(rèn)證意味著企業(yè)從技術(shù)到管理都具備了一定的高度，所以很多甲方招標(biāo)的時(shí)候都需要企業(yè)通過(guò)該認(rèn)證。直白點(diǎn)說(shuō)，ISO 27001認(rèn)證可以幫助企業(yè)在安全層面更具可信度。為了獲取資質(zhì)而需要通過(guò)該標(biāo)準(zhǔn)的企業(yè)，需要認(rèn)真研讀標(biāo)準(zhǔn)，并聘請(qǐng)專業(yè)的第三方公司來(lái)協(xié)助完成各類體系的建設(shè)，將通過(guò)認(rèn)證作為最終目的。

（2）作為參考

在企業(yè)安全建設(shè)過(guò)程中總要有一些可以參考的標(biāo)準(zhǔn)作為基礎(chǔ)，一方面告訴高層領(lǐng)導(dǎo)安全建設(shè)不是隨便想出來(lái)的；另一方面也給安全體系設(shè)計(jì)者一個(gè)更全局的視角，讓設(shè)計(jì)者不僅僅著眼于眼前的一些應(yīng)急事件。把標(biāo)準(zhǔn)作為建設(shè)參考的情況下，需要對(duì)企業(yè)現(xiàn)狀有更多的了解，也更有主見。因?yàn)槠髽I(yè)安全建設(shè)的目的不是通過(guò)認(rèn)證，所以可以舍棄那些我們認(rèn)為并不重要的關(guān)注點(diǎn)。

既然ISO 27001是有用的，就要了解這個(gè)標(biāo)準(zhǔn)到底都講了什么，因?yàn)楣P者希望盡量讓標(biāo)準(zhǔn)好讀，所以下面的內(nèi)容將略去一些術(shù)語(yǔ)定義、規(guī)范文件等章節(jié)，介紹ISO 27001主要章節(jié)的內(nèi)容。

1）組織環(huán)境（ISO 27001第4章）：這部分主要從內(nèi)部和外部?jī)蓚€(gè)方面，介紹應(yīng)該如何確定安全管理所需要確定的范圍，以及確定這些范圍的時(shí)候應(yīng)該考慮的問(wèn)題。

2）領(lǐng)導(dǎo)（ISO 27001第5章）：這部分明確了安全組織應(yīng)該得到領(lǐng)導(dǎo)層支持的承諾。并列舉了承諾可能包含的內(nèi)容；高層管理者制定安全方針可能涵蓋的內(nèi)容；還有很重要的，高層需要給安全管理者的職責(zé)和權(quán)限范圍。

3）規(guī)劃（ISO 27001第6章）：從風(fēng)險(xiǎn)應(yīng)對(duì)和安全目標(biāo)規(guī)劃兩個(gè)層面對(duì)于安全風(fēng)險(xiǎn)識(shí)別、處置的目標(biāo)和安全目標(biāo)實(shí)現(xiàn)所需的關(guān)注點(diǎn)。

4）支持（ISO 27001第7章）：從資源、能力（主要指信息安全專業(yè)能力）、意識(shí)和溝通幾個(gè)方面做了宏觀要求，同時(shí)給出了對(duì)上述信息的記錄原則。

5）運(yùn)行（ISO 27001第8章）：明確要求了系統(tǒng)重大變更時(shí)要進(jìn)行風(fēng)險(xiǎn)評(píng)估，同時(shí)對(duì)外包做出了宏觀的要求。這部分內(nèi)容原文很短，但卻是整個(gè)安全落地的環(huán)節(jié)。

6）績(jī)效評(píng)價(jià)（ISO 27001第9章）：非常明確且簡(jiǎn)要地對(duì)監(jiān)測(cè)的各個(gè)維度做出了要求，同時(shí)對(duì)內(nèi)審所需要的材料做出了要求。

7）改進(jìn)（ISO 27001第10章）：在要求對(duì)不符合項(xiàng)做出糾正的同時(shí)，要求了不符合項(xiàng)不在其他時(shí)間或位置發(fā)生。筆者認(rèn)為這是個(gè)非常重要的環(huán)節(jié)，我們?cè)谌粘９ぷ髦薪?jīng)常會(huì)發(fā)現(xiàn)老生常談的問(wèn)題好像永遠(yuǎn)解決不了，這就是標(biāo)準(zhǔn)給我們帶來(lái)的價(jià)值。

如果上面的簡(jiǎn)介能讓你有興趣去讀一讀ISO 27001原文，筆者將非常欣慰！但第一次讀的感覺很可能是兩個(gè)字——失望，你會(huì)感覺什么都說(shuō)了，但也什么都沒說(shuō)。比如，組織和環(huán)境中關(guān)于“理解相關(guān)方的需求和期望”的描述只有兩點(diǎn)：①與信息安全管理體系有關(guān)的相關(guān)方；②這些相關(guān)方與信息安全有關(guān)的要求。（注：相關(guān)方的要求可能包括法律法規(guī)要求和合同義務(wù)。）

是不是感覺什么都沒說(shuō)？是的，如前文所述，標(biāo)準(zhǔn)為求普適性和全面性而損失了可讀性。我們?cè)谧x這些標(biāo)準(zhǔn)的時(shí)候要有還原問(wèn)題的能力。例如，“與信息安全管理體系有關(guān)的相關(guān)方”我們要還原的問(wèn)題是：誰(shuí)與安全管理體系相關(guān)？解答這個(gè)問(wèn)題我們需要內(nèi)部充分討論，甚至頭腦風(fēng)暴，來(lái)列舉這些相關(guān)方。內(nèi)部列舉得差不多了，再通過(guò)外腦來(lái)幫助我們審核所列內(nèi)容的全面性，以及是否需要分階段地將不同部門納入這個(gè)范圍?；玖鞒倘鐖D2-2所示。

將標(biāo)準(zhǔn)落地意味著大量的工作，所以筆者認(rèn)為對(duì)于ISO 27001這類的標(biāo)準(zhǔn)來(lái)說(shuō)，僅僅停留在閱讀層面是遠(yuǎn)遠(yuǎn)不夠的。

PDCA是Plan(計(jì)劃)、Do(執(zhí)行)、Check(檢查)和Act(處理)的縮寫。由于是戴明最早對(duì)這個(gè)理論進(jìn)行宣傳才使得PDCA在行業(yè)內(nèi)獲得廣泛認(rèn)可，所以這個(gè)循環(huán)框架又稱為“戴明環(huán)”，如圖2-3所示。ISO 27001將這個(gè)方法論作為安全建設(shè)的基本方法論。

P(Plan)計(jì)劃：包括從方針制定、目標(biāo)確立到預(yù)算執(zhí)行、實(shí)施規(guī)劃等大量?jī)?nèi)容。也就是說(shuō)前期規(guī)劃性工作都在這個(gè)層面完成。

D(Do)執(zhí)行：落地前期規(guī)劃的內(nèi)容，但在Do這個(gè)階段還涉及Plan的工作，這在后文會(huì)解釋。

C(Check)檢查：執(zhí)行結(jié)束后要客觀評(píng)估執(zhí)行結(jié)果，客觀是關(guān)鍵，如果僅僅是寫個(gè)報(bào)告邀功，這不是Check。

A（Act）處理：處理（Act）和執(zhí)行（Do）的區(qū)別是，處理（Act）的目標(biāo)是檢查結(jié)果，而執(zhí)行（Do）的目標(biāo)是計(jì)劃（Plan）方案。

從圖2-3可以發(fā)現(xiàn)，PDCA是一個(gè)循環(huán)，但并不是一個(gè)平面的循環(huán)，每一個(gè)循環(huán)都代表著整體能力的提升。在執(zhí)行PDCA時(shí)，團(tuán)隊(duì)負(fù)責(zé)人要關(guān)注這一點(diǎn)，如果每次循環(huán)都回到上一次的起點(diǎn)，那說(shuō)明整體過(guò)程的執(zhí)行是失敗的，如圖2-4所示。

2.2.3 等級(jí)保護(hù)

近年來(lái)我國(guó)對(duì)等級(jí)保護(hù)的要求越來(lái)越嚴(yán)格，尤其在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）出臺(tái)之后，很多安全管理者都面臨著很大的壓力。以前出現(xiàn)問(wèn)題是工作失職，現(xiàn)在是違法。但這也給安全部門一個(gè)很好的機(jī)會(huì)，等級(jí)保護(hù)在某些企業(yè)中算是強(qiáng)制措施，這讓安全團(tuán)隊(duì)可以通過(guò)等級(jí)保護(hù)合規(guī)建設(shè)給企業(yè)一個(gè)基礎(chǔ)的安全保障。

等級(jí)保護(hù)共分為5級(jí)：前兩級(jí)是系統(tǒng)遭到破壞后損害公民利益，但不損害國(guó)家利益的情況下可以評(píng)定的級(jí)別；后三級(jí)是系統(tǒng)遭到破壞后在損害公民利益的同時(shí)，不同程度地?fù)p害國(guó)家利益的情況下可以評(píng)定的級(jí)別。

等級(jí)保護(hù)的定級(jí)要由有資質(zhì)的機(jī)構(gòu)對(duì)系統(tǒng)進(jìn)行定級(jí)并備案，而非由企業(yè)自主決定。但對(duì)于企業(yè)信息系統(tǒng)的保護(hù)是由企業(yè)自行組織資源進(jìn)行的（自主保護(hù)原則），同時(shí)在同一個(gè)企業(yè)中不同的系統(tǒng)可以根據(jù)重要性不同定義成不同級(jí)別（重點(diǎn)保護(hù)原則），而且在系統(tǒng)的各種調(diào)整中要同步投入一定比例的資金，同步調(diào)整安全保障措施（同步建設(shè)原則），最后要根據(jù)系統(tǒng)類型的變化隨時(shí)調(diào)整等級(jí)保護(hù)的級(jí)別（動(dòng)態(tài)調(diào)整原則）。

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T 22239—2019（以下簡(jiǎn)稱等級(jí)保護(hù)2.0）于2019年5月13日正式發(fā)布。相比1.0，等級(jí)保護(hù)2.0增加了可信計(jì)算、通報(bào)預(yù)警、安全監(jiān)測(cè)、態(tài)勢(shì)感知和應(yīng)急處置等方面的要求，同時(shí)增加了工控系統(tǒng)、云計(jì)算、物聯(lián)網(wǎng)和移動(dòng)系統(tǒng)的要求。另外，等級(jí)保護(hù)2.0歸并了1.0中的部分要求。

與ISO 27001不同，等級(jí)保護(hù)更偏重于落地。它通過(guò)200余項(xiàng)要求（三級(jí)等保2.0共230項(xiàng)）規(guī)范企業(yè)的安全措施。但這些檢查項(xiàng)都不一定用同一種解決方案來(lái)滿足，比如其中一條：網(wǎng)絡(luò)安全—網(wǎng)絡(luò)設(shè)備防護(hù)—身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求，并定期更換。

滿足這條檢查項(xiàng)簡(jiǎn)單的方案可以通過(guò)管理制度來(lái)要求各系統(tǒng)的長(zhǎng)度、復(fù)雜度及口令更換周期，當(dāng)然也可以通過(guò)單點(diǎn)登錄系統(tǒng)，并在系統(tǒng)中強(qiáng)制上述規(guī)定，甚至采用多因素認(rèn)證來(lái)一站式解決多個(gè)問(wèn)題（包括等級(jí)保護(hù)中對(duì)多身份鑒別的部分要求）。

由此可見，每條等級(jí)保護(hù)的檢查項(xiàng)都可能通過(guò)不同手段滿足，每種手段也可以同時(shí)滿足多條檢查項(xiàng)，所以在等級(jí)保護(hù)合規(guī)建設(shè)時(shí)，我們要根據(jù)企業(yè)實(shí)際情況選擇最具性價(jià)比的解決方案。

從另一個(gè)維度來(lái)說(shuō)，等級(jí)保護(hù)并不強(qiáng)制要求系統(tǒng)滿足所有檢查項(xiàng)，只需“基本滿足”即可，這給企業(yè)留下了充分選擇的余地。但筆者認(rèn)為，等級(jí)保護(hù)的要求是企業(yè)安全保障的基本要求。如果只想通過(guò)等級(jí)保護(hù)的評(píng)測(cè)，可以有很多辦法，但想做好企業(yè)安全可就沒有那么簡(jiǎn)單了。筆者在前些年做等級(jí)保護(hù)的時(shí)候就思考過(guò)這個(gè)問(wèn)題——如何面對(duì)合規(guī)。

2.2.4 如何面對(duì)合規(guī)？

無(wú)論是ISO 27001還是等級(jí)保護(hù)，如果僅僅是為了拿證書、為了符合要求而去套標(biāo)準(zhǔn)的話，這項(xiàng)工作就會(huì)變得相對(duì)簡(jiǎn)單。舉個(gè)等級(jí)保護(hù)的例子，以下是一個(gè)檢查項(xiàng)。

網(wǎng)絡(luò)安全—訪問(wèn)控制—能夠根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制顆粒度為端口級(jí)。

滿足這個(gè)檢查項(xiàng)只需要有防火墻就夠了，但防火墻是不是空策略？策略是白名單還是黑名單？黑白名單有沒有根據(jù)業(yè)務(wù)情況隨時(shí)調(diào)整？防火墻所處的位置是否能控制安全域間的所有流量？

這些問(wèn)題對(duì)一個(gè)外部檢查者來(lái)說(shuō)絕對(duì)是無(wú)法完全回答的，只要防火墻里有幾十條策略，這個(gè)檢查項(xiàng)就算過(guò)了，至于有沒有真正將訪問(wèn)控制策略做到位則只有企業(yè)安全負(fù)責(zé)人，甚至是一線運(yùn)維工程師才知道。

再深入一層，如果需要做到實(shí)時(shí)防御，還需要檢測(cè)系統(tǒng)與防火墻進(jìn)行聯(lián)動(dòng)，快速封堵惡意IP。這些都是簡(jiǎn)單的檢查項(xiàng)無(wú)法要求的。

對(duì)于合規(guī)，企業(yè)安全團(tuán)隊(duì)自己要是想蒙混過(guò)關(guān)，誰(shuí)也沒辦法檢查得出來(lái)，只能由事件驅(qū)動(dòng)整改。但這些事后補(bǔ)救措施給企業(yè)能帶來(lái)多大價(jià)值？如果你的企業(yè)在一次惡性安全事件后一蹶不振呢？這個(gè)時(shí)候補(bǔ)救又有什么意義呢？

從另一個(gè)方面來(lái)說(shuō)，安全團(tuán)隊(duì)要善于利用企業(yè)合規(guī)需求開展安全工作，基本上可以從如下四個(gè)方面開展。

1）查缺補(bǔ)漏：前文提到，標(biāo)準(zhǔn)雖然寫得簡(jiǎn)略，但覆蓋面還是很全的，用標(biāo)準(zhǔn)來(lái)檢查安全系統(tǒng)建設(shè)的全面性是個(gè)非常有效的方法。

2）安全基線：標(biāo)準(zhǔn)是安全的基線，根據(jù)實(shí)際需求，安全建設(shè)上不封頂。

3）預(yù)算來(lái)源：對(duì)比單純通過(guò)安全項(xiàng)目來(lái)申請(qǐng)預(yù)算，合規(guī)需求更能說(shuō)服內(nèi)部。

4）溝通的尚方寶劍：在推動(dòng)安全建設(shè)的過(guò)程中，通過(guò)合規(guī)需求來(lái)推動(dòng)平級(jí)部門支持是相對(duì)容易的方法。

這是筆者對(duì)于合規(guī)的一些看法，供參考。