世界各地對于合規都有著(zhù)嚴格的要求，且不盡相同。例如，在歐盟地區實(shí)行的歐盟通用數據保護法規GDPR，如果企業(yè)未履行該條例，將會(huì )導致嚴重的法律后果，其中重大違反(Most Severe Infringement)所遭致的行政罰款的上限是2000萬(wàn)歐元或該企業(yè)上一財年全球年度營(yíng)業(yè)總額的4%。在中國，《數據安全法》《個(gè)人信息保護法》等法律法規也對企業(yè)的數據合規提出嚴格要求，處罰力度也從罰款到停業(yè)整頓、吊銷(xiāo)執照不等。

　　很多時(shí)候，不是企業(yè)不愿遵守各地的合規要求，而是企業(yè)在多地區發(fā)展的過(guò)程中缺少完善的數據管理措施，從而導致無(wú)法確保自身網(wǎng)絡(luò )設施符合發(fā)展所在地的相應合規規定。那么企業(yè)如何確保網(wǎng)絡(luò )基礎設施符合相應法規的基礎?在合規方面，應該從哪些方面著(zhù)手?

　　一. 首先需了解企業(yè)資產(chǎn)管理

　　資產(chǎn)管理是企業(yè)確保其基礎設施是否符合相應法規的基礎，原因如下:

　　1.企業(yè)資產(chǎn)清點(diǎn):企業(yè)可通過(guò)此舉全面了解資產(chǎn)情況，以更好地對自身資產(chǎn)進(jìn)行保護與監測，以確保企業(yè)資產(chǎn)滿(mǎn)足必要的合規標準。

　　2.風(fēng)險評估:風(fēng)險評估是資產(chǎn)管理的一個(gè)重要方面，可以幫助企業(yè)評估每項資產(chǎn)的風(fēng)險，識別安全漏洞、潛在威脅以及對關(guān)鍵資產(chǎn)的安全影響，這些都是合規法規中的關(guān)鍵部分。

　　3.安全漏洞管理:識別運行已過(guò)時(shí)或存在軟件漏洞的企業(yè)資產(chǎn)，優(yōu)先進(jìn)行補丁管理和更新，這對維護網(wǎng)絡(luò )安全法規的合規性至關(guān)重要。

　　4.事件響應:企業(yè)可快速識別受影響的資產(chǎn)，將其與網(wǎng)絡(luò )隔離，并采取恰當的措施減輕其影響。如果沒(méi)有妥善的資產(chǎn)管理，事件響應的難度會(huì )較大，企業(yè)很有可能難以有效遏制并修復安全漏洞，這可能會(huì )導致企業(yè)無(wú)法遵守合規并遭受相關(guān)處罰。

　　5.合規:資產(chǎn)管理通常需符合各地和多種不同監管標準，如《支付卡行業(yè)數據安全標準》 (PCI DSS)、歐盟的GDPR、中國的《數據安全法》《個(gè)人信息保護法》等。

　　二. 充分利用端點(diǎn)檢測與響應(EDR)

　　EDR解決方案在以合規為主的網(wǎng)絡(luò )安全策略中發(fā)揮著(zhù)關(guān)鍵作用，主要因為兩點(diǎn):首先，EDR解決方案可實(shí)現實(shí)時(shí)監測和可見(jiàn)性，并檢測高級威脅與復雜攻擊，幫助企業(yè)滿(mǎn)足關(guān)于及時(shí)檢測與威脅響應的的合規性。此外，EDR解決方案助力企業(yè)實(shí)現合規，必要時(shí)可為事件報告與法定程序提供證據。這對受GDPR等法規約束的企業(yè)尤為重要(因為要求企業(yè)需詳細報告有關(guān)數據泄露的情況)。

　　三. 多因素身份驗證(MFA)

　　多因素身份驗證 (MFA) 除用戶(hù)名和密碼外，還設有額外的安全措施，不僅幫助企業(yè)防御網(wǎng)絡(luò )攻擊，還能幫助企業(yè)滿(mǎn)足合規要求。以下是MFA如何有效對抗網(wǎng)絡(luò )攻擊并保證合規性:

　　1.MFA要求用戶(hù)通過(guò)額外的身份驗證，這能夠降低憑證被盜的風(fēng)險，并限制已泄露憑證進(jìn)行未經(jīng)授權的訪(fǎng)問(wèn)。這對于遵守需要嚴格訪(fǎng)問(wèn)控制的法規(例如醫療保健行業(yè)的HIPAA)尤為重要。

　　2.MFA要求每個(gè)賬戶(hù)有獨立的認證因素，以防止憑證重復使用，從而預防憑證跨多平臺使用導致?lián)p失的風(fēng)險，能有效滿(mǎn)足為不同賬戶(hù)授權唯一憑證的合規要求。

　　3.MFA通過(guò)增加額外的步驟和認證因素增加暴力破解攻擊的難度，讓攻擊者難以進(jìn)行未經(jīng)授權訪(fǎng)問(wèn)。一些合規標準要求企業(yè)針對此類(lèi)攻擊建立防御機制。

　　4.MFA不會(huì )在虛假登錄頁(yè)面上提供認證因素，以此防止攻擊者通過(guò)認證，從而起到防御網(wǎng)絡(luò )釣魚(yú)攻擊的作用。除了增強安全性之外，這也是許多數據保護法規的重要組成部分。

　　四. 良好的網(wǎng)絡(luò )安全框架必不可缺

　　有效實(shí)施良好的安全網(wǎng)絡(luò )框架不僅可以增強安全性，還能促進(jìn)合規性。通過(guò)以下方法，網(wǎng)絡(luò )安全框架可以幫助企業(yè)更好滿(mǎn)足合規要求:

　　1.指導與結構:為滿(mǎn)足監管合規的要求，網(wǎng)絡(luò )安全框架提供了一種結構化方法來(lái)管控網(wǎng)絡(luò )安全風(fēng)險。以NIST網(wǎng)絡(luò )安全框架為例，其由標準、指南和最佳實(shí)踐組成，可幫助組織改善網(wǎng)絡(luò )安全風(fēng)險管理。

　　2.基線(xiàn)安全控制:許多網(wǎng)絡(luò )安全框架里涵蓋企業(yè)應實(shí)施的基線(xiàn)安全控制措施，通常與各合規標準規定的要求一致。

　　3.持續改進(jìn)措施:出于合規要求，網(wǎng)絡(luò )安全框架鼓勵企業(yè)在網(wǎng)絡(luò )安全的實(shí)踐方面進(jìn)行持續改進(jìn)與定期評估，幫助企業(yè)及時(shí)識別不斷演變的威脅并遵守不斷變化的法規。

　　4.第三方風(fēng)險管理:網(wǎng)絡(luò )安全框架通常包括管理第三方風(fēng)險管理指南，這是許多合規標準的重點(diǎn)領(lǐng)域。

　　5.有跡可循的政策與程序: 由于監管合規通常需提供文檔依據，大多數網(wǎng)絡(luò )安全框架建議企業(yè)記錄其網(wǎng)絡(luò )安全政策與程序。

　　可以說(shuō)，合規不僅僅是照章辦事，還與識別與降低風(fēng)險息息相關(guān)。Veritas建議企業(yè)將合規性考慮因素納入到網(wǎng)絡(luò )安全策略考量中，以構建強有力的安全基礎設施，在防御威脅的同時(shí)確保合規性。這樣雙管齊下的措施不僅有助于防御網(wǎng)絡(luò )攻擊，還可以降低合規風(fēng)險與影響，幫助企業(yè)更好地應對不斷變化的網(wǎng)絡(luò )威脅和監管要求。

　　關(guān)于 Veritas

　　Veritas Technologies是安全多云數據管理領(lǐng)域的領(lǐng)導者。超過(guò)八萬(wàn)家企業(yè)級客戶(hù)，包括95%的全球財富100強企業(yè)，均依靠Veritas確保其數據的保護、可恢復性和合規性。Veritas在規模化的可靠性方面享有盛譽(yù)，可為企業(yè)提供抵御勒索軟件等網(wǎng)絡(luò )攻擊威脅所需的彈性。Veritas通過(guò)統一的平臺，支持超過(guò)800種數據源，100多種操作系統，1400多種存儲設備以及60多類(lèi)云平臺。在云級技術(shù)的支持下，Veritas現正在實(shí)踐其數據自治戰略，在提供更大價(jià)值的同時(shí)，降低運營(yíng)成本。

　　Veritas中國官方網(wǎng)站 https://www.veritas.com/zh/cn/

　　Veritas官方微信平臺:VERITAS_CHINA(VERITAS中文社區)