世界各地對(duì)于合規(guī)都有著嚴(yán)格的要求，且不盡相同。例如，在歐盟地區(qū)實(shí)行的歐盟通用數(shù)據(jù)保護(hù)法規(guī)GDPR，如果企業(yè)未履行該條例，將會(huì)導(dǎo)致嚴(yán)重的法律后果，其中重大違反(Most Severe Infringement)所遭致的行政罰款的上限是2000萬歐元或該企業(yè)上一財(cái)年全球年度營(yíng)業(yè)總額的4%。在中國(guó)，《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)也對(duì)企業(yè)的數(shù)據(jù)合規(guī)提出嚴(yán)格要求，處罰力度也從罰款到停業(yè)整頓、吊銷執(zhí)照不等。

　　很多時(shí)候，不是企業(yè)不愿遵守各地的合規(guī)要求，而是企業(yè)在多地區(qū)發(fā)展的過程中缺少完善的數(shù)據(jù)管理措施，從而導(dǎo)致無法確保自身網(wǎng)絡(luò)設(shè)施符合發(fā)展所在地的相應(yīng)合規(guī)規(guī)定。那么企業(yè)如何確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施符合相應(yīng)法規(guī)的基礎(chǔ)?在合規(guī)方面，應(yīng)該從哪些方面著手?

　　一. 首先需了解企業(yè)資產(chǎn)管理

　　資產(chǎn)管理是企業(yè)確保其基礎(chǔ)設(shè)施是否符合相應(yīng)法規(guī)的基礎(chǔ)，原因如下:

　　1.企業(yè)資產(chǎn)清點(diǎn):企業(yè)可通過此舉全面了解資產(chǎn)情況，以更好地對(duì)自身資產(chǎn)進(jìn)行保護(hù)與監(jiān)測(cè)，以確保企業(yè)資產(chǎn)滿足必要的合規(guī)標(biāo)準(zhǔn)。

　　2.風(fēng)險(xiǎn)評(píng)估:風(fēng)險(xiǎn)評(píng)估是資產(chǎn)管理的一個(gè)重要方面，可以幫助企業(yè)評(píng)估每項(xiàng)資產(chǎn)的風(fēng)險(xiǎn)，識(shí)別安全漏洞、潛在威脅以及對(duì)關(guān)鍵資產(chǎn)的安全影響，這些都是合規(guī)法規(guī)中的關(guān)鍵部分。

　　3.安全漏洞管理:識(shí)別運(yùn)行已過時(shí)或存在軟件漏洞的企業(yè)資產(chǎn)，優(yōu)先進(jìn)行補(bǔ)丁管理和更新，這對(duì)維護(hù)網(wǎng)絡(luò)安全法規(guī)的合規(guī)性至關(guān)重要。

　　4.事件響應(yīng):企業(yè)可快速識(shí)別受影響的資產(chǎn)，將其與網(wǎng)絡(luò)隔離，并采取恰當(dāng)?shù)拇胧�減輕其影響。如果沒有妥善的資產(chǎn)管理，事件響應(yīng)的難度會(huì)較大，企業(yè)很有可能難以有效遏制并修復(fù)安全漏洞，這可能會(huì)導(dǎo)致企業(yè)無法遵守合規(guī)并遭受相關(guān)處罰。

　　5.合規(guī):資產(chǎn)管理通常需符合各地和多種不同監(jiān)管標(biāo)準(zhǔn)，如《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》 (PCI DSS)、歐盟的GDPR、中國(guó)的《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等。

　　二. 充分利用端點(diǎn)檢測(cè)與響應(yīng)(EDR)

　　EDR解決方案在以合規(guī)為主的網(wǎng)絡(luò)安全策略中發(fā)揮著關(guān)鍵作用，主要因?yàn)閮牲c(diǎn):首先，EDR解決方案可實(shí)現(xiàn)實(shí)時(shí)監(jiān)測(cè)和可見性，并檢測(cè)高級(jí)威脅與復(fù)雜攻擊，幫助企業(yè)滿足關(guān)于及時(shí)檢測(cè)與威脅響應(yīng)的的合規(guī)性。此外，EDR解決方案助力企業(yè)實(shí)現(xiàn)合規(guī)，必要時(shí)可為事件報(bào)告與法定程序提供證據(jù)。這對(duì)受GDPR等法規(guī)約束的企業(yè)尤為重要(因?yàn)橐�求企業(yè)需詳細(xì)報(bào)告有關(guān)數(shù)據(jù)泄露的情況)。

　　三. 多因素身份驗(yàn)證(MFA)

　　多因素身份驗(yàn)證 (MFA) 除用戶名和密碼外，還設(shè)有額外的安全措施，不僅幫助企業(yè)防御網(wǎng)絡(luò)攻擊，還能幫助企業(yè)滿足合規(guī)要求。以下是MFA如何有效對(duì)抗網(wǎng)絡(luò)攻擊并保證合規(guī)性:

　　1.MFA要求用戶通過額外的身份驗(yàn)證，這能夠降低憑證被盜的風(fēng)險(xiǎn)，并限制已泄露憑證進(jìn)行未經(jīng)授權(quán)的訪問。這對(duì)于遵守需要嚴(yán)格訪問控制的法規(guī)(例如醫(yī)療保健行業(yè)的HIPAA)尤為重要。

　　2.MFA要求每個(gè)賬戶有獨(dú)立的認(rèn)證因素，以防止憑證重復(fù)使用，從而預(yù)防憑證跨多平臺(tái)使用導(dǎo)致?lián)p失的風(fēng)險(xiǎn)，能有效滿足為不同賬戶授權(quán)唯一憑證的合規(guī)要求。

　　3.MFA通過增加額外的步驟和認(rèn)證因素增加暴力破解攻擊的難度，讓攻擊者難以進(jìn)行未經(jīng)授權(quán)訪問。一些合規(guī)標(biāo)準(zhǔn)要求企業(yè)針對(duì)此類攻擊建立防御機(jī)制。

　　4.MFA不會(huì)在虛假登錄頁(yè)面上提供認(rèn)證因素，以此防止攻擊者通過認(rèn)證，從而起到防御網(wǎng)絡(luò)釣魚攻擊的作用。除了增強(qiáng)安全性之外，這也是許多數(shù)據(jù)保護(hù)法規(guī)的重要組成部分。

　　四. 良好的網(wǎng)絡(luò)安全框架必不可缺

　　有效實(shí)施良好的安全網(wǎng)絡(luò)框架不僅可以增強(qiáng)安全性，還能促進(jìn)合規(guī)性。通過以下方法，網(wǎng)絡(luò)安全框架可以幫助企業(yè)更好滿足合規(guī)要求:

　　1.指導(dǎo)與結(jié)構(gòu):為滿足監(jiān)管合規(guī)的要求，網(wǎng)絡(luò)安全框架提供了一種結(jié)構(gòu)化方法來管控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。以NIST網(wǎng)絡(luò)安全框架為例，其由標(biāo)準(zhǔn)、指南和最佳實(shí)踐組成，可幫助組織改善網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。

　　2.基線安全控制:許多網(wǎng)絡(luò)安全框架里涵蓋企業(yè)應(yīng)實(shí)施的基線安全控制措施，通常與各合規(guī)標(biāo)準(zhǔn)規(guī)定的要求一致。

　　3.持續(xù)改進(jìn)措施:出于合規(guī)要求，網(wǎng)絡(luò)安全框架鼓勵(lì)企業(yè)在網(wǎng)絡(luò)安全的實(shí)踐方面進(jìn)行持續(xù)改進(jìn)與定期評(píng)估，幫助企業(yè)及時(shí)識(shí)別不斷演變的威脅并遵守不斷變化的法規(guī)。

　　4.第三方風(fēng)險(xiǎn)管理:網(wǎng)絡(luò)安全框架通常包括管理第三方風(fēng)險(xiǎn)管理指南，這是許多合規(guī)標(biāo)準(zhǔn)的重點(diǎn)領(lǐng)域。

　　5.有跡可循的政策與程序: 由于監(jiān)管合規(guī)通常需提供文檔依據(jù)，大多數(shù)網(wǎng)絡(luò)安全框架建議企業(yè)記錄其網(wǎng)絡(luò)安全政策與程序。

　　可以說，合規(guī)不僅僅是照章辦事，還與識(shí)別與降低風(fēng)險(xiǎn)息息相關(guān)。Veritas建議企業(yè)將合規(guī)性考慮因素納入到網(wǎng)絡(luò)安全策略考量中，以構(gòu)建強(qiáng)有力的安全基礎(chǔ)設(shè)施，在防御威脅的同時(shí)確保合規(guī)性。這樣雙管齊下的措施不僅有助于防御網(wǎng)絡(luò)攻擊，還可以降低合規(guī)風(fēng)險(xiǎn)與影響，幫助企業(yè)更好地應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)威脅和監(jiān)管要求。

　　關(guān)于 Veritas

　　Veritas Technologies是安全多云數(shù)據(jù)管理領(lǐng)域的領(lǐng)導(dǎo)者。超過八萬家企業(yè)級(jí)客戶，包括95%的全球財(cái)富100強(qiáng)企業(yè)，均依靠Veritas確保其數(shù)據(jù)的保護(hù)、可恢復(fù)性和合規(guī)性。Veritas在規(guī)�；�的可靠性方面享有盛譽(yù)，可為企業(yè)提供抵御勒索軟件等網(wǎng)絡(luò)攻擊威脅所需的彈性。Veritas通過統(tǒng)一的平臺(tái)，支持超過800種數(shù)據(jù)源，100多種操作系統(tǒng)，1400多種存儲(chǔ)設(shè)備以及60多類云平臺(tái)。在云級(jí)技術(shù)的支持下，Veritas現(xiàn)正在實(shí)踐其數(shù)據(jù)自治戰(zhàn)略，在提供更大價(jià)值的同時(shí)，降低運(yùn)營(yíng)成本。

　　Veritas中國(guó)官方網(wǎng)站 https://www.veritas.com/zh/cn/

　　Veritas官方微信平臺(tái):VERITAS_CHINA(VERITAS中文社區(qū))