一直以來(lái)，許多企業(yè)和安全顧問(wèn)比較認(rèn)可的一個(gè)安全解決方案就是合規(guī)，符合標(biāo)準(zhǔn)規(guī)定至少在某種程度上就意味著安全。

但有人認(rèn)為，應(yīng)該把兩者看做并列關(guān)系，而不是因果關(guān)系?；蛘f(shuō)兩者是互相影響的關(guān)系，安全可以有助于合規(guī)，合規(guī)可以是安全的副產(chǎn)品，但安全并不能自動(dòng)成為合規(guī)的副產(chǎn)品。因?yàn)橛袝r(shí)完全在合規(guī)的情況下，也可以是不安全的。

合規(guī)是為了讓企業(yè)達(dá)到一個(gè)既定的標(biāo)準(zhǔn)，表面上給了客戶(hù)或股東一個(gè)滿(mǎn)足整套安全標(biāo)準(zhǔn)的樣子，其實(shí)是把每個(gè)人都拖到了一個(gè)最小的安全級(jí)別。不信就看看最近發(fā)生的 一些嚴(yán)重安全事件，無(wú)論是摩根大通還是塔吉特、家得寶，索尼影業(yè)，他們不都是宣稱(chēng)自己企業(yè)的安全機(jī)制是合規(guī)的嗎?很明顯，這些案例中，要么有些人在撒謊， 要么所謂的“合規(guī)”實(shí)際上是不合規(guī)的。

合規(guī)的問(wèn)題在哪里?

對(duì) 于推動(dòng)合規(guī)的咨詢(xún)顧問(wèn)和培訓(xùn)認(rèn)證行業(yè)來(lái)說(shuō)，如何平衡企業(yè)的業(yè)務(wù)需求和安全機(jī)制是一個(gè)兩難的問(wèn)題。這些行業(yè)是依靠幫助企業(yè)合規(guī)或說(shuō)達(dá)標(biāo)以獲得收入，因此當(dāng)企業(yè)為了其業(yè)務(wù)需求或是成本控制，需要某種程度上的妥協(xié)時(shí)，安全隱患自此產(chǎn)生。同樣，風(fēng)險(xiǎn)控制管理、獨(dú)立的第三方審計(jì)和評(píng)估等工作，都有可能出現(xiàn)類(lèi)似的情 形。

比如PCI標(biāo)準(zhǔn)規(guī)定在線金融服務(wù)需要通過(guò)ASV廠商(經(jīng)認(rèn)證的掃描廠商)執(zhí)行互聯(lián)網(wǎng)環(huán)境的脆弱性掃描，但實(shí)際上在認(rèn)證的掃描廠商名單上，全是付了錢(qián)并證明自己符合掃描標(biāo)準(zhǔn)的廠商。市場(chǎng)雖然很大，但廠商就這幾家。

這并不是在說(shuō)所有的顧問(wèn)公司都只想著拿到支票，而不管客戶(hù)的真實(shí)合規(guī)情況。但表面上通過(guò)合規(guī)，卻在實(shí)際審計(jì)中表現(xiàn)的慘不忍睹的企業(yè)并不少見(jiàn)。出現(xiàn)這種情況，要么是這些企業(yè)向顧問(wèn)撒謊，要么就是顧問(wèn)自己在撒謊。無(wú)論是哪種情況，安全問(wèn)題沒(méi)有解決，最后吃虧的還是企業(yè)。

為什么合規(guī)不等于安全?

年度的合規(guī)審查是一個(gè)不錯(cuò)的矯正問(wèn)題的機(jī)會(huì)，但即使配備了外部的獨(dú)立審計(jì)，企業(yè)在平時(shí)也不能對(duì)內(nèi)部真正的合規(guī)狀態(tài)掉以輕心。

大型企業(yè)在一周內(nèi)就可能會(huì)有許多業(yè)務(wù)、管理方面的調(diào)整，年度的合規(guī)審計(jì)遠(yuǎn)不能滿(mǎn)足動(dòng)態(tài)的變化需求。把過(guò)去取得的靜態(tài)的合規(guī)認(rèn)證，當(dāng)作目前的合規(guī)狀態(tài)是愚蠢的。因此，要經(jīng)常性的檢查內(nèi)部的工作變化，并跟蹤最新的合規(guī)標(biāo)準(zhǔn)。

顧問(wèn)的水準(zhǔn)也是動(dòng)態(tài)變化的，審計(jì)隊(duì)伍中經(jīng)常會(huì)看到?jīng)]有幾年經(jīng)驗(yàn)的年輕畢業(yè)生在執(zhí)行一般標(biāo)準(zhǔn)的審計(jì)。這是因?yàn)?，顧?wèn)公司是要經(jīng)營(yíng)并贏利的，雇傭年輕的畢業(yè)生并訓(xùn)練他們(一般都是相對(duì)基礎(chǔ)的技能)，意味著人力成本的降低。

普通的顧問(wèn)僅僅為了通過(guò)合規(guī)而工作，他們只想讓客戶(hù)簽字確認(rèn)然后進(jìn)行下一項(xiàng)工作。資深顧問(wèn)則會(huì)絕對(duì)確保企業(yè)滿(mǎn)足標(biāo)準(zhǔn)，然后才會(huì)繼續(xù)。高級(jí)顧問(wèn)則要確保企業(yè)超出合規(guī)標(biāo)準(zhǔn)，才算完成工作。

標(biāo)準(zhǔn)本身的問(wèn)題

大多數(shù)合規(guī)標(biāo)準(zhǔn)允許限制合規(guī)范圍。比如，PCI把CDE(卡數(shù)據(jù)環(huán)境)和ISO27001作為合規(guī)標(biāo)準(zhǔn)范圍。這樣做的結(jié)果只是向第三方證明了你的合規(guī)，而不 是考慮整個(gè)環(huán)境的安全。PCI只關(guān)心支付卡的數(shù)據(jù)安全，并沒(méi)有考慮其他(這也可以理解，畢竟是支付行業(yè)寫(xiě)的標(biāo)準(zhǔn))。但問(wèn)題在于，使用PCI合規(guī)標(biāo)準(zhǔn)的企業(yè) 并不是安全的。因?yàn)镻CI合規(guī)只意味著企業(yè)對(duì)支付卡的數(shù)據(jù)處理和存儲(chǔ)是安全的，它并不負(fù)責(zé)企業(yè)客戶(hù)的其他數(shù)據(jù)安全。

理論與現(xiàn)實(shí)的脫節(jié)就此發(fā)生。如果企業(yè)一個(gè)較不重要的網(wǎng)絡(luò)被黑客入侵，那么即使保存在安全環(huán)境下的CDE中的數(shù)據(jù)，也最終會(huì)被黑客訪問(wèn)到。

標(biāo)準(zhǔn)并不獎(jiǎng)勵(lì)過(guò)分合規(guī)。大多數(shù)標(biāo)準(zhǔn)只是通過(guò)和不通過(guò)，你要么合規(guī)要么不合規(guī)。這也就意味著，企業(yè)往往只想符合最低的標(biāo)準(zhǔn)。而且標(biāo)準(zhǔn)的設(shè)計(jì)一定是大部分企業(yè)可以達(dá)到的，過(guò)高的話，人們要么不去遵守要么干脆撒謊。標(biāo)準(zhǔn)的到底應(yīng)該定高還是定低一些的爭(zhēng)論一直就沒(méi)有停止過(guò)。

合規(guī)通常還被當(dāng)作是對(duì)安全投入的回饋，企業(yè)在安全上花了錢(qián)，自然想得到一個(gè)認(rèn)證標(biāo)志，畢竟董事會(huì)需要知道他們的錢(qián)沒(méi)有打水漂?？蓪?shí)際上，這些投入僅僅是滿(mǎn)足 了合規(guī)標(biāo)準(zhǔn)，并不意味著安全得到了真正的改善。當(dāng)然，把錢(qián)投入到純粹的安全環(huán)境上可以增加安全，但這一點(diǎn)很難展示給安全部門(mén)之外的人，更不用說(shuō)企業(yè)的管理 者和投資者了，他們最想看到的是投入所帶來(lái)的有形的價(jià)值。

結(jié)論

現(xiàn)在問(wèn)題來(lái)了，合規(guī)不利于安全嗎?

當(dāng)然不是這樣。上文所表達(dá)的意思是：“為了合規(guī)而合規(guī)”對(duì)提高安全性的意義不大，合規(guī)不等于安全。但合規(guī)可以作為一個(gè)框架來(lái)幫助人們理解安全，指導(dǎo)安全工作。

點(diǎn)評(píng)

什么程度才是安全?這個(gè)問(wèn)題太難有一致的答案。因此為了較好達(dá)成一致，合規(guī)方法有所幫助。當(dāng)然，如果僅把合規(guī)作為唯一衡量準(zhǔn)則，當(dāng)然不利于安全。

合 規(guī)和安全就想體檢報(bào)告和身體健康程度，不能說(shuō)體檢合格就肯定健康，相信一個(gè)沒(méi)得過(guò)重病的人也不一定體檢合格。企業(yè)安全是保障，投入就是成本，在不同行業(yè)不 同時(shí)期安全要考慮的是不一樣的，是一個(gè)常態(tài)化的過(guò)程，不是無(wú)限的投入就是好，也不是合規(guī)了就是好，從上到下要理解、支持，并要找一個(gè)平衡，從措施的有效性 來(lái)衡量。

最后，為了合規(guī)而合規(guī)是無(wú)法保障安全的，必須把合規(guī)工作作為安全的起點(diǎn)，不斷把技術(shù)和管理落到實(shí)處，并不斷提升員工安全意識(shí)，才能保障長(zhǎng)期的安全。CS論壇

關(guān)注網(wǎng)絡(luò)空間安全(Cyber Security)，解讀趨勢(shì)前瞻，聚焦管理策略、體系指引，為企業(yè)、機(jī)構(gòu)安全規(guī)劃與實(shí)施提供咨詢(xún)建議。