经常有人会对合规持暧昧态度，原因非常简单：合规属于是与非的性质，而现实世界则不然。没有人愿意听你解释说我们的安全管理“有点儿合规”，但事实上大部分情况的确如此。不信我们就来设计一些合规调查的场景，看看问题究竟是怎么样产生的：

问：你们做完全磁盘加密了吗？

答：唔，得看怎么说。我们有些人在笔记本电脑上做的整盘加密，但他们的加密口令可能与windows系统同步，所以如果电脑丢了的话，我不确定整盘加密又有什么实际作用。如果说在服务器上做全盘加密的话，最新的一批服务器的确做了。其余的服务器会在下一次硬件更新的时候做，我想大概要到2016年吧。

问：那到底是yes还是no？

答：好吧，我觉得是yes。

另一种场景：

问：你们做禁止用户访问规程了吗？

答：看怎么说了。文件柜里的确放着相关的规程，但我们并不确定有多少人员在用。这个虽然规程很烂，但如果审计人员问的话，回答是yes。

甚至是这样：

问：你们有web应用防火墙吗？

答：没有吧……哦？我们有？这到是头一次听说。好的，我们的确在某个地方布置了WAF。什么牌子的？好像是网神的吧，也可能是梭子鱼的？……

问：你们的应用程序都做漏洞检测了吗？

答：得看你说的“检测”、“应用程序”和“漏洞”的定义是什么了。我们使用了不同的方法，检测我们的应用程序。所有的漏洞都检测了吗？那可能没有。多长时间检测一次？在应用程序发布前，开发阶段时检测过，要么除非是紧急情况，否则是不做检测的。

合规的状态是模糊不清和动态变化的。任何你现在认为对的事情，也许下个星期就有所变化。“我们有83%的服务器是合规的，符合漏洞级别的需求，其他的就不好说了。”

合规评估的关键要靠评估人和与之合作的工作人员，以及客观的评估能力，而不是提几个问题那么简单。因为回答问题的人，会尽量回答yes，而不是no。所以，提问时要尽量避免非黑即白。

合规还是不合规？还是不要这样提问了吧。