合规还是不合规?这是一个问题
作者:星期一, 十二月 15, 20140

0

经常有人会对合规持暧昧态度,原因非常简单:合规属于是与非的性质,而现实世界则不然。没有人愿意听你解释说我们的安全管理“有点儿合规”,但事实上大部分情况的确如此。不信我们就来设计一些合规调查的场景,看看问题究竟是怎么样产生的:

问:你们做完全磁盘加密了吗?

答:唔,得看怎么说。我们有些人在笔记本电脑上做的整盘加密,但他们的加密口令可能与windows系统同步,所以如果电脑丢了的话,我不确定整盘加密又有什么实际作用。如果说在服务器上做全盘加密的话,最新的一批服务器的确做了。其余的服务器会在下一次硬件更新的时候做,我想大概要到2016年吧。

问:那到底是yes还是no?

答:好吧,我觉得是yes。

另一种场景:

问:你们做禁止用户访问规程了吗?

答:看怎么说了。文件柜里的确放着相关的规程,但我们并不确定有多少人员在用。这个虽然规程很烂,但如果审计人员问的话,回答是yes。

甚至是这样:

问:你们有web应用防火墙吗?

答:没有吧……哦?我们有?这到是头一次听说。好的,我们的确在某个地方布置了WAF。什么牌子的?好像是网神的吧,也可能是梭子鱼的?……

问:你们的应用程序都做漏洞检测了吗?

答:得看你说的“检测”、“应用程序”和“漏洞”的定义是什么了。我们使用了不同的方法,检测我们的应用程序。所有的漏洞都检测了吗?那可能没有。多长时间检测一次?在应用程序发布前,开发阶段时检测过,要么除非是紧急情况,否则是不做检测的。

合规的状态是模糊不清和动态变化的。任何你现在认为对的事情,也许下个星期就有所变化。“我们有83%的服务器是合规的,符合漏洞级别的需求,其他的就不好说了。”

合规评估的关键要靠评估人和与之合作的工作人员,以及客观的评估能力,而不是提几个问题那么简单。因为回答问题的人,会尽量回答yes,而不是no。所以,提问时要尽量避免非黑即白。

合规还是不合规?还是不要这样提问了吧。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章