世界各地對于合規(guī)都有著嚴格的要求，且不盡相同。例如，在歐盟地區(qū)實行的歐盟通用數(shù)據(jù)保護法規(guī)GDPR，如果企業(yè)未履行該條例，將會導致嚴重的法律后果，其中重大違反(Most Severe Infringement)所遭致的行政罰款的上限是2000萬歐元或該企業(yè)上一財年全球年度營業(yè)總額的4%。在中國，《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)也對企業(yè)的數(shù)據(jù)合規(guī)提出嚴格要求，處罰力度也從罰款到停業(yè)整頓、吊銷執(zhí)照不等。

　　很多時候，不是企業(yè)不愿遵守各地的合規(guī)要求，而是企業(yè)在多地區(qū)發(fā)展的過程中缺少完善的數(shù)據(jù)管理措施，從而導致無法確保自身網(wǎng)絡(luò)設(shè)施符合發(fā)展所在地的相應(yīng)合規(guī)規(guī)定。那么企業(yè)如何確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施符合相應(yīng)法規(guī)的基礎(chǔ)?在合規(guī)方面，應(yīng)該從哪些方面著手?

　　一. 首先需了解企業(yè)資產(chǎn)管理

　　資產(chǎn)管理是企業(yè)確保其基礎(chǔ)設(shè)施是否符合相應(yīng)法規(guī)的基礎(chǔ)，原因如下:

　　1.企業(yè)資產(chǎn)清點:企業(yè)可通過此舉全面了解資產(chǎn)情況，以更好地對自身資產(chǎn)進行保護與監(jiān)測，以確保企業(yè)資產(chǎn)滿足必要的合規(guī)標準。

　　2.風險評估:風險評估是資產(chǎn)管理的一個重要方面，可以幫助企業(yè)評估每項資產(chǎn)的風險，識別安全漏洞、潛在威脅以及對關(guān)鍵資產(chǎn)的安全影響，這些都是合規(guī)法規(guī)中的關(guān)鍵部分。

　　3.安全漏洞管理:識別運行已過時或存在軟件漏洞的企業(yè)資產(chǎn)，優(yōu)先進行補丁管理和更新，這對維護網(wǎng)絡(luò)安全法規(guī)的合規(guī)性至關(guān)重要。

　　4.事件響應(yīng):企業(yè)可快速識別受影響的資產(chǎn)，將其與網(wǎng)絡(luò)隔離，并采取恰當?shù)拇胧�減輕其影響。如果沒有妥善的資產(chǎn)管理，事件響應(yīng)的難度會較大，企業(yè)很有可能難以有效遏制并修復安全漏洞，這可能會導致企業(yè)無法遵守合規(guī)并遭受相關(guān)處罰。

　　5.合規(guī):資產(chǎn)管理通常需符合各地和多種不同監(jiān)管標準，如《支付卡行業(yè)數(shù)據(jù)安全標準》 (PCI DSS)、歐盟的GDPR、中國的《數(shù)據(jù)安全法》《個人信息保護法》等。

　　二. 充分利用端點檢測與響應(yīng)(EDR)

　　EDR解決方案在以合規(guī)為主的網(wǎng)絡(luò)安全策略中發(fā)揮著關(guān)鍵作用，主要因為兩點:首先，EDR解決方案可實現(xiàn)實時監(jiān)測和可見性，并檢測高級威脅與復雜攻擊，幫助企業(yè)滿足關(guān)于及時檢測與威脅響應(yīng)的的合規(guī)性。此外，EDR解決方案助力企業(yè)實現(xiàn)合規(guī)，必要時可為事件報告與法定程序提供證據(jù)。這對受GDPR等法規(guī)約束的企業(yè)尤為重要(因為要求企業(yè)需詳細報告有關(guān)數(shù)據(jù)泄露的情況)。

　　三. 多因素身份驗證(MFA)

　　多因素身份驗證 (MFA) 除用戶名和密碼外，還設(shè)有額外的安全措施，不僅幫助企業(yè)防御網(wǎng)絡(luò)攻擊，還能幫助企業(yè)滿足合規(guī)要求。以下是MFA如何有效對抗網(wǎng)絡(luò)攻擊并保證合規(guī)性:

　　1.MFA要求用戶通過額外的身份驗證，這能夠降低憑證被盜的風險，并限制已泄露憑證進行未經(jīng)授權(quán)的訪問。這對于遵守需要嚴格訪問控制的法規(guī)(例如醫(yī)療保健行業(yè)的HIPAA)尤為重要。

　　2.MFA要求每個賬戶有獨立的認證因素，以防止憑證重復使用，從而預防憑證跨多平臺使用導致?lián)p失的風險，能有效滿足為不同賬戶授權(quán)唯一憑證的合規(guī)要求。

　　3.MFA通過增加額外的步驟和認證因素增加暴力破解攻擊的難度，讓攻擊者難以進行未經(jīng)授權(quán)訪問。一些合規(guī)標準要求企業(yè)針對此類攻擊建立防御機制。

　　4.MFA不會在虛假登錄頁面上提供認證因素，以此防止攻擊者通過認證，從而起到防御網(wǎng)絡(luò)釣魚攻擊的作用。除了增強安全性之外，這也是許多數(shù)據(jù)保護法規(guī)的重要組成部分。

　　四. 良好的網(wǎng)絡(luò)安全框架必不可缺

　　有效實施良好的安全網(wǎng)絡(luò)框架不僅可以增強安全性，還能促進合規(guī)性。通過以下方法，網(wǎng)絡(luò)安全框架可以幫助企業(yè)更好滿足合規(guī)要求:

　　1.指導與結(jié)構(gòu):為滿足監(jiān)管合規(guī)的要求，網(wǎng)絡(luò)安全框架提供了一種結(jié)構(gòu)化方法來管控網(wǎng)絡(luò)安全風險。以NIST網(wǎng)絡(luò)安全框架為例，其由標準、指南和最佳實踐組成，可幫助組織改善網(wǎng)絡(luò)安全風險管理。

　　2.基線安全控制:許多網(wǎng)絡(luò)安全框架里涵蓋企業(yè)應(yīng)實施的基線安全控制措施，通常與各合規(guī)標準規(guī)定的要求一致。

　　3.持續(xù)改進措施:出于合規(guī)要求，網(wǎng)絡(luò)安全框架鼓勵企業(yè)在網(wǎng)絡(luò)安全的實踐方面進行持續(xù)改進與定期評估，幫助企業(yè)及時識別不斷演變的威脅并遵守不斷變化的法規(guī)。

　　4.第三方風險管理:網(wǎng)絡(luò)安全框架通常包括管理第三方風險管理指南，這是許多合規(guī)標準的重點領(lǐng)域。

　　5.有跡可循的政策與程序: 由于監(jiān)管合規(guī)通常需提供文檔依據(jù)，大多數(shù)網(wǎng)絡(luò)安全框架建議企業(yè)記錄其網(wǎng)絡(luò)安全政策與程序。

　　可以說，合規(guī)不僅僅是照章辦事，還與識別與降低風險息息相關(guān)。Veritas建議企業(yè)將合規(guī)性考慮因素納入到網(wǎng)絡(luò)安全策略考量中，以構(gòu)建強有力的安全基礎(chǔ)設(shè)施，在防御威脅的同時確保合規(guī)性。這樣雙管齊下的措施不僅有助于防御網(wǎng)絡(luò)攻擊，還可以降低合規(guī)風險與影響，幫助企業(yè)更好地應(yīng)對不斷變化的網(wǎng)絡(luò)威脅和監(jiān)管要求。

　　關(guān)于 Veritas

　　Veritas Technologies是安全多云數(shù)據(jù)管理領(lǐng)域的領(lǐng)導者。超過八萬家企業(yè)級客戶，包括95%的全球財富100強企業(yè)，均依靠Veritas確保其數(shù)據(jù)的保護、可恢復性和合規(guī)性。Veritas在規(guī)�；�的可靠性方面享有盛譽，可為企業(yè)提供抵御勒索軟件等網(wǎng)絡(luò)攻擊威脅所需的彈性。Veritas通過統(tǒng)一的平臺，支持超過800種數(shù)據(jù)源，100多種操作系統(tǒng)，1400多種存儲設(shè)備以及60多類云平臺。在云級技術(shù)的支持下，Veritas現(xiàn)正在實踐其數(shù)據(jù)自治戰(zhàn)略，在提供更大價值的同時，降低運營成本。

　　Veritas中國官方網(wǎng)站 https://www.veritas.com/zh/cn/

　　Veritas官方微信平臺:VERITAS_CHINA(VERITAS中文社區(qū))