Veritas：四个着手点，帮助企业将合规性纳入网络安全基础架构

当下很多企业积极拓展自己的海外业务，在全球化发展的过程中，Veritas提醒企业将合规性作为网络安全战略的关键考虑因素。目前，监管合规已不再是网络安全的附加项，而是其中不可或缺的关键一环，对于数据保护和风险管理来说至关重要。企业一不小心，就会身陷网络攻击、罚款与诉讼等困境。

世界各地对于合规都有着严格的要求，且不尽相同。例如，在欧盟地区实行的欧盟通用数据保护法规GDPR，如果企业未履行该条例，将会导致严重的法律后果，其中重大违反(Most Severe Infringement)所遭致的行政罚款的上限是2000万欧元或该企业上一财年全球年度营业总额的4%。在中国，《数据安全法》《个人信息保护法》等法律法规也对企业的数据合规提出严格要求，处罚力度也从罚款到停业整顿、吊销执照不等。

很多时候，不是企业不愿遵守各地的合规要求，而是企业在多地区发展的过程中缺少完善的数据管理措施，从而导致无法确保自身网络设施符合发展所在地的相应合规规定。那么企业如何确保网络基础设施符合相应法规的基础?在合规方面，应该从哪些方面着手?

一. 首先需了解企业资产管理

资产管理是企业确保其基础设施是否符合相应法规的基础，原因如下:

1.企业资产清点:企业可通过此举全面了解资产情况，以更好地对自身资产进行保护与监测，以确保企业资产满足必要的合规标准。

2.风险评估:风险评估是资产管理的一个重要方面，可以帮助企业评估每项资产的风险，识别安全漏洞、潜在威胁以及对关键资产的安全影响，这些都是合规法规中的关键部分。

3.安全漏洞管理:识别运行已过时或存在软件漏洞的企业资产，优先进行补丁管理和更新，这对维护网络安全法规的合规性至关重要。

4.事件响应:企业可快速识别受影响的资产，将其与网络隔离，并采取恰当的措施减轻其影响。如果没有妥善的资产管理，事件响应的难度会较大，企业很有可能难以有效遏制并修复安全漏洞，这可能会导致企业无法遵守合规并遭受相关处罚。

5.合规:资产管理通常需符合各地和多种不同监管标准，如《支付卡行业数据安全标准》 (PCI DSS)、欧盟的GDPR、中国的《数据安全法》《个人信息保护法》等。

二. 充分利用端点检测与响应(EDR)

EDR解决方案在以合规为主的网络安全策略中发挥着关键作用，主要因为两点:首先，EDR解决方案可实现实时监测和可见性，并检测高级威胁与复杂攻击，帮助企业满足关于及时检测与威胁响应的的合规性。此外，EDR解决方案助力企业实现合规，必要时可为事件报告与法定程序提供证据。这对受GDPR等法规约束的企业尤为重要(因为要求企业需详细报告有关数据泄露的情况)。

三. 多因素身份验证(MFA)

多因素身份验证 (MFA) 除用户名和密码外，还设有额外的安全措施，不仅帮助企业防御网络攻击，还能帮助企业满足合规要求。以下是MFA如何有效对抗网络攻击并保证合规性:

1.MFA要求用户通过额外的身份验证，这能够降低凭证被盗的风险，并限制已泄露凭证进行未经授权的访问。这对于遵守需要严格访问控制的法规(例如医疗保健行业的HIPAA)尤为重要。

2.MFA要求每个账户有独立的认证因素，以防止凭证重复使用，从而预防凭证跨多平台使用导致损失的风险，能有效满足为不同账户授权唯一凭证的合规要求。

3.MFA通过增加额外的步骤和认证因素增加暴力破解攻击的难度，让攻击者难以进行未经授权访问。一些合规标准要求企业针对此类攻击建立防御机制。

4.MFA不会在虚假登录页面上提供认证因素，以此防止攻击者通过认证，从而起到防御网络钓鱼攻击的作用。除了增强安全性之外，这也是许多数据保护法规的重要组成部分。

四. 良好的网络安全框架必不可缺

有效实施良好的安全网络框架不仅可以增强安全性，还能促进合规性。通过以下方法，网络安全框架可以帮助企业更好满足合规要求:

1.指导与结构:为满足监管合规的要求，网络安全框架提供了一种结构化方法来管控网络安全风险。以NIST网络安全框架为例，其由标准、指南和最佳实践组成，可帮助组织改善网络安全风险管理。

2.基线安全控制:许多网络安全框架里涵盖企业应实施的基线安全控制措施，通常与各合规标准规定的要求一致。

3.持续改进措施:出于合规要求，网络安全框架鼓励企业在网络安全的实践方面进行持续改进与定期评估，帮助企业及时识别不断演变的威胁并遵守不断变化的法规。

4.第三方风险管理:网络安全框架通常包括管理第三方风险管理指南，这是许多合规标准的重点领域。

5.有迹可循的政策与程序: 由于监管合规通常需提供文档依据，大多数网络安全框架建议企业记录其网络安全政策与程序。

可以说，合规不仅仅是照章办事，还与识别与降低风险息息相关。Veritas建议企业将合规性考虑因素纳入到网络安全策略考量中，以构建强有力的安全基础设施，在防御威胁的同时确保合规性。这样双管齐下的措施不仅有助于防御网络攻击，还可以降低合规风险与影响，帮助企业更好地应对不断变化的网络威胁和监管要求。

关于 Veritas

Veritas Technologies是安全多云数据管理领域的领导者。超过八万家企业级客户，包括95%的全球财富100强企业，均依靠Veritas确保其数据的保护、可恢复性和合规性。Veritas在规模化的可靠性方面享有盛誉，可为企业提供抵御勒索软件等网络攻击威胁所需的弹性。Veritas通过统一的平台，支持超过800种数据源，100多种操作系统，1400多种存储设备以及60多类云平台。在云级技术的支持下，Veritas现正在实践其数据自治战略，在提供更大价值的同时，降低运营成本。

Veritas中国官方网站 https://www.veritas.com/zh/cn/

Veritas官方微信平台:VERITAS_CHINA(VERITAS中文社区)