安全与合规这两个术语通常可以互换。但它们又是完全不同的概念。

安全性,通常被理解为信息安全,一般定义为用于实现保密性、完整性和可用性的一套技术、物理和管理控件。例如,通过锁定可登录的帐户及规定其登录方式(SSH、直接控制台等)保证主机的安全。相比之下,合规性是为满足不同监管框架建立的最小控件所需的一组要求,该框架对任何特定类型的技术、供应商或配置提供有限的指导。例如,支付卡行业 (PCI) 建立了安全准则,帮助组织主动地保护客户帐户数据。

安全性可减少数据被盗、计算机攻击或未经授权访问的风险,而合规性通常在定义的时间表内证明安全控件已就位。安全性主要在设计决策中概述,在技术配置中突显。合规性专注于映射安全控件和特定要求之间的关联。合规性映射提供了集中视图,以列出多个所需的安全控件。通过包括每个安全控件各自的合规性引文(按 NIST、PCI、FedRAMP、HIPAA 等域显示)进一步细化这些控件。

有效的网络安全和合规程序都使用三个支柱构建:人、流程和技术。一种普遍的误解是仅凭技术可以解决所有网络安全需求。技术在信息安全程序的开发和执行中发挥了巨大的重要作用。但是,如果技术脱离了过程和步骤、认知和培训,则将造成组织中的漏洞。

在定义安全和合规策略时,请记住以下信息:

  • 用户需要常规认知和培训,而 IT 人员则需要专业培训。
  • 过程定义如何使用您组织的活动、角色和文档来降低风险。只有在人们正确遵循过程时,过程才能有效发挥作用。
  • 可以使用技术防止或减少对您组织网络安全风险造成的影响。要使用哪种技术取决于您组织的风险接受级别。

VMware 提供的合规性工具包同时包含《审核指南》和《产品适用性指南》,有助于消除合规性与法规要求与实施指南之间的差距。有关详细信息,请参见https://core.vmware.com/compliance

合规性术语表

合规性引入了一些必须了解的特定术语和定义。

表 1. 合规性术语
术语 定义

CJIS

刑事司法信息服务。在合规性环境中,CJIS 制定安全策略,规范当地、州和联邦刑事司法和法律实施机构必须采取安全措施来保护敏感信息,例如指纹和犯罪背景。

DISA STIG

美国国防信息系统局安全技术实施指南。美国国防信息系统局 (Defense Information Systems Agency, DISA) 是负责维护美国国防部 (DoD) IT 基础架构安全的实体。DISA 通过制定和使用《安全技术实施指南》(即 STIG)来完成这一任务。

FedRAMP

联邦风险和授权管理计划。FedRAMP 是为云产品和服务提供安全评估、授权和持续监控的标准化方法的政府级计划。

HIPAA

健康保险携带和责任法案。由国会在 1996 年通过,HIPAA 具有以下作用:

  • 使数百万个美国员工及其家庭能够在其工作变动或失业时转移和继续享受健康保险
  • 减少了医疗保险欺诈和滥用
  • 强制执行电子计费和其他过程有关医疗保险信息的行业标准
  • 需要对受保护的健康信息进行保护和保密处理

后者对于 vSphere 安全性文档最重要。

NCCoE

国家网络安全卓越中心。NCCoE 是一个美国政府组织,负责制定和公开共享美国公司遇到的网络安全问题的解决方案。该中心由来自网络安全技术公司、其他联邦机构和学术机构的人员组成,可以解决各种问题。

NIST

国家标准技术局。NIST 成立于 1901 年,是美国商业部的非监管联邦机构。NIST 的使命是通过推进测量科学、标准和技术,提高经济安全性并提升我们生活的质量,以支持美国的创新和行业竞争力。

PAG

产品适用性指南。本文档为正在考虑公司解决方案的组织提供一般准则,帮助他们解决合规性要求。

PCI DSS

支付卡行业数据安全标准。一组安全标准,旨在确保接受、处理、存储或传输信用卡信息的所有公司都能保有安全的环境。

VVD/VCF 合规性解决方案

VMware Validated Design/VMware Cloud Foundation。VMware Validated Design 提供全面和广泛的测试蓝图来创建和运行软件定义的数据中心。VVD/VCF 合规性解决方案使客户能够满足适用于多个政府和行业法规的合规性要求。