「安全性」和「合規性」詞彙通常互換使用。但是,它們是唯一且不同的概念。

「安全性」(通常視為資訊安全性) 通常被定義為可供實作的一組技術、實體和管理控制,以提供機密性、完整性和可用性。例如,您可以透過鎖定哪些帳戶可以登入主機以及透過何種方式登入 (SSH、Direct Console 等) 來保護主機。相較之下,「合規性」是為了滿足不同法規架構所建立的最低控制所必需的一系列要求,這些監管架構對任何特定類型的技術、廠商或組態提供有限的指導。例如,支付卡產業 (PCI) 已建立安全性準則來協助組織主動保護客戶的帳戶資料。

「安全性」降低了資料竊取、網路攻擊或未經授權存取的風險,而「合規性」則證明了安全性控制已到位 (通常在定義的時間表內)。「安全性」主要在設計決策中概略列出,並在技術組態中反白顯示。「合規性」側重於對應安全性控制與特定需求之間的關聯性。合規性對應提供了一個集中式視圖,可列出許多必需的安全性控制。透過包括根據 NIST、PCI、FedRAMP、HIPAA 等網域所述的每個安全性控制的相應合規性引用來進一步詳細說明這些控制。

有效的網路安全和合規性計畫建立在三個核心上:人員、流程和技術。一般的誤解是,僅靠技術可以解決您的所有網路安全需求。技術確實在資訊安全性計畫的開發和執行中發揮著重要的作用。但是,沒有流程和程序、感知和訓練的技術會在您的組織內建立漏洞。

定義安全性與合規性策略時,請謹記下列事項:

  • 人們需要一般的感知和訓練,而 IT 人員則需要特定的訓練。
  • 流程定義了如何使用組織的活動、角色和說明文件來降低風險。只有當人們正確地遵循流程時,流程才會有效。
  • 技術可用於防止或減少網路安全風險對您組織的影響。使用哪種技術取決於您組織的風險接受程度。

VMware 提供的合規性套件中包含《稽核指南》和《產品適用性指南》,有助於縮小合規性和法規需求與實作指南之間的差距。如需詳細資訊,請參閱 https://core.vmware.com/compliance

合規性詞彙表

「合規性」說明了對於理解非常重要的特定詞彙和定義。

表 1. 合規性詞彙
詞彙 定義

CJIS

刑事司法資訊服務。在合規性方面,CJIS 制定了一項安全性原則,其規定了地方、州和聯邦刑事司法和執法機構如何採取安全預防措施來保護敏感資訊,例如指紋和犯罪背景。

DISA STIG

防禦資訊系統代理機構安全性技術實作指南。防禦資訊系統代理機構 (DISA) 是負責維護國防部 (DoD) IT 基礎結構的安全性狀態的實體。DISA 透過開發和使用安全性技術實作指南 (「STIG」) 來完成此工作。

FedRAMP

聯邦風險和授權管理計畫。FedRAMP 是一項政府範圍的計畫,可以為雲端產品和服務的安全性評估、授權和持續監控提供標準化方法。

HIPAA

健康保險流通與責任法案。HIPAA 於 1996 年通過國會表決,其功能如下:

  • 可讓數百萬美國工作者及其家屬在更換工作或丟失工作時能夠轉移和繼續享有醫療保險。
  • 減少醫療保健欺詐和濫用
  • 規定業界範圍內有關電子帳單及其他流程的醫療保健資訊標準
  • 需要保護和保密處理受保護的健康資訊

後一個項目對《vSphere 安全性》說明文件最為重要。

NCCoE

國家網路安全卓越中心。NCCoE 是一家美國政府組織,負責針對美國企業遇到的網路安全問題制定和公開分享解決方案。該中心由來自網路安全技術公司、其他聯邦機構和學術界的人組成,以解決每個問題。

NIST

國家標準與技術研究院。NIST 成立於 1901 年,是美國商務部內部的一個非監管聯邦機構。NIST 的使命是透過以提高經濟安全性和改善生活質量的方式推進測量科學、標準和技術來倡導美國的創新和產業競爭力。

PAG

產品適用性指南。為正在考慮公司解決方案以協助他們滿足合規性需求的組織提供常規指導的一份文件。

PCI DSS

支付卡產業資料安全標準。一組安全標準,旨在確保所有接受、處理、儲存或傳輸信用卡資訊的所有公司都能維持安全的環境。

VVD/VCF 合規性解決方案

VMware Validated Design/VMware Cloud Foundation。VMware Validated Design 提供全面且經過廣泛測試的藍圖,以建置和運作軟體定義資料中心。VVD/VCF 合規性解決方案使客戶能夠滿足多個政府和行業法規的合規性需求。