诸子云 | 甲方 ：合规能创造价值吗？防火墙太多怎么管理？

本期为“甲方”2024第二期，统计了2.15-2.29期间的社群动态、甲方话题等。

目前，诸子云认证会员已超过3000人，包括上海、北京、深圳、杭州、武汉、厦门、西南、广州、南京、青岛、苏州、天津、佛山、济南、珠海、台州共16个分会。在2.15-2.29期间，各地分会共计新增了5位甲方专家，人数的持续上升证明了网络安全产业正在蓬勃发展。

关键词：合规、价值、防火墙、管理系统、CIS2.0

Q1：近几年，陆续听到合规人员喊“合规创造价值”的口号，经常琢磨这有啥价值？想请教各位，假设你是个企业老板，你希望合规能给你创造什么价值？

A1：

1.外部监管罚得少，少拿罚单

2.员工按照公司要求办事，减少操作风险

A2：以金融场景为例，某些方面你不合规，没有相关资质，你不能做这门生意。类似大多金融业务场景核心就是3点——钱，牌照（就是合规的类似定位），交易核心技术。紧跟政策方向，提前预判风险并降低，合规问题一旦发生，业务侧影响能不能照常继续开展，管理层影响可能被追责。这是一个类比，牌照其实除了合规，还有拼背景和关系下牌照的因素。这样解释是从这个角度道出我所知的其中一个合规价值。

A3：排除金融、强监管行业的“合规”带来的牌照价值外，还有其他什么价值吗？举个例子，《个人信息保护法》出台后，各行各业的企业做的肯定是层次不齐，监管也不一定能都查到我（罚单、操作风险不一定会发生），那我合不合规、多大程度上合规，从老板角度而言，还有其他什么价值吗？

A4：有效识别企业风险（难，很多判断和识别要做），提出风险消减方案（也难，需要很多行业和实践经验，各种解决方案及其能带来的安全风险消减价值），最低成本最大效果的性价比方案提出（效益最大化）。这样的路径跟合规有一些沾边的地方，比方做等保能带来什么检查和规避一些风险，有监管缓冲等等。但是会更偏管理带来的合规价值一点，这点是我知悉的另外一种合规拥有的价值，从管理诉求考量。

A5：最小代价 = 最小成本 ≈ 降低同等效果所需要付出的成本，这个我认同

A6：我自己前面琢磨，感觉合规创造的主要价值是（1）规范作为最佳实践的沉淀，运用规范可以降本增效；（2）合规可以获得“可信”“认可”，各种所谓的声誉其实最终到底都是“可信”。

A7：从金融、强监管行业来看、说的肯定对，我主要想跳出金融行业看，从老板角度看，合规创造的价值是个啥。比如在其他行业，罚单不是一定有，风险也不是大概率会发生、发生了也能hold住。

A8：所以在民企，老板能支持做个等保，已经算是对安全工作很支持了。

A9：个人看法，合规目前来看最大的价值就是避免行政处罚，行政处罚会影响公司申报各种奖项或者政府补贴项目。不合规有风险，风险嘛，又不是一定发生，风险也有大有小，搞合规还需要很大的投入。

A10：跟安全一样啊，部分行业一些合规的认证可以作为入围的门槛。合规是安全第一步，不然幸苦做出来的业务需要被砍掉。

A11：但应该也不是决定性的，合规不是安全的子集吧。

A12：我理解就如iPhone手机主打“privacy”人设，让众多果粉推崇，所以privacy合规就是给苹果创造了不少价值。虽然国内安卓手机现在privacy也已经做得不错了，但是iPhone的privacy早已深入人心，无可撼动。

A13：规范标准是国家和大型组织制定的，合规等于用户的信任。合规建设能降低信任门槛，有些业务开展本身也需要这些资质什么的。

A14：看企业怎么看，有些安全部门是抓合规的，有些不是，合规有合规部门。

A15：现在第三方律所不就是合规给他们创造了价值吗，还有等保合规不也是养活了等保机构也是价值。

A16：从海外监管视角看，有个形象的比喻：

合规:0 | 1

安全：0-1

或许这更能解释合规的价值，但是合规了不一定安全

A17：我自己想来想去，感觉合规的主要价值是（1）规范作为最佳实践的沉淀，运用规范可以降本增效；（2）合规可以获得“可信”“认可”，各种所谓的声誉其实最终到底都是“可信”。现在老板要做什么产品，发现哪个市场，都离不开安全合规要素，不然抓的就是企业老板。

A18：合规不仅仅只是表面的可信，经营管理，内控，审计，企业风险的三层防线，为什么这么设置，是因为经营为了追求利润，发展速度，扩张，或者是个人利益的违规，腐败，会出现很多实际对企业经营造成重大伤害的操作和实践。作为企业老板，要的不是单纯的快速发展和赚钱，是能够稳步发展，有命赚，也得有命花。从这个角度，看看内控，审计，合规的价值！

A19：个人认为“合规”只是企业各领域的笼统要求，并不指具体岗位或措施，从岗位上来说：会计、审计、税务、财税等岗位均是避免经营走偏，保证合规不能出错，这样价值就有。那安全合规除了保障个人隐私信息、业务风险控制等，确保业务准入产品上市。似乎没其他。价值就这个吧。

A20：合规对应的不仅仅是企业内部风险还要保障企业服务的用户利益与一些政策要求的社会责任，而安全规范主要保护的是企业利益。所以合规创造价值还是能够说得通的，能够在公众、监管与企业这三者中找到平衡。价值不会因为合规而增加，怎么创造，不能总是想安全合规创始新价值。

Q2：各种防火墙兼容的企业级管理系统有哪些国产牌子呢？

A1：你是指防火墙管理系统？

A2：对，各种防火墙的统一管理。

A3：XSOAR

A4：XSOAR有了，用了pa的。

A5：你们有几个品牌的墙？

A6：五个，几十台。

A7：我们用的安博通，支持PA、山石。

A8：还有其他的品牌支持吗，比如juniper、cisco。

A9：我们只用了这两个品牌的墙。

A10：应该依赖于是否开放接口，如果开放，都可以做，只是成本的问题。难点是把拓扑自动生成出来，开哪些墙的策略。

A11：嗯，这个要看墙提供不，不提供就麻烦些。

A12：减少品牌数量？你说的拓扑是网络拓扑？

A13：好多网管都可以生成拓扑了，防火墙自己是无法生成网络拓扑的。

A14：防火墙品牌多没事，防火墙自动化系统可以支持主流品牌，只要把需求输入，系统会根据防火墙的品牌转换成相应的命令。

Q3：大家怎么看CIS Benchmark 2.0？CIS Benchmark 2.0加入一些新内容。

A1：啥时候出的2.0？

A2：去年看Nessus插件已经支持CIS beachmark 2.0检查

A3：我的理解，安全关注的配置项主要以基线为主，基线要求的大部分标准，都是参照CIS。少部分特殊要求，根据自身要求灵活下发。落地方面，技术上通过HIDS来拉数据，管理上通过考核要求下发。当然，所有配置项都是以资产管理的准确性为前提的，尤其是细颗粒度的资产准确性要有保证。

A4：求CIS Benchmark 2.0

A5：可以去官网下载的。

A6：配置管理还包括配置管理的安全标准，就是现在的配置管理有没有安全问题。

A7：个人觉得相较于操作系统、中间件的配置问题，安全工具自身的功能性相关的配置讨论度不多，但这部分可能对于攻防的实际影响可能更大，这个问题本质就是对于安全工具的最佳使用实践。比如HIDS对于webshell检测涉及到多个配置，比如检测目录、文件大小限制、检测超时等配置，但是具体如何配置是最佳实践？

A8：CIS是社区性安全组织，安全配置算是比较权威了，每一项有说明，还对配置安全缓解措施做了ATT&CK缓解措施映射。

A9：CIS的文档很清晰算最佳实践了，导致问题建议都说了，一般人没能力全理解这些配置项；去年自研定制cis配置安全检查工具发现把一个nginx安全配置打开有70项，很多项不是资深运维其实看不懂。

其他甲方话题，请扫码加入诸子云知识星球。

专家会员是诸子云的立身之本，甲方专家的一举一动都能反映出当下的行业趋势、市场脉络、用户需求及应用实践等等。安在新媒体将继续关注专家会员的实时动态，一如既往的向外界输送诸子云甲方社群的最新成果，期望以此来推动更多人关注网络安全，关注甲方专家。

扫码加入知识星球。

扫码加入诸子云。