對于企業而言，合規是安全防護中最重要的基礎工作。合規基線是信息系統必須滿足的最低安全要求。安全建設往往需要在所付出的成本與所能夠承受的風險之間進行平衡, 而合規基線正是這個平衡的分界線。如果滿足不了最基本的安全需求, 也就無法承受由此帶來的安全風險。如今，合規基線己經成為安全建設的首要步驟, 同時也是進行安全評估、解決安全問題的先決條件。

那么合規基線工作具體該如何籌備建設呢？又該如何利用好自動化的工具做好基線管理工作呢？筆者有六大建議，能夠助力企業滿足監管單位合規要求。

在思想上重視合規基線建設

合規基線與公認的標準內容是一致的，這意味著滿足合規基線就是遵守法律法規。信息系統在現代企業中扮演著至關重要的角色，因此滿足合規要求也同樣至關重要。信息系統的合規建設是指按照公認的標準實施和管理信息技術，包括技術標準以及如何在業務操作過程中使用該技術標準。

如果不知道哪些法律法規適用于現在的業務系統，就無法正確按照法律法規進行合規建設。例如，等級保護要求對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級進行響應、處置。

企業可以從多個來源獲得可用的合規標準。例如，CIS公布了三十多個基線標準，各行業監管單位也發布了許多行業合規要求。企業可以根據組織的具體要求定制標準，關鍵在于現在就要開始。

全面了解IT環境

企業的IT環境直接影響合規基線的設計。兩種常見的環境類型是:

（1）同構環境， 由標準化的供應商、模型和配置組成，采用互相兼容的各個子系統

（2）異構環境，云主機，使用了不同制造商生產的計算機和系統組成的網絡環境。

一般來說，對于同構環境，合規建設的成本要低一些。因為同構環境包含更少的技術類型、更少的技術供應商和更少的技術版本。這意味著合規建設需要更少的策略，每個系統的合規基線和安全成本更低，但是單個供應商對整體IT環境安全的影響也更大。

此外，企業應該安全地配置整個企業網絡各個環節的安全基線，而不是只配置操作系統。應該特別注意面向互聯網的服務器，也不要忽視虛擬化、云基礎架構、容器、Web服務器和數據庫服務器。

建立安全問責制

問責制包括對組織角色和責任的定義，其中規定了個人負責保護哪些資產以及誰有權做出決定。問責制需要從高管開始，將IT策略合規建設轉換為業務風險而不是技術風險。這有助于讓企業高管更加積極參與。監管單位或者企業內部審核員會根據授權的角色和指定的責任，云服務器，仔細核查合規活動的執行情況。安全及企業負責人主要扮演兩個角色：

（1）數據/系統所有者。所有者是管理團隊的一員，負責數據的使用及其最終維護。

（2）數據/系統保管人。具體的保管角色可能包括系統管理員、安全分析師、內部審計、法律顧問等等。

安全合規建設應與業務發展保持一致

當安全和業務流程保持一致時，成本會更低，效果也會更好。當擁有高層的支持時，可以使用自上而下的方法。這種方法的優勢在于可以協同有效地利用資源（包括人員），業務流程和安全技術一起工作來共同管理風險和成本。

相反，如果管理層沒有為安全方案指定大的方向，而只是設定了一些諸如數據防泄漏、端點保護、主機入侵檢測等安全產品的部署要求，合規建設就僅僅只能滿足修復的需求，而無法成為具有長期收益的建設工程。

用自動化做合規基線

企業IT資產在不斷地發展和增長，對于安全運維人員來說，人工定期檢查用戶帳戶或系統配置是不切實際的，因此自動化合規基線檢查是確保定期評估足夠數量資產的唯一合理方法。

自動化使安全人員能夠更好地驗證合規性，因為它能自動完成對所有步驟和所有控件的測試，而沒有人為的主觀性、偏見或數據的收集和分析造成的錯誤。自動化通過在多臺機器上應用以前定義的策略和模板來實現這一點。它還減少了投入安全檢測的人力、物力資源，并通過實時安全報告加快了發現和糾正問題的速度。自動化合規檢測收集的數據還可以幫助組織改進業務流程。使用青藤合規基線管理解決方案，通過靈活可配置的任務式的掃描機制，用戶可快捷創建基線掃描任務。根據檢測需要，自行選擇需要掃描的主機和基線。在完成檢測后，檢查結果將以“檢查項視圖”和“主機視圖”兩種方式可視化呈現，滿足企業個性化的檢測需求。

一鍵任務化檢測

定期監控合規策略配置