补偿性控制

Q: 补偿性控制 是什么?

在无法实施主要或必需控制时,采用替代性保障措施,以提供同等级别的保护。 它属于网络安全的 防御与运营 分类。

Q: 如何防御 补偿性控制?

针对 补偿性控制 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

补偿性控制是什么?

补偿性控制在无法实施主要或必需控制时,采用替代性保障措施,以提供同等级别的保护。

补偿性控制是在组织无法采用规定控制满足某项具体安全要求时,通过其他机制实现等效风险降低的措施。PCI DSS、ISO/IEC 27001 和 NIST 等框架对其有明确认可,必须进行文档化、风险评估并定期复核。常见示例包括围绕无法打补丁的传统系统实施严格网络分段,或在尚未具备多因素认证条件时加强监控。有效的补偿性控制可审计、可证明等效于原始要求,并且具有时限性,直至原有缺口被彻底解决。

● 示例

01
由于无法升级固件,将传统工业控制器置于独立 VLAN 中并配置严格 ACL。
02
对不支持原生静态加密的数据库实施强化日志审查。

● 常见问题

补偿性控制是什么?

在无法实施主要或必需控制时,采用替代性保障措施,以提供同等级别的保护。它属于网络安全的防御与运营分类。

补偿性控制是什么意思?

在无法实施主要或必需控制时,采用替代性保障措施,以提供同等级别的保护。

如何防御补偿性控制?

针对补偿性控制的防御通常结合技术控制与运营实践,详见上方完整定义。

补偿性控制还有哪些其他名称?

常见的别称包括: 补偿措施, 替代控制。

补偿性控制 是什么?

● 示例

● 常见问题

● 相关术语

补偿性控制是什么?