基于合规的安全，其核心在于遵循法律法规、行业标准或监管机构所设定的最低安全要求。这类框架明确了组织为避免法律后果与监管处罚所必须落实的控制措施。

然而，以合规为导向的安全建设往往更关注形式合规，例如文档记录、流程遵循与“勾选清单”式的任务完成，而非主动识别与缓解真实威胁。这种偏重“过程留痕”的做法，容易导致安全体系趋于静态，既难以快速响应新型威胁，也可能使组织在形式上看似“合规”，实则依然暴露于实质性风险之中。

典型案例：2017年Equifax数据泄露事件

黑客利用Apache Struts框架中一个未及时修补的漏洞，窃取了数亿条敏感用户数据。尽管Equifax当时在多项合规要求上达标，但由于未能及时应用已知补丁，最终酿成大规模隐私泄露。

3. 合规要求常滞后于新兴威胁

大多数法规和标准的制定，往往是在重大安全事件发生后作为“事后补救”推出，而非对未来风险的主动预判。这种“亡羊补牢”式的滞后性，使得合规要求与实际安全需求之间常常存在明显断层。
 

典型案例：2023年MOVEit数据泄露事件

此次事件波及全球2500多家机构及7700万个人用户，涉及医疗、政府、金融等多个高度监管行业。尽管多数受影响组织符合当时的合规要求，但攻击者利用的是一个事先未知的零日漏洞，合规框架对此类风险几乎未做任何规定。

4. 合规标准重形式、轻实质
 

不少合规框架更加强调政策制定、文档记录与审计流程等“非主动”安全措施。尽管文件、政策和审计对问责也很重要，但它们更侧重记录留痕，本身并不能预防或检测网络攻击。

例如：

• 《通用数据保护条例》（GDPR）与《健康保险流通与责任法案》（HIPAA）均未强制要求实时监控或异常行为检测机制；
•  SOC 2 标准不要求组织主动测试零日漏洞或监控内网横向移动；
• 《信息安全管理体系要求》（ISO/IEC 27001）虽强调风险管理，但并未规定风险评估的更新频率，也未要求其与实时威胁情报联动。

相比之下，基于风险的安全策略强调根据威胁的潜在影响与发生概率，对各类风险进行识别、评估与优先级排序。这种动态、数据驱动的方法，有助于组织将有限的安全资源精准投放到对核心资产威胁最大的领域，实现更高效的防护。

实践证明，基于风险的策略不仅具备更高的实效性，还能以更低的成本达成预期的风险控制目标。例如，某企业通过基于风险评估优化安全投入排序，在未增加预算的情况下，将预期风险降低幅度提升了7.5倍。

安全策略不应仅以“满足合规”为目标，而应着眼于保护核心资产、保障业务连续性。基于风险的方法能够优先处理高影响威胁，确保安全投入与运营韧性、品牌声誉及合规义务相一致。
 

基于风险的安全策略不会平均分配安全预算，而是将资源重点投向高风险领域。借助网络风险量化模型，组织可以科学评估各项威胁的潜在损失，从而优化支出结构，实现安全资源的精准投放。
 

传统的合规框架通常并不强制要求实时威胁检测。然而，通过整合威胁情报、人工智能驱动的数据分析以及主动式红队演练，企业能够在新的攻击方式出现后、相关合规要求更新之前，及时调整防御策略，保持领先。固守静态、一成不变的安全措施，只会让企业更容易受到攻击。

五、基于风险策略的商业价值
 

除了提升安全防护能力之外，基于风险的安全策略还具有显著的经济优势。Gordon–Loeb 模型是一个用于指导网络安全投资的经济学框架，它指出：企业可以通过将安全资源集中投入到风险降低效果最显著的领域，从而实现安全支出的优化配置。该模型认为，企业在网络安全上的最佳投入不应超过预期因安全事件造成损失的 37%。

此外，已采用基于风险的安全措施的企业普遍反馈，通过优化现有安全解决方案、消除功能冗余，不仅没有削弱防护能力，反而有效降低了网络安全成本，实现了显著的经费节约。

六、现实意义

医疗行业的案例充分说明了整合基于风险安全的必要性。美国卫生与公众服务部曾针对“影响1.67亿人医疗数据的多起泄露事件”，提出网络安全更新的法规。这些法规强调了“数据加密”和“定期合规检查”的重要性，同时也凸显了“合规与主动风险管理并行”的必要性。

七、结论

尽管合规框架对设定安全基准至关重要，但仅靠合规无法应对复杂且不断演变的网络威胁。通过整合基于风险的安全实践，组织能够主动应对漏洞、优化安全投资，并提升抵御网络攻击的整体韧性。这种整体方法既能确保安全措施符合合规要求，又能具备坚实的实际防护能力。