欧美18videos性处,久久国产劲暴∨内射,麻花豆剧天美星空,狂躁美女大bbbbbb,女人下边被舔全过视频软件

【企業(yè)網(wǎng)路安全】資安『零信任』概念

文:蔡宜蓁 2021-03-08

網(wǎng)路安全 資訊安全 資安零信任


? ?


資安『零信任』是面對(duì)資訊安全的謹(jǐn)慎態(tài)度

資安『零信任』,有人說它是一個(gè)零星的架構(gòu),也有人說它是一個(gè)概念,但因?yàn)橘Y安『零信任』沒有很明確的架構(gòu)組織規(guī)範(fàn),所以,我認(rèn)為它是一個(gè)面對(duì)資訊安全的謹(jǐn)慎態(tài)度,它所具備的精神就是什麼都不能被相信、一切都需要驗(yàn)證。


例如:主管發(fā)了一封Mail給你,請(qǐng)你提供帳號(hào)密碼,因?yàn)樗嗽趪?guó)外要登入,忘記帳號(hào)密碼了。這件事情你直接相信嗎? 還是你必須去查證? 我相信這是需要查證的,因?yàn)樗魅〉馁Y料太敏感,你不能立刻提供,你不能相信寫Mail來的人就是你老闆,而且現(xiàn)在入侵釣魚的方式這麼多,所以很可能是被偽造的,什麼都不要相信。


採(cǎi)『零信任』概念,規(guī)劃企業(yè)資訊安全架構(gòu)

再來,我們應(yīng)該基於資安會(huì)有缺口、會(huì)被侵入的理念下,去規(guī)劃資訊安全架構(gòu)會(huì)比較合理、比較符合現(xiàn)在這麼多的攻擊手段,因此,必須用『零信任』的概念來提升企業(yè)的資訊安全防護(hù)能力。


第一,已經(jīng)沒有安全邊界。

以前資訊從業(yè)同仁都會(huì)覺得在企業(yè)放一個(gè)防火牆就可以阻隔大部分的入侵攻擊,然後再規(guī)劃Trust(內(nèi)部網(wǎng)絡(luò))、Untrust(不信任的網(wǎng)絡(luò))即可。但是時(shí)至今日,大家頻繁使用雲(yún)端服務(wù)、雲(yún)端應(yīng)用,像是OneDrive、Dropbox、雲(yún)端Mail,而且現(xiàn)在攻擊的手法越來越新,釣魚信件、勒索信件、詐騙信件層出不窮,公司員工很容易因?yàn)檫@樣的手法而導(dǎo)致內(nèi)網(wǎng)被侵入,甚至有些公司已經(jīng)直接使用雲(yún)端的伺服器、雲(yún)端ERP,整個(gè)就直接連網(wǎng)使用了。所以,資訊安全架構(gòu)的規(guī)劃設(shè)計(jì),已是無安全邊界的概念。


第二,確認(rèn)、再確認(rèn)。

你不能相信輸入帳號(hào)密碼登入,代表就是本人登入的,有可能是其他人打算竊取資料,這是有可能的,而且這個(gè)情況常發(fā)生,所以你必須確認(rèn)、再確認(rèn)。


第三,最小化的使用原則。

基於內(nèi)網(wǎng)可能被駭客入侵的情況下,當(dāng)內(nèi)網(wǎng)被駭客入侵的時(shí)候,如何讓公司的損失縮到最小,因此,你必須規(guī)劃最小化的使用規(guī)則。如果我的電腦被入侵了,我的帳號(hào)密碼可以到達(dá)跟使用的任何服務(wù),駭客都可以去測(cè)測(cè)看能不能拿到他想要資料。這個(gè)時(shí)候如果你是用最小化的使用規(guī)則做規(guī)劃,他能夠得到的資訊就不會(huì)那麼多。


提升企業(yè)資安防護(hù)力的五大原則

最後,我們來探討如何提升企業(yè)資安防護(hù)力的方法,

1. 身份識(shí)別,尤其是在雲(yún)端服務(wù)的部分;

2. 裝置安全,你如何知道目前在內(nèi)網(wǎng)、或者在外網(wǎng)連接使用的裝置是安全的;

3. 網(wǎng)路安全;

4. 工作程序跟稽核,如何設(shè)計(jì)一個(gè)可被驗(yàn)證的工作程序;

5. 資料存取。


我們應(yīng)該要遵循上述五大原則來做規(guī)劃跟設(shè)計(jì),以利提升企業(yè)資安防護(hù)力。


【下集預(yù)告】企業(yè)網(wǎng)路安全_社交工程演練的重要性



43-13.jpg林崇裕

經(jīng)歷:

現(xiàn)任鼎新電腦科技系統(tǒng)維護(hù)事業(yè)部資深系統(tǒng)工程師。鼎新近20年服務(wù)經(jīng)歷,10年企業(yè)客戶服務(wù)經(jīng)歷,10年資安規(guī)劃及資安顧問經(jīng)歷。經(jīng)歷工程服務(wù)部主任、工程服務(wù)部副理、工程部服務(wù)經(jīng)理、服務(wù)加值部經(jīng)理、資深系統(tǒng)工程師、企業(yè)資安顧問及資安專任講師,深知企業(yè)目前面對(duì)的資訊安全挑戰(zhàn)及存在企業(yè)內(nèi)部的漏洞。

專長(zhǎng):取得ITIL V3 Foundation、ISO 27001 LA專業(yè)證照。



6.jpg



相關(guān)資訊

x