1、制定明確的目標(biāo)

創(chuàng)建網(wǎng)絡(luò)安全文化的第一步是定義基本指標(biāo)，并確保企業(yè)中每個與網(wǎng)絡(luò)安全相關(guān)者都知道該計劃。該計劃應(yīng)該詳細(xì)說明當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時必須采取的步驟。

2、從高層開始推動

組織成功打造安全文化的第一步是取得管理層的支持和配合。安全專業(yè)人員應(yīng)了解公司整體業(yè)務(wù)戰(zhàn)略，識別出與該戰(zhàn)略相關(guān)的風(fēng)險，并用業(yè)務(wù)部門能夠理解的術(shù)語傳達(dá)這些風(fēng)險。

3、要以人為本

讓員工在工作模式上做出改變是很困難的，因為他們更專注于自己的工作。另一方面，網(wǎng)絡(luò)安全是一個不斷變化的領(lǐng)域，給他們學(xué)習(xí)所需的資源，并實施一些激勵措施。

4、讓安全意識培訓(xùn)變得有趣有益

一般的安全培訓(xùn)課程會讓員工覺得很無聊。如果企業(yè)想認(rèn)真對待網(wǎng)絡(luò)安全文化和意識培養(yǎng)，常常需要更好的方法。

5、持續(xù)的訓(xùn)練和優(yōu)化

網(wǎng)絡(luò)犯罪分子每天都在尋找新的漏洞，企業(yè)也應(yīng)該如此。

普普點評——

對于現(xiàn)代企業(yè)組織而言，打造健康、先進的網(wǎng)絡(luò)安全文化具有重大的現(xiàn)實意義和作用，不僅可以使網(wǎng)絡(luò)應(yīng)用環(huán)境更加安全和諧，還可以讓所有員工都意識到維護網(wǎng)絡(luò)安全環(huán)境的重要性，以及自己在保護企業(yè)和個人網(wǎng)絡(luò)安全方面的責(zé)任與角色。

技術(shù)引領(lǐng)未來, IDC TechScape中國數(shù)據(jù)安全發(fā)展路線圖首發(fā)

2022年8月26日——IDC 2022 CSO全球網(wǎng)絡(luò)安全峰會（中國站）在上海隆重開幕，會上首次發(fā)布《IDC TechScape：中國數(shù)據(jù)安全發(fā)展路線圖，2022》。報告認(rèn)為，幫助用戶構(gòu)建全方位數(shù)據(jù)安全治理體系將成為大趨勢，各項數(shù)據(jù)安全和密碼技術(shù)將在治理體系中作為重點能力模塊，賦能用戶實現(xiàn)數(shù)據(jù)安全治理目標(biāo)。

近年來，全球數(shù)據(jù)安全形勢愈發(fā)嚴(yán)峻，層出不窮的網(wǎng)絡(luò)攻擊事件，嚴(yán)重影響著全球企業(yè)數(shù)字化轉(zhuǎn)型的正常進行，也極大的刺激了數(shù)據(jù)安全市場的需求供給。根據(jù)IDC統(tǒng)計，2021年中國數(shù)據(jù)安全產(chǎn)品與服務(wù)的總市場規(guī)模（包含隱私計算與區(qū)塊鏈技術(shù)中的數(shù)據(jù)安全部分）達(dá)到12.43億美金，約合80.2億人民幣。為此，我國陸續(xù)頒布施行的《十四五規(guī)劃綱要》《數(shù)據(jù)安全法》《個人信息保護法》等政策法規(guī)，均明確提出推動發(fā)展數(shù)據(jù)戰(zhàn)略，統(tǒng)籌數(shù)據(jù)開發(fā)利用、隱私保護和公共安全，規(guī)范數(shù)據(jù)有序流通，保障數(shù)據(jù)安全。

普普點評——

數(shù)據(jù)安全市場將在國家政策和市場需求的共同驅(qū)動下快速發(fā)展，中國數(shù)據(jù)安全技術(shù)及市場發(fā)展趨勢將主要呈現(xiàn)出數(shù)據(jù)安全合規(guī)變成剛需、數(shù)據(jù)安全領(lǐng)域技術(shù)的融合、數(shù)據(jù)安全產(chǎn)品與服務(wù)的融合、數(shù)據(jù)安全與網(wǎng)絡(luò)安全的融合、密碼能力集成趨勢逐步增強、云上數(shù)據(jù)安全合作能力進一步加強、新興科技賦能數(shù)據(jù)安全、關(guān)注業(yè)務(wù)數(shù)據(jù)安全進行網(wǎng)格化管理、聚焦場景應(yīng)用等一系列特點。

從隱私到隱私計算

隱私保護原本是個人的行為，是為了提高個體的安全，其根本原因在于隱私數(shù)據(jù)所有權(quán)和使用權(quán)的分離。

例如，對于大多數(shù)人而言，姓名和性別是他們的公共屬性，而且通常愿意揭示它們，不屬于隱私。在某些情況下，個人的年齡，身高和體重可能是隱私數(shù)據(jù)。但是有時同樣要公開，例如看病的時候，一個醫(yī)生需要知道病人身體和精神上的細(xì)節(jié)，如果需要會診，這些隱私數(shù)據(jù)還會開放給一組醫(yī)生，醫(yī)生們需要使用這些數(shù)據(jù)對病情進行診斷。

對隱私保護的直觀方式是什么都不透露，但這幾乎是不切實際的。隨著時間的推移，隱私的概念已經(jīng)發(fā)生了演變。有人建議隱私不能進入數(shù)據(jù)庫，即從數(shù)據(jù)庫中無法了解任何關(guān)于個人的信息，也有人強調(diào)，個人的隱私可以被視為“隱藏在人群中”，更一般的看法是，信息收集和傳播應(yīng)適合于確定的場景，并遵守有關(guān)信息傳播的規(guī)范。

普普點評——

在IT領(lǐng)域，隱私是一個抽象的概念，不能代替具體事物或人的行為，只是它們所反映出來的信息。也就是說，隱私本質(zhì)上是一種信息，一種屬于私人不愿為他人知曉或干涉的信息。例如電子郵件、即時通信的內(nèi)容等，這些工具本身并不是隱私，只是其中記載并反映出來的信息才是隱私。

一文詳解Web滲透測試的重要性

滲透測試是針對計算機系統(tǒng)進行的一種模擬網(wǎng)絡(luò)攻擊，目的是為了尋找可能被利用的漏洞。這是一項自我評估測試，用于評估計算機系統(tǒng)和網(wǎng)絡(luò)中可被利用的漏洞。

網(wǎng)絡(luò)滲透測試是一種網(wǎng)絡(luò)評估工具，被網(wǎng)絡(luò)安全專業(yè)人員用來評估現(xiàn)有網(wǎng)絡(luò)安全工具的完整性和有效性。這是一項對現(xiàn)有網(wǎng)絡(luò)安全實施構(gòu)成威脅的風(fēng)險因素所進行的詳細(xì)安全評估。通過對公司的數(shù)字資源和網(wǎng)絡(luò)進行分析和掃描，網(wǎng)絡(luò)滲透測試能夠檢測出任何存在的漏洞。一旦發(fā)現(xiàn)漏洞，就會對其進行檢查，以確定黑客是否可以通過滲透測試?yán)眠@些漏洞。

Web滲透測試針對的是基于Web的客戶端應(yīng)用程序，它涵蓋了當(dāng)今企業(yè)組織使用的大多數(shù)應(yīng)用程序。由于Web應(yīng)用程序的廣泛使用，Web滲透測試是任何網(wǎng)絡(luò)安全解決方案的關(guān)鍵組成部分。這是因為這些基于網(wǎng)絡(luò)的應(yīng)用程序可以讓黑客訪問個人身份信息（PII）—知識產(chǎn)權(quán)、受保護的健康信息，以及不想被訪問的保密網(wǎng)絡(luò)和資源。這使得對基于網(wǎng)絡(luò)的客戶應(yīng)用程序受到攻擊的威脅變得非常嚴(yán)重。

普普點評——

通常情況下，網(wǎng)站會受到保護而免遭黑客攻擊，但保存、保護機密文件和知識產(chǎn)權(quán)仍需要強大的安全保障。這種安全保障是為了抵御來自黑客的網(wǎng)絡(luò)攻擊或網(wǎng)暴。在這種情況下，Web滲透測試是安全專業(yè)人員用來防止此類網(wǎng)絡(luò)入侵的最佳工具之一。

云計算配置錯誤導(dǎo)致的漏洞如何進行處理

根據(jù)Gartner公司副總裁分析師兼Neil MacDonald說：“幾乎所有對云服務(wù)的成功攻擊都源于客戶配置錯誤、管理不善和漏洞?！彪m然聽起來這有些指責(zé)的意味，但這種說法是準(zhǔn)確的。而由供應(yīng)商疏忽造成的違規(guī)事件并不多。

云配置錯誤描述了可能破壞性能、安全性或一般可靠性的云服務(wù)的任何不當(dāng)實施。惡意行為者可以利用這些漏洞利用配置錯誤的基礎(chǔ)設(shè)施，并利用它來利用和發(fā)起網(wǎng)絡(luò)攻擊。

錯誤配置的原因和示例包括：

云計算本質(zhì)上是企業(yè)實現(xiàn)遠(yuǎn)程工作的基礎(chǔ)。無論是訪問軟件即服務(wù)產(chǎn)品以進行編程還是會計，其優(yōu)勢都已得到充分證明。然而，隨著企業(yè)和個人將更多云平臺提供的服務(wù)集成到他們的軟件堆棧中，他們的安全性和配置要求也會發(fā)生變化。有更多的移動部件需要跟蹤。

普普點評——

通常情況下，網(wǎng)站會受到保護而免遭黑客攻擊，但保存、保護機密文件和知識產(chǎn)權(quán)仍需要強大的安全保障。這種安全保障是為了抵御來自黑客的網(wǎng)絡(luò)攻擊或網(wǎng)暴。在這種情況下，Web滲透測試是安全專業(yè)人員用來防止此類網(wǎng)絡(luò)入侵的最佳工具之一。

利用零信任原則保障 Kubernetes 環(huán)境訪問安全

現(xiàn)代 IT 環(huán)境變得越來越動態(tài)。舉例來說，Kubernetes 拓展了許多組織的可能性邊界。開源技術(shù)在容器化應(yīng)用程序自動部署、擴展性和管理方面有諸多好處。特別地，IT 團隊可以利用其強大的功能、有效性和靈活性快速開發(fā)現(xiàn)代應(yīng)用程序并大規(guī)模交付。

然而，為 Kubernetes 環(huán)境安全強化實踐提供保障的流程面臨著越來越大的挑戰(zhàn)。隨著分布在本地數(shù)據(jù)中心、多公有云提供商和邊緣位置的 Kubernetes 開發(fā)和生產(chǎn)集群數(shù)量越來越多，這種相對較新的動態(tài)操作模型給訪問控制帶來了很大的復(fù)雜性。

由于大部分團隊都有多個集群在多個位置運行——通常使用不同的發(fā)行版，有不同的管理界面——企業(yè) IT 部門需要考慮到，開發(fā)、運營、承包商和合作伙伴團隊需要不同級別的訪問權(quán)限。

考慮到 Kubernetes 的分布式和可擴展特性，IT 部門必須盡一切可能確保訪問安全性，避免正在發(fā)生的錯誤。下面我們將介紹如何應(yīng)用 Kubernetes 零信任原則來保護整個環(huán)境，為容器提供零信任安全。

普普點評——

零信任是一個安全模型，它會自動假設(shè)所有在網(wǎng)絡(luò)中或網(wǎng)絡(luò)間進行操作的人、系統(tǒng)和服務(wù)都是不可信任的。零信任正成為預(yù)防惡意攻擊的最佳技術(shù)。以身份驗證、授權(quán)和加密技術(shù)為基礎(chǔ)，零信任的目的是持續(xù)驗證安全配置和態(tài)勢，確保整個環(huán)境值得信任。

為什么數(shù)據(jù)安全不再是可選項而是必選項

安全漏洞的成本不僅僅是金錢。今天對數(shù)據(jù)安全進行投資可以防止長期的負(fù)面后果，這些負(fù)面后果會耗費企業(yè)的時間、金錢和聲譽。

企業(yè)和個人活動正日益數(shù)字化。無論您是簡單地使用連接的溫度計測量體溫，還是通過復(fù)雜的供應(yīng)鏈發(fā)送產(chǎn)品，企業(yè)都會不斷收集數(shù)據(jù)以改進服務(wù)和改進運營流程。

企業(yè)一直在尋找更多獲取高質(zhì)量數(shù)據(jù)的方法——無論是從自己的運營中、從互聯(lián)網(wǎng)收集還是從第三方購買。反過來，飆升的需求激起了一些不太善意的實體的興趣。

隨著對數(shù)據(jù)需求的增長，網(wǎng)絡(luò)攻擊的頻率、嚴(yán)重性和復(fù)雜性都在增長。導(dǎo)致數(shù)據(jù)泄露的幾個因素包括使用第三方服務(wù)、網(wǎng)絡(luò)運營風(fēng)險、廣泛的云遷移、增加的系統(tǒng)復(fù)雜性和合規(guī)性失敗。

數(shù)據(jù)泄露可能會在財務(wù)上摧毀公司，同時對其聲譽造成不可挽回的損害。根據(jù) IBM 的一份報告，數(shù)據(jù)泄露的平均成本為每條記錄 150 美元。每次事件平均丟失 25,575 條記錄，網(wǎng)絡(luò)攻擊可能會給公司造成大約 392 萬美元的損失。

普普點評——

即使對于不直接參與該行業(yè)的企業(yè)來說，內(nèi)部和外部的數(shù)據(jù)收集也已成為日常活動。由于惡意行為者試圖濫用安全問題，適當(dāng)?shù)墓芾韺嵺`仍在等待實施。

然而，與幾乎任何其他威脅相比，此類問題有可能對個人和公司造成更大的損害。了解數(shù)據(jù)安全不再是企業(yè)事后才考慮的問題，這一點至關(guān)重要。