1、制定明確的目標(biāo)

創(chuàng)建網(wǎng)絡(luò)安全文化的第一步是定義基本指標(biāo)，并確保企業(yè)中每個(gè)與網(wǎng)絡(luò)安全相關(guān)者都知道該計(jì)劃。該計(jì)劃應(yīng)該詳細(xì)說明當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時(shí)必須采取的步驟。

2、從高層開始推動(dòng)

組織成功打造安全文化的第一步是取得管理層的支持和配合。安全專業(yè)人員應(yīng)了解公司整體業(yè)務(wù)戰(zhàn)略，識別出與該戰(zhàn)略相關(guān)的風(fēng)險(xiǎn)，并用業(yè)務(wù)部門能夠理解的術(shù)語傳達(dá)這些風(fēng)險(xiǎn)。

3、要以人為本

讓員工在工作模式上做出改變是很困難的，因?yàn)樗麄兏鼘Ｗ⒂谧约旱墓ぷ?。另一方面，網(wǎng)絡(luò)安全是一個(gè)不斷變化的領(lǐng)域，給他們學(xué)習(xí)所需的資源，并實(shí)施一些激勵(lì)措施。

4、讓安全意識培訓(xùn)變得有趣有益

一般的安全培訓(xùn)課程會(huì)讓員工覺得很無聊。如果企業(yè)想認(rèn)真對待網(wǎng)絡(luò)安全文化和意識培養(yǎng)，常常需要更好的方法。

5、持續(xù)的訓(xùn)練和優(yōu)化

網(wǎng)絡(luò)犯罪分子每天都在尋找新的漏洞，企業(yè)也應(yīng)該如此。

普普點(diǎn)評——

對于現(xiàn)代企業(yè)組織而言，打造健康、先進(jìn)的網(wǎng)絡(luò)安全文化具有重大的現(xiàn)實(shí)意義和作用，不僅可以使網(wǎng)絡(luò)應(yīng)用環(huán)境更加安全和諧，還可以讓所有員工都意識到維護(hù)網(wǎng)絡(luò)安全環(huán)境的重要性，以及自己在保護(hù)企業(yè)和個(gè)人網(wǎng)絡(luò)安全方面的責(zé)任與角色。

技術(shù)引領(lǐng)未來, IDC TechScape中國數(shù)據(jù)安全發(fā)展路線圖首發(fā)

2022年8月26日——IDC 2022 CSO全球網(wǎng)絡(luò)安全峰會(huì)（中國站）在上海隆重開幕，會(huì)上首次發(fā)布《IDC TechScape：中國數(shù)據(jù)安全發(fā)展路線圖，2022》。報(bào)告認(rèn)為，幫助用戶構(gòu)建全方位數(shù)據(jù)安全治理體系將成為大趨勢，各項(xiàng)數(shù)據(jù)安全和密碼技術(shù)將在治理體系中作為重點(diǎn)能力模塊，賦能用戶實(shí)現(xiàn)數(shù)據(jù)安全治理目標(biāo)。

近年來，全球數(shù)據(jù)安全形勢愈發(fā)嚴(yán)峻，層出不窮的網(wǎng)絡(luò)攻擊事件，嚴(yán)重影響著全球企業(yè)數(shù)字化轉(zhuǎn)型的正常進(jìn)行，也極大的刺激了數(shù)據(jù)安全市場的需求供給。根據(jù)IDC統(tǒng)計(jì)，2021年中國數(shù)據(jù)安全產(chǎn)品與服務(wù)的總市場規(guī)模（包含隱私計(jì)算與區(qū)塊鏈技術(shù)中的數(shù)據(jù)安全部分）達(dá)到12.43億美金，約合80.2億人民幣。為此，我國陸續(xù)頒布施行的《十四五規(guī)劃綱要》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等政策法規(guī)，均明確提出推動(dòng)發(fā)展數(shù)據(jù)戰(zhàn)略，統(tǒng)籌數(shù)據(jù)開發(fā)利用、隱私保護(hù)和公共安全，規(guī)范數(shù)據(jù)有序流通，保障數(shù)據(jù)安全。

普普點(diǎn)評——

數(shù)據(jù)安全市場將在國家政策和市場需求的共同驅(qū)動(dòng)下快速發(fā)展，中國數(shù)據(jù)安全技術(shù)及市場發(fā)展趨勢將主要呈現(xiàn)出數(shù)據(jù)安全合規(guī)變成剛需、數(shù)據(jù)安全領(lǐng)域技術(shù)的融合、數(shù)據(jù)安全產(chǎn)品與服務(wù)的融合、數(shù)據(jù)安全與網(wǎng)絡(luò)安全的融合、密碼能力集成趨勢逐步增強(qiáng)、云上數(shù)據(jù)安全合作能力進(jìn)一步加強(qiáng)、新興科技賦能數(shù)據(jù)安全、關(guān)注業(yè)務(wù)數(shù)據(jù)安全進(jìn)行網(wǎng)格化管理、聚焦場景應(yīng)用等一系列特點(diǎn)。

從隱私到隱私計(jì)算

隱私保護(hù)原本是個(gè)人的行為，是為了提高個(gè)體的安全，其根本原因在于隱私數(shù)據(jù)所有權(quán)和使用權(quán)的分離。

例如，對于大多數(shù)人而言，姓名和性別是他們的公共屬性，而且通常愿意揭示它們，不屬于隱私。在某些情況下，個(gè)人的年齡，身高和體重可能是隱私數(shù)據(jù)。但是有時(shí)同樣要公開，例如看病的時(shí)候，一個(gè)醫(yī)生需要知道病人身體和精神上的細(xì)節(jié)，如果需要會(huì)診，這些隱私數(shù)據(jù)還會(huì)開放給一組醫(yī)生，醫(yī)生們需要使用這些數(shù)據(jù)對病情進(jìn)行診斷。

對隱私保護(hù)的直觀方式是什么都不透露，但這幾乎是不切實(shí)際的。隨著時(shí)間的推移，隱私的概念已經(jīng)發(fā)生了演變。有人建議隱私不能進(jìn)入數(shù)據(jù)庫，即從數(shù)據(jù)庫中無法了解任何關(guān)于個(gè)人的信息，也有人強(qiáng)調(diào)，個(gè)人的隱私可以被視為“隱藏在人群中”，更一般的看法是，信息收集和傳播應(yīng)適合于確定的場景，并遵守有關(guān)信息傳播的規(guī)范。

普普點(diǎn)評——

在IT領(lǐng)域，隱私是一個(gè)抽象的概念，不能代替具體事物或人的行為，只是它們所反映出來的信息。也就是說，隱私本質(zhì)上是一種信息，一種屬于私人不愿為他人知曉或干涉的信息。例如電子郵件、即時(shí)通信的內(nèi)容等，這些工具本身并不是隱私，只是其中記載并反映出來的信息才是隱私。

一文詳解Web滲透測試的重要性

滲透測試是針對計(jì)算機(jī)系統(tǒng)進(jìn)行的一種模擬網(wǎng)絡(luò)攻擊，目的是為了尋找可能被利用的漏洞。這是一項(xiàng)自我評估測試，用于評估計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中可被利用的漏洞。

網(wǎng)絡(luò)滲透測試是一種網(wǎng)絡(luò)評估工具，被網(wǎng)絡(luò)安全專業(yè)人員用來評估現(xiàn)有網(wǎng)絡(luò)安全工具的完整性和有效性。這是一項(xiàng)對現(xiàn)有網(wǎng)絡(luò)安全實(shí)施構(gòu)成威脅的風(fēng)險(xiǎn)因素所進(jìn)行的詳細(xì)安全評估。通過對公司的數(shù)字資源和網(wǎng)絡(luò)進(jìn)行分析和掃描，網(wǎng)絡(luò)滲透測試能夠檢測出任何存在的漏洞。一旦發(fā)現(xiàn)漏洞，就會(huì)對其進(jìn)行檢查，以確定黑客是否可以通過滲透測試?yán)眠@些漏洞。

Web滲透測試針對的是基于Web的客戶端應(yīng)用程序，它涵蓋了當(dāng)今企業(yè)組織使用的大多數(shù)應(yīng)用程序。由于Web應(yīng)用程序的廣泛使用，Web滲透測試是任何網(wǎng)絡(luò)安全解決方案的關(guān)鍵組成部分。這是因?yàn)檫@些基于網(wǎng)絡(luò)的應(yīng)用程序可以讓黑客訪問個(gè)人身份信息（PII）—知識產(chǎn)權(quán)、受保護(hù)的健康信息，以及不想被訪問的保密網(wǎng)絡(luò)和資源。這使得對基于網(wǎng)絡(luò)的客戶應(yīng)用程序受到攻擊的威脅變得非常嚴(yán)重。

普普點(diǎn)評——

通常情況下，網(wǎng)站會(huì)受到保護(hù)而免遭黑客攻擊，但保存、保護(hù)機(jī)密文件和知識產(chǎn)權(quán)仍需要強(qiáng)大的安全保障。這種安全保障是為了抵御來自黑客的網(wǎng)絡(luò)攻擊或網(wǎng)暴。在這種情況下，Web滲透測試是安全專業(yè)人員用來防止此類網(wǎng)絡(luò)入侵的最佳工具之一。

云計(jì)算配置錯(cuò)誤導(dǎo)致的漏洞如何進(jìn)行處理

根據(jù)Gartner公司副總裁分析師兼Neil MacDonald說：“幾乎所有對云服務(wù)的成功攻擊都源于客戶配置錯(cuò)誤、管理不善和漏洞?！彪m然聽起來這有些指責(zé)的意味，但這種說法是準(zhǔn)確的。而由供應(yīng)商疏忽造成的違規(guī)事件并不多。

云配置錯(cuò)誤描述了可能破壞性能、安全性或一般可靠性的云服務(wù)的任何不當(dāng)實(shí)施。惡意行為者可以利用這些漏洞利用配置錯(cuò)誤的基礎(chǔ)設(shè)施，并利用它來利用和發(fā)起網(wǎng)絡(luò)攻擊。

錯(cuò)誤配置的原因和示例包括：

云計(jì)算本質(zhì)上是企業(yè)實(shí)現(xiàn)遠(yuǎn)程工作的基礎(chǔ)。無論是訪問軟件即服務(wù)產(chǎn)品以進(jìn)行編程還是會(huì)計(jì)，其優(yōu)勢都已得到充分證明。然而，隨著企業(yè)和個(gè)人將更多云平臺提供的服務(wù)集成到他們的軟件堆棧中，他們的安全性和配置要求也會(huì)發(fā)生變化。有更多的移動(dòng)部件需要跟蹤。

普普點(diǎn)評——

通常情況下，網(wǎng)站會(huì)受到保護(hù)而免遭黑客攻擊，但保存、保護(hù)機(jī)密文件和知識產(chǎn)權(quán)仍需要強(qiáng)大的安全保障。這種安全保障是為了抵御來自黑客的網(wǎng)絡(luò)攻擊或網(wǎng)暴。在這種情況下，Web滲透測試是安全專業(yè)人員用來防止此類網(wǎng)絡(luò)入侵的最佳工具之一。

利用零信任原則保障 Kubernetes 環(huán)境訪問安全

現(xiàn)代 IT 環(huán)境變得越來越動(dòng)態(tài)。舉例來說，Kubernetes 拓展了許多組織的可能性邊界。開源技術(shù)在容器化應(yīng)用程序自動(dòng)部署、擴(kuò)展性和管理方面有諸多好處。特別地，IT 團(tuán)隊(duì)可以利用其強(qiáng)大的功能、有效性和靈活性快速開發(fā)現(xiàn)代應(yīng)用程序并大規(guī)模交付。

然而，為 Kubernetes 環(huán)境安全強(qiáng)化實(shí)踐提供保障的流程面臨著越來越大的挑戰(zhàn)。隨著分布在本地?cái)?shù)據(jù)中心、多公有云提供商和邊緣位置的 Kubernetes 開發(fā)和生產(chǎn)集群數(shù)量越來越多，這種相對較新的動(dòng)態(tài)操作模型給訪問控制帶來了很大的復(fù)雜性。

由于大部分團(tuán)隊(duì)都有多個(gè)集群在多個(gè)位置運(yùn)行——通常使用不同的發(fā)行版，有不同的管理界面——企業(yè) IT 部門需要考慮到，開發(fā)、運(yùn)營、承包商和合作伙伴團(tuán)隊(duì)需要不同級別的訪問權(quán)限。

考慮到 Kubernetes 的分布式和可擴(kuò)展特性，IT 部門必須盡一切可能確保訪問安全性，避免正在發(fā)生的錯(cuò)誤。下面我們將介紹如何應(yīng)用 Kubernetes 零信任原則來保護(hù)整個(gè)環(huán)境，為容器提供零信任安全。

普普點(diǎn)評——

零信任是一個(gè)安全模型，它會(huì)自動(dòng)假設(shè)所有在網(wǎng)絡(luò)中或網(wǎng)絡(luò)間進(jìn)行操作的人、系統(tǒng)和服務(wù)都是不可信任的。零信任正成為預(yù)防惡意攻擊的最佳技術(shù)。以身份驗(yàn)證、授權(quán)和加密技術(shù)為基礎(chǔ)，零信任的目的是持續(xù)驗(yàn)證安全配置和態(tài)勢，確保整個(gè)環(huán)境值得信任。

為什么數(shù)據(jù)安全不再是可選項(xiàng)而是必選項(xiàng)

安全漏洞的成本不僅僅是金錢。今天對數(shù)據(jù)安全進(jìn)行投資可以防止長期的負(fù)面后果，這些負(fù)面后果會(huì)耗費(fèi)企業(yè)的時(shí)間、金錢和聲譽(yù)。

企業(yè)和個(gè)人活動(dòng)正日益數(shù)字化。無論您是簡單地使用連接的溫度計(jì)測量體溫，還是通過復(fù)雜的供應(yīng)鏈發(fā)送產(chǎn)品，企業(yè)都會(huì)不斷收集數(shù)據(jù)以改進(jìn)服務(wù)和改進(jìn)運(yùn)營流程。

企業(yè)一直在尋找更多獲取高質(zhì)量數(shù)據(jù)的方法——無論是從自己的運(yùn)營中、從互聯(lián)網(wǎng)收集還是從第三方購買。反過來，飆升的需求激起了一些不太善意的實(shí)體的興趣。

隨著對數(shù)據(jù)需求的增長，網(wǎng)絡(luò)攻擊的頻率、嚴(yán)重性和復(fù)雜性都在增長。導(dǎo)致數(shù)據(jù)泄露的幾個(gè)因素包括使用第三方服務(wù)、網(wǎng)絡(luò)運(yùn)營風(fēng)險(xiǎn)、廣泛的云遷移、增加的系統(tǒng)復(fù)雜性和合規(guī)性失敗。

數(shù)據(jù)泄露可能會(huì)在財(cái)務(wù)上摧毀公司，同時(shí)對其聲譽(yù)造成不可挽回的損害。根據(jù) IBM 的一份報(bào)告，數(shù)據(jù)泄露的平均成本為每條記錄 150 美元。每次事件平均丟失 25,575 條記錄，網(wǎng)絡(luò)攻擊可能會(huì)給公司造成大約 392 萬美元的損失。

普普點(diǎn)評——

即使對于不直接參與該行業(yè)的企業(yè)來說，內(nèi)部和外部的數(shù)據(jù)收集也已成為日?；顒?dòng)。由于惡意行為者試圖濫用安全問題，適當(dāng)?shù)墓芾韺?shí)踐仍在等待實(shí)施。

然而，與幾乎任何其他威脅相比，此類問題有可能對個(gè)人和公司造成更大的損害。了解數(shù)據(jù)安全不再是企業(yè)事后才考慮的問題，這一點(diǎn)至關(guān)重要。