1、制定明確的目標

創(chuàng )建網(wǎng)絡(luò )安全文化的第一步是定義基本指標，并確保企業(yè)中每個(gè)與網(wǎng)絡(luò )安全相關(guān)者都知道該計劃。該計劃應該詳細說(shuō)明當網(wǎng)絡(luò )安全事件發(fā)生時(shí)必須采取的步驟。

2、從高層開(kāi)始推動(dòng)

組織成功打造安全文化的第一步是取得管理層的支持和配合。安全專(zhuān)業(yè)人員應了解公司整體業(yè)務(wù)戰略，識別出與該戰略相關(guān)的風(fēng)險，并用業(yè)務(wù)部門(mén)能夠理解的術(shù)語(yǔ)傳達這些風(fēng)險。

3、要以人為本

讓員工在工作模式上做出改變是很困難的，因為他們更專(zhuān)注于自己的工作。另一方面，網(wǎng)絡(luò )安全是一個(gè)不斷變化的領(lǐng)域，給他們學(xué)習所需的資源，并實(shí)施一些激勵措施。

4、讓安全意識培訓變得有趣有益

一般的安全培訓課程會(huì )讓員工覺(jué)得很無(wú)聊。如果企業(yè)想認真對待網(wǎng)絡(luò )安全文化和意識培養，常常需要更好的方法。

5、持續的訓練和優(yōu)化

網(wǎng)絡(luò )犯罪分子每天都在尋找新的漏洞，企業(yè)也應該如此。

普普點(diǎn)評——

對于現代企業(yè)組織而言，打造健康、先進(jìn)的網(wǎng)絡(luò )安全文化具有重大的現實(shí)意義和作用，不僅可以使網(wǎng)絡(luò )應用環(huán)境更加安全和諧，還可以讓所有員工都意識到維護網(wǎng)絡(luò )安全環(huán)境的重要性，以及自己在保護企業(yè)和個(gè)人網(wǎng)絡(luò )安全方面的責任與角色。

技術(shù)引領(lǐng)未來(lái), IDC TechScape中國數據安全發(fā)展路線(xiàn)圖首發(fā)

2022年8月26日——IDC 2022 CSO全球網(wǎng)絡(luò )安全峰會(huì )（中國站）在上海隆重開(kāi)幕，會(huì )上首次發(fā)布《IDC TechScape：中國數據安全發(fā)展路線(xiàn)圖，2022》。報告認為，幫助用戶(hù)構建全方位數據安全治理體系將成為大趨勢，各項數據安全和密碼技術(shù)將在治理體系中作為重點(diǎn)能力模塊，賦能用戶(hù)實(shí)現數據安全治理目標。

近年來(lái)，全球數據安全形勢愈發(fā)嚴峻，層出不窮的網(wǎng)絡(luò )攻擊事件，嚴重影響著(zhù)全球企業(yè)數字化轉型的正常進(jìn)行，也極大的刺激了數據安全市場(chǎng)的需求供給。根據IDC統計，2021年中國數據安全產(chǎn)品與服務(wù)的總市場(chǎng)規模（包含隱私計算與區塊鏈技術(shù)中的數據安全部分）達到12.43億美金，約合80.2億人民幣。為此，我國陸續頒布施行的《十四五規劃綱要》《數據安全法》《個(gè)人信息保護法》等政策法規，均明確提出推動(dòng)發(fā)展數據戰略，統籌數據開(kāi)發(fā)利用、隱私保護和公共安全，規范數據有序流通，保障數據安全。

普普點(diǎn)評——

數據安全市場(chǎng)將在國家政策和市場(chǎng)需求的共同驅動(dòng)下快速發(fā)展，中國數據安全技術(shù)及市場(chǎng)發(fā)展趨勢將主要呈現出數據安全合規變成剛需、數據安全領(lǐng)域技術(shù)的融合、數據安全產(chǎn)品與服務(wù)的融合、數據安全與網(wǎng)絡(luò )安全的融合、密碼能力集成趨勢逐步增強、云上數據安全合作能力進(jìn)一步加強、新興科技賦能數據安全、關(guān)注業(yè)務(wù)數據安全進(jìn)行網(wǎng)格化管理、聚焦場(chǎng)景應用等一系列特點(diǎn)。

從隱私到隱私計算

隱私保護原本是個(gè)人的行為，是為了提高個(gè)體的安全，其根本原因在于隱私數據所有權和使用權的分離。

例如，對于大多數人而言，姓名和性別是他們的公共屬性，而且通常愿意揭示它們，不屬于隱私。在某些情況下，個(gè)人的年齡，身高和體重可能是隱私數據。但是有時(shí)同樣要公開(kāi)，例如看病的時(shí)候，一個(gè)醫生需要知道病人身體和精神上的細節，如果需要會(huì )診，這些隱私數據還會(huì )開(kāi)放給一組醫生，醫生們需要使用這些數據對病情進(jìn)行診斷。

對隱私保護的直觀(guān)方式是什么都不透露，但這幾乎是不切實(shí)際的。隨著(zhù)時(shí)間的推移，隱私的概念已經(jīng)發(fā)生了演變。有人建議隱私不能進(jìn)入數據庫，即從數據庫中無(wú)法了解任何關(guān)于個(gè)人的信息，也有人強調，個(gè)人的隱私可以被視為“隱藏在人群中”，更一般的看法是，信息收集和傳播應適合于確定的場(chǎng)景，并遵守有關(guān)信息傳播的規范。

普普點(diǎn)評——

在IT領(lǐng)域，隱私是一個(gè)抽象的概念，不能代替具體事物或人的行為，只是它們所反映出來(lái)的信息。也就是說(shuō)，隱私本質(zhì)上是一種信息，一種屬于私人不愿為他人知曉或干涉的信息。例如電子郵件、即時(shí)通信的內容等，這些工具本身并不是隱私，只是其中記載并反映出來(lái)的信息才是隱私。

一文詳解Web滲透測試的重要性

滲透測試是針對計算機系統進(jìn)行的一種模擬網(wǎng)絡(luò )攻擊，目的是為了尋找可能被利用的漏洞。這是一項自我評估測試，用于評估計算機系統和網(wǎng)絡(luò )中可被利用的漏洞。

網(wǎng)絡(luò )滲透測試是一種網(wǎng)絡(luò )評估工具，被網(wǎng)絡(luò )安全專(zhuān)業(yè)人員用來(lái)評估現有網(wǎng)絡(luò )安全工具的完整性和有效性。這是一項對現有網(wǎng)絡(luò )安全實(shí)施構成威脅的風(fēng)險因素所進(jìn)行的詳細安全評估。通過(guò)對公司的數字資源和網(wǎng)絡(luò )進(jìn)行分析和掃描，網(wǎng)絡(luò )滲透測試能夠檢測出任何存在的漏洞。一旦發(fā)現漏洞，就會(huì )對其進(jìn)行檢查，以確定黑客是否可以通過(guò)滲透測試利用這些漏洞。

Web滲透測試針對的是基于Web的客戶(hù)端應用程序，它涵蓋了當今企業(yè)組織使用的大多數應用程序。由于Web應用程序的廣泛使用，Web滲透測試是任何網(wǎng)絡(luò )安全解決方案的關(guān)鍵組成部分。這是因為這些基于網(wǎng)絡(luò )的應用程序可以讓黑客訪(fǎng)問(wèn)個(gè)人身份信息（PII）—知識產(chǎn)權、受保護的健康信息，以及不想被訪(fǎng)問(wèn)的保密網(wǎng)絡(luò )和資源。這使得對基于網(wǎng)絡(luò )的客戶(hù)應用程序受到攻擊的威脅變得非常嚴重。

普普點(diǎn)評——

通常情況下，網(wǎng)站會(huì )受到保護而免遭黑客攻擊，但保存、保護機密文件和知識產(chǎn)權仍需要強大的安全保障。這種安全保障是為了抵御來(lái)自黑客的網(wǎng)絡(luò )攻擊或網(wǎng)暴。在這種情況下，Web滲透測試是安全專(zhuān)業(yè)人員用來(lái)防止此類(lèi)網(wǎng)絡(luò )入侵的最佳工具之一。

云計算配置錯誤導致的漏洞如何進(jìn)行處理

根據Gartner公司副總裁分析師兼Neil MacDonald說(shuō)：“幾乎所有對云服務(wù)的成功攻擊都源于客戶(hù)配置錯誤、管理不善和漏洞?！彪m然聽(tīng)起來(lái)這有些指責的意味，但這種說(shuō)法是準確的。而由供應商疏忽造成的違規事件并不多。

云配置錯誤描述了可能破壞性能、安全性或一般可靠性的云服務(wù)的任何不當實(shí)施。惡意行為者可以利用這些漏洞利用配置錯誤的基礎設施，并利用它來(lái)利用和發(fā)起網(wǎng)絡(luò )攻擊。

錯誤配置的原因和示例包括：

云計算本質(zhì)上是企業(yè)實(shí)現遠程工作的基礎。無(wú)論是訪(fǎng)問(wèn)軟件即服務(wù)產(chǎn)品以進(jìn)行編程還是會(huì )計，其優(yōu)勢都已得到充分證明。然而，隨著(zhù)企業(yè)和個(gè)人將更多云平臺提供的服務(wù)集成到他們的軟件堆棧中，他們的安全性和配置要求也會(huì )發(fā)生變化。有更多的移動(dòng)部件需要跟蹤。

普普點(diǎn)評——

通常情況下，網(wǎng)站會(huì )受到保護而免遭黑客攻擊，但保存、保護機密文件和知識產(chǎn)權仍需要強大的安全保障。這種安全保障是為了抵御來(lái)自黑客的網(wǎng)絡(luò )攻擊或網(wǎng)暴。在這種情況下，Web滲透測試是安全專(zhuān)業(yè)人員用來(lái)防止此類(lèi)網(wǎng)絡(luò )入侵的最佳工具之一。

利用零信任原則保障 Kubernetes 環(huán)境訪(fǎng)問(wèn)安全

現代 IT 環(huán)境變得越來(lái)越動(dòng)態(tài)。舉例來(lái)說(shuō)，Kubernetes 拓展了許多組織的可能性邊界。開(kāi)源技術(shù)在容器化應用程序自動(dòng)部署、擴展性和管理方面有諸多好處。特別地，IT 團隊可以利用其強大的功能、有效性和靈活性快速開(kāi)發(fā)現代應用程序并大規模交付。

然而，為 Kubernetes 環(huán)境安全強化實(shí)踐提供保障的流程面臨著(zhù)越來(lái)越大的挑戰。隨著(zhù)分布在本地數據中心、多公有云提供商和邊緣位置的 Kubernetes 開(kāi)發(fā)和生產(chǎn)集群數量越來(lái)越多，這種相對較新的動(dòng)態(tài)操作模型給訪(fǎng)問(wèn)控制帶來(lái)了很大的復雜性。

由于大部分團隊都有多個(gè)集群在多個(gè)位置運行——通常使用不同的發(fā)行版，有不同的管理界面——企業(yè) IT 部門(mén)需要考慮到，開(kāi)發(fā)、運營(yíng)、承包商和合作伙伴團隊需要不同級別的訪(fǎng)問(wèn)權限。

考慮到 Kubernetes 的分布式和可擴展特性，IT 部門(mén)必須盡一切可能確保訪(fǎng)問(wèn)安全性，避免正在發(fā)生的錯誤。下面我們將介紹如何應用 Kubernetes 零信任原則來(lái)保護整個(gè)環(huán)境，為容器提供零信任安全。

普普點(diǎn)評——

零信任是一個(gè)安全模型，它會(huì )自動(dòng)假設所有在網(wǎng)絡(luò )中或網(wǎng)絡(luò )間進(jìn)行操作的人、系統和服務(wù)都是不可信任的。零信任正成為預防惡意攻擊的最佳技術(shù)。以身份驗證、授權和加密技術(shù)為基礎，零信任的目的是持續驗證安全配置和態(tài)勢，確保整個(gè)環(huán)境值得信任。

為什么數據安全不再是可選項而是必選項

安全漏洞的成本不僅僅是金錢(qián)。今天對數據安全進(jìn)行投資可以防止長(cháng)期的負面后果，這些負面后果會(huì )耗費企業(yè)的時(shí)間、金錢(qián)和聲譽(yù)。

企業(yè)和個(gè)人活動(dòng)正日益數字化。無(wú)論您是簡(jiǎn)單地使用連接的溫度計測量體溫，還是通過(guò)復雜的供應鏈發(fā)送產(chǎn)品，企業(yè)都會(huì )不斷收集數據以改進(jìn)服務(wù)和改進(jìn)運營(yíng)流程。

企業(yè)一直在尋找更多獲取高質(zhì)量數據的方法——無(wú)論是從自己的運營(yíng)中、從互聯(lián)網(wǎng)收集還是從第三方購買(mǎi)。反過(guò)來(lái)，飆升的需求激起了一些不太善意的實(shí)體的興趣。

隨著(zhù)對數據需求的增長(cháng)，網(wǎng)絡(luò )攻擊的頻率、嚴重性和復雜性都在增長(cháng)。導致數據泄露的幾個(gè)因素包括使用第三方服務(wù)、網(wǎng)絡(luò )運營(yíng)風(fēng)險、廣泛的云遷移、增加的系統復雜性和合規性失敗。

數據泄露可能會(huì )在財務(wù)上摧毀公司，同時(shí)對其聲譽(yù)造成不可挽回的損害。根據 IBM 的一份報告，數據泄露的平均成本為每條記錄 150 美元。每次事件平均丟失 25,575 條記錄，網(wǎng)絡(luò )攻擊可能會(huì )給公司造成大約 392 萬(wàn)美元的損失。

普普點(diǎn)評——

即使對于不直接參與該行業(yè)的企業(yè)來(lái)說(shuō)，內部和外部的數據收集也已成為日?；顒?dòng)。由于惡意行為者試圖濫用安全問(wèn)題，適當的管理實(shí)踐仍在等待實(shí)施。

然而，與幾乎任何其他威脅相比，此類(lèi)問(wèn)題有可能對個(gè)人和公司造成更大的損害。了解數據安全不再是企業(yè)事后才考慮的問(wèn)題，這一點(diǎn)至關(guān)重要。