1、制定明確的目標

創(chuàng)建網(wǎng)絡安全文化的第一步是定義基本指標，并確保企業(yè)中每個與網(wǎng)絡安全相關者都知道該計劃。該計劃應該詳細說明當網(wǎng)絡安全事件發(fā)生時必須采取的步驟。

2、從高層開始推動

組織成功打造安全文化的第一步是取得管理層的支持和配合。安全專業(yè)人員應了解公司整體業(yè)務戰(zhàn)略，識別出與該戰(zhàn)略相關的風險，并用業(yè)務部門能夠理解的術語傳達這些風險。

3、要以人為本

讓員工在工作模式上做出改變是很困難的，因為他們更專注于自己的工作。另一方面，網(wǎng)絡安全是一個不斷變化的領域，給他們學習所需的資源，并實施一些激勵措施。

4、讓安全意識培訓變得有趣有益

一般的安全培訓課程會讓員工覺得很無聊。如果企業(yè)想認真對待網(wǎng)絡安全文化和意識培養(yǎng)，常常需要更好的方法。

5、持續(xù)的訓練和優(yōu)化

網(wǎng)絡犯罪分子每天都在尋找新的漏洞，企業(yè)也應該如此。

普普點評——

對于現(xiàn)代企業(yè)組織而言，打造健康、先進的網(wǎng)絡安全文化具有重大的現(xiàn)實意義和作用，不僅可以使網(wǎng)絡應用環(huán)境更加安全和諧，還可以讓所有員工都意識到維護網(wǎng)絡安全環(huán)境的重要性，以及自己在保護企業(yè)和個人網(wǎng)絡安全方面的責任與角色。

技術引領未來, IDC TechScape中國數(shù)據(jù)安全發(fā)展路線圖首發(fā)

2022年8月26日——IDC 2022 CSO全球網(wǎng)絡安全峰會（中國站）在上海隆重開幕，會上首次發(fā)布《IDC TechScape：中國數(shù)據(jù)安全發(fā)展路線圖，2022》。報告認為，幫助用戶構建全方位數(shù)據(jù)安全治理體系將成為大趨勢，各項數(shù)據(jù)安全和密碼技術將在治理體系中作為重點能力模塊，賦能用戶實現(xiàn)數(shù)據(jù)安全治理目標。

近年來，全球數(shù)據(jù)安全形勢愈發(fā)嚴峻，層出不窮的網(wǎng)絡攻擊事件，嚴重影響著全球企業(yè)數(shù)字化轉型的正常進行，也極大的刺激了數(shù)據(jù)安全市場的需求供給。根據(jù)IDC統(tǒng)計，2021年中國數(shù)據(jù)安全產品與服務的總市場規(guī)模（包含隱私計算與區(qū)塊鏈技術中的數(shù)據(jù)安全部分）達到12.43億美金，約合80.2億人民幣。為此，我國陸續(xù)頒布施行的《十四五規(guī)劃綱要》《數(shù)據(jù)安全法》《個人信息保護法》等政策法規(guī)，均明確提出推動發(fā)展數(shù)據(jù)戰(zhàn)略，統(tǒng)籌數(shù)據(jù)開發(fā)利用、隱私保護和公共安全，規(guī)范數(shù)據(jù)有序流通，保障數(shù)據(jù)安全。

普普點評——

數(shù)據(jù)安全市場將在國家政策和市場需求的共同驅動下快速發(fā)展，中國數(shù)據(jù)安全技術及市場發(fā)展趨勢將主要呈現(xiàn)出數(shù)據(jù)安全合規(guī)變成剛需、數(shù)據(jù)安全領域技術的融合、數(shù)據(jù)安全產品與服務的融合、數(shù)據(jù)安全與網(wǎng)絡安全的融合、密碼能力集成趨勢逐步增強、云上數(shù)據(jù)安全合作能力進一步加強、新興科技賦能數(shù)據(jù)安全、關注業(yè)務數(shù)據(jù)安全進行網(wǎng)格化管理、聚焦場景應用等一系列特點。

從隱私到隱私計算

隱私保護原本是個人的行為，是為了提高個體的安全，其根本原因在于隱私數(shù)據(jù)所有權和使用權的分離。

例如，對于大多數(shù)人而言，姓名和性別是他們的公共屬性，而且通常愿意揭示它們，不屬于隱私。在某些情況下，個人的年齡，身高和體重可能是隱私數(shù)據(jù)。但是有時同樣要公開，例如看病的時候，一個醫(yī)生需要知道病人身體和精神上的細節(jié)，如果需要會診，這些隱私數(shù)據(jù)還會開放給一組醫(yī)生，醫(yī)生們需要使用這些數(shù)據(jù)對病情進行診斷。

對隱私保護的直觀方式是什么都不透露，但這幾乎是不切實際的。隨著時間的推移，隱私的概念已經(jīng)發(fā)生了演變。有人建議隱私不能進入數(shù)據(jù)庫，即從數(shù)據(jù)庫中無法了解任何關于個人的信息，也有人強調，個人的隱私可以被視為“隱藏在人群中”，更一般的看法是，信息收集和傳播應適合于確定的場景，并遵守有關信息傳播的規(guī)范。

普普點評——

在IT領域，隱私是一個抽象的概念，不能代替具體事物或人的行為，只是它們所反映出來的信息。也就是說，隱私本質上是一種信息，一種屬于私人不愿為他人知曉或干涉的信息。例如電子郵件、即時通信的內容等，這些工具本身并不是隱私，只是其中記載并反映出來的信息才是隱私。

一文詳解Web滲透測試的重要性

滲透測試是針對計算機系統(tǒng)進行的一種模擬網(wǎng)絡攻擊，目的是為了尋找可能被利用的漏洞。這是一項自我評估測試，用于評估計算機系統(tǒng)和網(wǎng)絡中可被利用的漏洞。

網(wǎng)絡滲透測試是一種網(wǎng)絡評估工具，被網(wǎng)絡安全專業(yè)人員用來評估現(xiàn)有網(wǎng)絡安全工具的完整性和有效性。這是一項對現(xiàn)有網(wǎng)絡安全實施構成威脅的風險因素所進行的詳細安全評估。通過對公司的數(shù)字資源和網(wǎng)絡進行分析和掃描，網(wǎng)絡滲透測試能夠檢測出任何存在的漏洞。一旦發(fā)現(xiàn)漏洞，就會對其進行檢查，以確定黑客是否可以通過滲透測試利用這些漏洞。

Web滲透測試針對的是基于Web的客戶端應用程序，它涵蓋了當今企業(yè)組織使用的大多數(shù)應用程序。由于Web應用程序的廣泛使用，Web滲透測試是任何網(wǎng)絡安全解決方案的關鍵組成部分。這是因為這些基于網(wǎng)絡的應用程序可以讓黑客訪問個人身份信息（PII）—知識產權、受保護的健康信息，以及不想被訪問的保密網(wǎng)絡和資源。這使得對基于網(wǎng)絡的客戶應用程序受到攻擊的威脅變得非常嚴重。

普普點評——

通常情況下，網(wǎng)站會受到保護而免遭黑客攻擊，但保存、保護機密文件和知識產權仍需要強大的安全保障。這種安全保障是為了抵御來自黑客的網(wǎng)絡攻擊或網(wǎng)暴。在這種情況下，Web滲透測試是安全專業(yè)人員用來防止此類網(wǎng)絡入侵的最佳工具之一。

云計算配置錯誤導致的漏洞如何進行處理

根據(jù)Gartner公司副總裁分析師兼Neil MacDonald說：“幾乎所有對云服務的成功攻擊都源于客戶配置錯誤、管理不善和漏洞?！彪m然聽起來這有些指責的意味，但這種說法是準確的。而由供應商疏忽造成的違規(guī)事件并不多。

云配置錯誤描述了可能破壞性能、安全性或一般可靠性的云服務的任何不當實施。惡意行為者可以利用這些漏洞利用配置錯誤的基礎設施，并利用它來利用和發(fā)起網(wǎng)絡攻擊。

錯誤配置的原因和示例包括：

云計算本質上是企業(yè)實現(xiàn)遠程工作的基礎。無論是訪問軟件即服務產品以進行編程還是會計，其優(yōu)勢都已得到充分證明。然而，隨著企業(yè)和個人將更多云平臺提供的服務集成到他們的軟件堆棧中，他們的安全性和配置要求也會發(fā)生變化。有更多的移動部件需要跟蹤。

普普點評——

通常情況下，網(wǎng)站會受到保護而免遭黑客攻擊，但保存、保護機密文件和知識產權仍需要強大的安全保障。這種安全保障是為了抵御來自黑客的網(wǎng)絡攻擊或網(wǎng)暴。在這種情況下，Web滲透測試是安全專業(yè)人員用來防止此類網(wǎng)絡入侵的最佳工具之一。

利用零信任原則保障 Kubernetes 環(huán)境訪問安全

現(xiàn)代 IT 環(huán)境變得越來越動態(tài)。舉例來說，Kubernetes 拓展了許多組織的可能性邊界。開源技術在容器化應用程序自動部署、擴展性和管理方面有諸多好處。特別地，IT 團隊可以利用其強大的功能、有效性和靈活性快速開發(fā)現(xiàn)代應用程序并大規(guī)模交付。

然而，為 Kubernetes 環(huán)境安全強化實踐提供保障的流程面臨著越來越大的挑戰(zhàn)。隨著分布在本地數(shù)據(jù)中心、多公有云提供商和邊緣位置的 Kubernetes 開發(fā)和生產集群數(shù)量越來越多，這種相對較新的動態(tài)操作模型給訪問控制帶來了很大的復雜性。

由于大部分團隊都有多個集群在多個位置運行——通常使用不同的發(fā)行版，有不同的管理界面——企業(yè) IT 部門需要考慮到，開發(fā)、運營、承包商和合作伙伴團隊需要不同級別的訪問權限。

考慮到 Kubernetes 的分布式和可擴展特性，IT 部門必須盡一切可能確保訪問安全性，避免正在發(fā)生的錯誤。下面我們將介紹如何應用 Kubernetes 零信任原則來保護整個環(huán)境，為容器提供零信任安全。

普普點評——

零信任是一個安全模型，它會自動假設所有在網(wǎng)絡中或網(wǎng)絡間進行操作的人、系統(tǒng)和服務都是不可信任的。零信任正成為預防惡意攻擊的最佳技術。以身份驗證、授權和加密技術為基礎，零信任的目的是持續(xù)驗證安全配置和態(tài)勢，確保整個環(huán)境值得信任。

為什么數(shù)據(jù)安全不再是可選項而是必選項

安全漏洞的成本不僅僅是金錢。今天對數(shù)據(jù)安全進行投資可以防止長期的負面后果，這些負面后果會耗費企業(yè)的時間、金錢和聲譽。

企業(yè)和個人活動正日益數(shù)字化。無論您是簡單地使用連接的溫度計測量體溫，還是通過復雜的供應鏈發(fā)送產品，企業(yè)都會不斷收集數(shù)據(jù)以改進服務和改進運營流程。

企業(yè)一直在尋找更多獲取高質量數(shù)據(jù)的方法——無論是從自己的運營中、從互聯(lián)網(wǎng)收集還是從第三方購買。反過來，飆升的需求激起了一些不太善意的實體的興趣。

隨著對數(shù)據(jù)需求的增長，網(wǎng)絡攻擊的頻率、嚴重性和復雜性都在增長。導致數(shù)據(jù)泄露的幾個因素包括使用第三方服務、網(wǎng)絡運營風險、廣泛的云遷移、增加的系統(tǒng)復雜性和合規(guī)性失敗。

數(shù)據(jù)泄露可能會在財務上摧毀公司，同時對其聲譽造成不可挽回的損害。根據(jù) IBM 的一份報告，數(shù)據(jù)泄露的平均成本為每條記錄 150 美元。每次事件平均丟失 25,575 條記錄，網(wǎng)絡攻擊可能會給公司造成大約 392 萬美元的損失。

普普點評——

即使對于不直接參與該行業(yè)的企業(yè)來說，內部和外部的數(shù)據(jù)收集也已成為日常活動。由于惡意行為者試圖濫用安全問題，適當?shù)墓芾韺嵺`仍在等待實施。

然而，與幾乎任何其他威脅相比，此類問題有可能對個人和公司造成更大的損害。了解數(shù)據(jù)安全不再是企業(yè)事后才考慮的問題，這一點至關重要。