【企業(yè)網(wǎng)路安全】資安『零信任』概念

文：蔡宜蓁 2021-03-08

網(wǎng)路安全 資訊安全 資安零信任

? ?

資安『零信任』是面對資訊安全的謹慎態(tài)度

資安『零信任』，有人說它是一個零星的架構(gòu)，也有人說它是一個概念，但因為資安『零信任』沒有很明確的架構(gòu)組織規(guī)範，所以，我認為它是一個面對資訊安全的謹慎態(tài)度，它所具備的精神就是什麼都不能被相信、一切都需要驗證。

例如：主管發(fā)了一封Mail給你，請你提供帳號密碼，因為他人在國外要登入，忘記帳號密碼了。這件事情你直接相信嗎? 還是你必須去查證? 我相信這是需要查證的，因為他索取的資料太敏感，你不能立刻提供，你不能相信寫Mail來的人就是你老闆，而且現(xiàn)在入侵釣魚的方式這麼多，所以很可能是被偽造的，什麼都不要相信。

採『零信任』概念，規(guī)劃企業(yè)資訊安全架構(gòu)

再來，我們應該基於資安會有缺口、會被侵入的理念下，去規(guī)劃資訊安全架構(gòu)會比較合理、比較符合現(xiàn)在這麼多的攻擊手段，因此，必須用『零信任』的概念來提升企業(yè)的資訊安全防護能力。

第一，已經(jīng)沒有安全邊界。

以前資訊從業(yè)同仁都會覺得在企業(yè)放一個防火牆就可以阻隔大部分的入侵攻擊，然後再規(guī)劃Trust(內(nèi)部網(wǎng)絡)、Untrust(不信任的網(wǎng)絡)即可。但是時至今日，大家頻繁使用雲(yún)端服務、雲(yún)端應用，像是OneDrive、Dropbox、雲(yún)端Mail，而且現(xiàn)在攻擊的手法越來越新，釣魚信件、勒索信件、詐騙信件層出不窮，公司員工很容易因為這樣的手法而導致內(nèi)網(wǎng)被侵入，甚至有些公司已經(jīng)直接使用雲(yún)端的伺服器、雲(yún)端ERP，整個就直接連網(wǎng)使用了。所以，資訊安全架構(gòu)的規(guī)劃設計，已是無安全邊界的概念。

第二，確認、再確認。

你不能相信輸入帳號密碼登入，代表就是本人登入的，有可能是其他人打算竊取資料，這是有可能的，而且這個情況常發(fā)生，所以你必須確認、再確認。

第三，最小化的使用原則。

基於內(nèi)網(wǎng)可能被駭客入侵的情況下，當內(nèi)網(wǎng)被駭客入侵的時候，如何讓公司的損失縮到最小，因此，你必須規(guī)劃最小化的使用規(guī)則。如果我的電腦被入侵了，我的帳號密碼可以到達跟使用的任何服務，駭客都可以去測測看能不能拿到他想要資料。這個時候如果你是用最小化的使用規(guī)則做規(guī)劃，他能夠得到的資訊就不會那麼多。

提升企業(yè)資安防護力的五大原則

最後，我們來探討如何提升企業(yè)資安防護力的方法，

1. 身份識別，尤其是在雲(yún)端服務的部分；

2. 裝置安全，你如何知道目前在內(nèi)網(wǎng)、或者在外網(wǎng)連接使用的裝置是安全的；

3. 網(wǎng)路安全；

4. 工作程序跟稽核，如何設計一個可被驗證的工作程序；

5. 資料存取。

我們應該要遵循上述五大原則來做規(guī)劃跟設計，以利提升企業(yè)資安防護力。

【下集預告】企業(yè)網(wǎng)路安全_社交工程演練的重要性

林崇裕

經(jīng)歷：

現(xiàn)任鼎新電腦科技系統(tǒng)維護事業(yè)部資深系統(tǒng)工程師。鼎新近20年服務經(jīng)歷，10年企業(yè)客戶服務經(jīng)歷，10年資安規(guī)劃及資安顧問經(jīng)歷。經(jīng)歷工程服務部主任、工程服務部副理、工程部服務經(jīng)理、服務加值部經(jīng)理、資深系統(tǒng)工程師、企業(yè)資安顧問及資安專任講師，深知企業(yè)目前面對的資訊安全挑戰(zhàn)及存在企業(yè)內(nèi)部的漏洞。

專長：取得ITIL V3 Foundation、ISO 27001 LA專業(yè)證照。

相關(guān)資訊