1、制定明確的目標

創建網絡安全文化的第一步是定義基本指標，并確保企業中每個與網絡安全相關者都知道該計劃。該計劃應該詳細說明當網絡安全事件發生時必須采取的步驟。

2、從高層開始推動

組織成功打造安全文化的第一步是取得管理層的支持和配合。安全專業人員應了解公司整體業務戰略，識別出與該戰略相關的風險，并用業務部門能夠理解的術語傳達這些風險。

3、要以人為本

讓員工在工作模式上做出改變是很困難的，因為他們更專注于自己的工作。另一方面，網絡安全是一個不斷變化的領域，給他們學習所需的資源，并實施一些激勵措施。

4、讓安全意識培訓變得有趣有益

一般的安全培訓課程會讓員工覺得很無聊。如果企業想認真對待網絡安全文化和意識培養，常常需要更好的方法。

5、持續的訓練和優化

網絡犯罪分子每天都在尋找新的漏洞，企業也應該如此。

普普點評——

對于現代企業組織而言，打造健康、先進的網絡安全文化具有重大的現實意義和作用，不僅可以使網絡應用環境更加安全和諧，還可以讓所有員工都意識到維護網絡安全環境的重要性，以及自己在保護企業和個人網絡安全方面的責任與角色。

技術引領未來, IDC TechScape中國數據安全發展路線圖首發

2022年8月26日——IDC 2022 CSO全球網絡安全峰會（中國站）在上海隆重開幕，會上首次發布《IDC TechScape：中國數據安全發展路線圖，2022》。報告認為，幫助用戶構建全方位數據安全治理體系將成為大趨勢，各項數據安全和密碼技術將在治理體系中作為重點能力模塊，賦能用戶實現數據安全治理目標。

近年來，全球數據安全形勢愈發嚴峻，層出不窮的網絡攻擊事件，嚴重影響著全球企業數字化轉型的正常進行，也極大的刺激了數據安全市場的需求供給。根據IDC統計，2021年中國數據安全產品與服務的總市場規模（包含隱私計算與區塊鏈技術中的數據安全部分）達到12.43億美金，約合80.2億人民幣。為此，我國陸續頒布施行的《十四五規劃綱要》《數據安全法》《個人信息保護法》等政策法規，均明確提出推動發展數據戰略，統籌數據開發利用、隱私保護和公共安全，規范數據有序流通，保障數據安全。

普普點評——

數據安全市場將在國家政策和市場需求的共同驅動下快速發展，中國數據安全技術及市場發展趨勢將主要呈現出數據安全合規變成剛需、數據安全領域技術的融合、數據安全產品與服務的融合、數據安全與網絡安全的融合、密碼能力集成趨勢逐步增強、云上數據安全合作能力進一步加強、新興科技賦能數據安全、關注業務數據安全進行網格化管理、聚焦場景應用等一系列特點。

從隱私到隱私計算

隱私保護原本是個人的行為，是為了提高個體的安全，其根本原因在于隱私數據所有權和使用權的分離。

例如，對于大多數人而言，姓名和性別是他們的公共屬性，而且通常愿意揭示它們，不屬于隱私。在某些情況下，個人的年齡，身高和體重可能是隱私數據。但是有時同樣要公開，例如看病的時候，一個醫生需要知道病人身體和精神上的細節，如果需要會診，這些隱私數據還會開放給一組醫生，醫生們需要使用這些數據對病情進行診斷。

對隱私保護的直觀方式是什么都不透露，但這幾乎是不切實際的。隨著時間的推移，隱私的概念已經發生了演變。有人建議隱私不能進入數據庫，即從數據庫中無法了解任何關于個人的信息，也有人強調，個人的隱私可以被視為“隱藏在人群中”，更一般的看法是，信息收集和傳播應適合于確定的場景，并遵守有關信息傳播的規范。

普普點評——

在IT領域，隱私是一個抽象的概念，不能代替具體事物或人的行為，只是它們所反映出來的信息。也就是說，隱私本質上是一種信息，一種屬于私人不愿為他人知曉或干涉的信息。例如電子郵件、即時通信的內容等，這些工具本身并不是隱私，只是其中記載并反映出來的信息才是隱私。

一文詳解Web滲透測試的重要性

滲透測試是針對計算機系統進行的一種模擬網絡攻擊，目的是為了尋找可能被利用的漏洞。這是一項自我評估測試，用于評估計算機系統和網絡中可被利用的漏洞。

網絡滲透測試是一種網絡評估工具，被網絡安全專業人員用來評估現有網絡安全工具的完整性和有效性。這是一項對現有網絡安全實施構成威脅的風險因素所進行的詳細安全評估。通過對公司的數字資源和網絡進行分析和掃描，網絡滲透測試能夠檢測出任何存在的漏洞。一旦發現漏洞，就會對其進行檢查，以確定黑客是否可以通過滲透測試利用這些漏洞。

Web滲透測試針對的是基于Web的客戶端應用程序，它涵蓋了當今企業組織使用的大多數應用程序。由于Web應用程序的廣泛使用，Web滲透測試是任何網絡安全解決方案的關鍵組成部分。這是因為這些基于網絡的應用程序可以讓黑客訪問個人身份信息（PII）—知識產權、受保護的健康信息，以及不想被訪問的保密網絡和資源。這使得對基于網絡的客戶應用程序受到攻擊的威脅變得非常嚴重。

普普點評——

通常情況下，網站會受到保護而免遭黑客攻擊，但保存、保護機密文件和知識產權仍需要強大的安全保障。這種安全保障是為了抵御來自黑客的網絡攻擊或網暴。在這種情況下，Web滲透測試是安全專業人員用來防止此類網絡入侵的最佳工具之一。

云計算配置錯誤導致的漏洞如何進行處理

根據Gartner公司副總裁分析師兼Neil MacDonald說：“幾乎所有對云服務的成功攻擊都源于客戶配置錯誤、管理不善和漏洞?！彪m然聽起來這有些指責的意味，但這種說法是準確的。而由供應商疏忽造成的違規事件并不多。

云配置錯誤描述了可能破壞性能、安全性或一般可靠性的云服務的任何不當實施。惡意行為者可以利用這些漏洞利用配置錯誤的基礎設施，并利用它來利用和發起網絡攻擊。

錯誤配置的原因和示例包括：

云計算本質上是企業實現遠程工作的基礎。無論是訪問軟件即服務產品以進行編程還是會計，其優勢都已得到充分證明。然而，隨著企業和個人將更多云平臺提供的服務集成到他們的軟件堆棧中，他們的安全性和配置要求也會發生變化。有更多的移動部件需要跟蹤。

普普點評——

通常情況下，網站會受到保護而免遭黑客攻擊，但保存、保護機密文件和知識產權仍需要強大的安全保障。這種安全保障是為了抵御來自黑客的網絡攻擊或網暴。在這種情況下，Web滲透測試是安全專業人員用來防止此類網絡入侵的最佳工具之一。

利用零信任原則保障 Kubernetes 環境訪問安全

現代 IT 環境變得越來越動態。舉例來說，Kubernetes 拓展了許多組織的可能性邊界。開源技術在容器化應用程序自動部署、擴展性和管理方面有諸多好處。特別地，IT 團隊可以利用其強大的功能、有效性和靈活性快速開發現代應用程序并大規模交付。

然而，為 Kubernetes 環境安全強化實踐提供保障的流程面臨著越來越大的挑戰。隨著分布在本地數據中心、多公有云提供商和邊緣位置的 Kubernetes 開發和生產集群數量越來越多，這種相對較新的動態操作模型給訪問控制帶來了很大的復雜性。

由于大部分團隊都有多個集群在多個位置運行——通常使用不同的發行版，有不同的管理界面——企業 IT 部門需要考慮到，開發、運營、承包商和合作伙伴團隊需要不同級別的訪問權限。

考慮到 Kubernetes 的分布式和可擴展特性，IT 部門必須盡一切可能確保訪問安全性，避免正在發生的錯誤。下面我們將介紹如何應用 Kubernetes 零信任原則來保護整個環境，為容器提供零信任安全。

普普點評——

零信任是一個安全模型，它會自動假設所有在網絡中或網絡間進行操作的人、系統和服務都是不可信任的。零信任正成為預防惡意攻擊的最佳技術。以身份驗證、授權和加密技術為基礎，零信任的目的是持續驗證安全配置和態勢，確保整個環境值得信任。

為什么數據安全不再是可選項而是必選項

安全漏洞的成本不僅僅是金錢。今天對數據安全進行投資可以防止長期的負面后果，這些負面后果會耗費企業的時間、金錢和聲譽。

企業和個人活動正日益數字化。無論您是簡單地使用連接的溫度計測量體溫，還是通過復雜的供應鏈發送產品，企業都會不斷收集數據以改進服務和改進運營流程。

企業一直在尋找更多獲取高質量數據的方法——無論是從自己的運營中、從互聯網收集還是從第三方購買。反過來，飆升的需求激起了一些不太善意的實體的興趣。

隨著對數據需求的增長，網絡攻擊的頻率、嚴重性和復雜性都在增長。導致數據泄露的幾個因素包括使用第三方服務、網絡運營風險、廣泛的云遷移、增加的系統復雜性和合規性失敗。

數據泄露可能會在財務上摧毀公司，同時對其聲譽造成不可挽回的損害。根據 IBM 的一份報告，數據泄露的平均成本為每條記錄 150 美元。每次事件平均丟失 25,575 條記錄，網絡攻擊可能會給公司造成大約 392 萬美元的損失。

普普點評——

即使對于不直接參與該行業的企業來說，內部和外部的數據收集也已成為日?；顒?。由于惡意行為者試圖濫用安全問題，適當的管理實踐仍在等待實施。

然而，與幾乎任何其他威脅相比，此類問題有可能對個人和公司造成更大的損害。了解數據安全不再是企業事后才考慮的問題，這一點至關重要。