互联网

网络安全“零事故”,精准防护是关键

2022/7/14 16:13:00


2022北京网络安全大会713日盛大开幕,在2022北京网络安全大会期间,多位与会专家认为,应进一步摆脱传统思路束缚,将零事故作为网络安全建设新目标,总结了零事故的三条标准,分别是业务不中断、数据不出事以及合规不踩线。强调,合规作为网络安全的基本要求和底线,企业不遵守安全规范,就像没有打牢地基,注定无法长久。

“零事故”三条标准:业务不中断、数据不出事、合规不踩线。实现网络安全“零事故”目标需满足三个要求:联合作战、精准防护和深度运营。其中精准防护是实现数据不出事的关键。

14.png 

首先,精准防护要“防内鬼”。这一步的核心是管特权。特权账号是通往企业数据大门的“钥匙”,要把“账号特权”管起来,对特权账号的开设、使用、注销进行全生命周期的统一管理;治理“一号多用”现象,一经发现立刻降权;解决“账号弱口令”问题,用密码保险箱实现“一次一密”,防范密码泄露和身份仿冒风险。同时,通过堡垒机,实现所有账号对数据访问的安全管控;通过数据库审计,确保一切数据操作行为可追踪、可溯源。

其次,精准防护要防住外部攻击。这一步的重点是给API上锁。API接口是数字系统的神经元,具有联络和整合输入信息并传出信息的作用。一个中型数字化企业中的API接口数量可能多达数万个,通过API接口盗窃数据已成为网络攻击的重点。

最后,精准防护还需要实现全局管控。这一步需要施行“零信任”策略。“零信任”默认任何人、任何设备都不可信,在用户的每一个网络访问活动中重新检查凭证,以实现“权限最小化”。一方面,对主体身份进行动态授权管理,确保主体身份可信;另一方面,通过主客体的身份管理系统和风险管理系统,持续进行信任评估,确保行为操作合规。一旦发现异常行为,立刻冻结权限,从而有效降低数据安全风险。

防住“内鬼”和外部攻击,实现全局管控,真正落地网络安全“零事故”。“零事故”之路,将加快网络安全领域的创新,推动网络安全防御能力实现新飞跃。

原文地址:https://www.sfn.cn/news/technology/detail/514.html?navId=22

版权声明
本文仅代表作者观点,不代表艾瑞立场。本文系作者授权艾瑞专栏发表,未经许可,不得转载。

专家介绍

北京中科三方网络技术有限公司成立于2000年,总部坐落于中国的硅谷--北京市中关村中国科学院软件园区,是中国科学院控股有限公司(简称“国科控股”或“中科院控股”)旗下国有企业。 中科三方是中国互联网络信息中心(CNNIC)批准的域名服务机构,是国家信息产业部批准的全国性互联网接入服务商,具备跨地区增值电信业务经营资格。秉承中科院的基础资源优势,中科三方深耕域名相关技术领域二十余载,充分发挥核心竞争优势,专注域名及域名安全技术研发,提供域名注册及管理、域名锁、云解析、IPv6转换、云盾、SSL证书等一站式域名解决方案。 目前,中科三方拥有3家分支机构,分别是北京中科三方信息安全技术有限公司、北京市中科三方知识产权运营有限公司和秦皇岛中科三方网络技术有限公司,凭借雄厚的技术底蕴和丰富的行业经验,中科三方已为70%国家机关、50%大型央企、50%大型金融机构以及100+中国500强企业等关键领域核心客户提供域名安全产品及服务,连续多年被公安部和工信部指定为重大会议及活动期间的重保单位及重保单位支撑单位,圆满完成“两会”、“建党百年”等重保值守工作,多次受到上级组织的致谢和嘉奖。 公司实行会员邀请制度,专注服务高端客户群体,配有先进的检测工具,实行24小时轮询监测,专属客户经理提供一对一专业咨询服务,专业工程师团队快速排障,网络任一环节的问题都第一时间响应、解决,时刻为客户的域名及网站的安全保驾护航。 中科三方一直秉承“专业、安全、服务”的企业精神,面向国家战略需求,面向世界科技前沿,专注于域名及域名安全服务,致力于让用户享受到先进的互联网产品与服务。
  • 合作伙伴

  • 官方微信
    官方微信

    新浪微博
    邮件订阅
    第一时间获取最新行业数据、研究成果、产业报告、活动峰会等信息。
     关于艾瑞| 业务体系| 加入艾瑞| 服务声明| 信息反馈| 联系我们| 合作伙伴| 友情链接

Copyright© 沪公网安备 31010402000581号沪ICP备15021772号-10

扫一扫,或长按识别二维码

关注艾瑞网官方微信公众号