文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

“零信任”安全,为什么这么火?

2024-12-03 03:05

关注

此外,很多企业都正在饱受“内鬼”问题的困扰。

[[408218]]

有赞微盟系统遭核心运维人员贺某删库,导致大面积服务集群无法响应,生产环境及数据遭到严重破坏。

某一家互联网巨头公司,在重点城市的日均单量数据,被内部人员以2万元的价格,卖给了竞争对手。

员工离职时,拷走公司业务所有的源代码……

类似的事情还有很多,有时候数据泄露,并不是遭受黑客攻击,而是来自“内鬼”的攻击,防不胜防。

在这样的背景下,由研究机构Forrester的首席分析师约翰·金德维格在2010年提出的“零信任”安全又火了起来。

2018年,英格索兰工业美国公司发现,其服务工程师孙某将公司69万份保密信息下载到硬盘以及转发到自己的私人邮箱里。

相关工作人员对孙某进行约谈后,随即解除了劳动合同,一纸诉状将其告上法庭。

最高人民法院终审判决认为,孙某的行为构成《中华人民共和国反不正当竞争法》,应承担相应的民事责任。

像“内鬼”下载公司内部机密资料的事件,并不少见。

在大数据时代,数据已然成为影响企业生存发展的核心机密。

以早之前进行补贴大战的两家互联网企业为例,如果自己的当天的补贴单量及补贴价格,被泄露给竞争对手。那么对手就可以根据其补贴情况,灵活调整补贴打法,占尽优势。

为了解决近年来越来越频繁的“内鬼”问题,“零信任”理念正式登上历史舞台。

什么是“零信任”

“零信任”既不是一种技术手段,也不是某一种产品,而是一种安全理念。它会假定网络边界内外的任何主体,在未经验证前都不予信任。

“持续验证,用不信任”,是零信任的基本观点。

正如约翰·金德维格所言:“证明员工身份的不是密码,是行为。”

除了使用身份鉴别技术外,“零信任”还会监控账号的行为。

举一个简单的例子,如果某一企业员工,拥有访问企业源代码资源库的权限,但这一账号并不是判断合法行为的唯一标准,即不是在权限内的所有行为,都会被认为是合理合法。

正常来说,每天工作时间这名员工会做一些代码的拉取和提交行为,但如果有一天他下载了大量平时不经常访问的数据库代码,显然该行为存在风险,应及时预警或者阻断。

2020年,美国国家标准与技术研究院(NIST)发布了零信任架构标准,进一步推动了“零信任”安全的发展。

[[408219]]

如今,在阿里、字节、快手等大厂,如果员工离开座位没有关闭电脑,很快就会被风控部门约谈,甚至被罚款。

以前滴滴的员工可以随意查看跨部门的单量信息,现在已经被严格的权限方案所限制。

快手、腾讯内部的数据文档不再能随意下载,也不能被传输。

近年来,数据泄露事件有逐渐扩散的趋势,越来越多的企业将自己的数据搬到“云上”,网络边界越来越模糊,这些因素对企业安全提出了更高的要求,“零信任”安全理念也正在被越来越多的企业所接受和使用。

 

来源:今日头条内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯