【企業網路安全】資安『零信任』概念

文：蔡宜蓁 2021-03-08

網路安全 資訊安全 資安零信任

資安『零信任』是面對資訊安全的謹慎態度

資安『零信任』，有人說它是一個零星的架構，也有人說它是一個概念，但因為資安『零信任』沒有很明確的架構組織規範，所以，我認為它是一個面對資訊安全的謹慎態度，它所具備的精神就是什麼都不能被相信、一切都需要驗證。

例如：主管發了一封Mail給你，請你提供帳號密碼，因為他人在國外要登入，忘記帳號密碼了。這件事情你直接相信嗎? 還是你必須去查證? 我相信這是需要查證的，因為他索取的資料太敏感，你不能立刻提供，你不能相信寫Mail來的人就是你老闆，而且現在入侵釣魚的方式這麼多，所以很可能是被偽造的，什麼都不要相信。

採『零信任』概念，規劃企業資訊安全架構

再來，我們應該基於資安會有缺口、會被侵入的理念下，去規劃資訊安全架構會比較合理、比較符合現在這麼多的攻擊手段，因此，必須用『零信任』的概念來提升企業的資訊安全防護能力。

第一，已經沒有安全邊界。

以前資訊從業同仁都會覺得在企業放一個防火牆就可以阻隔大部分的入侵攻擊，然後再規劃Trust(內部網絡)、Untrust(不信任的網絡)即可。但是時至今日，大家頻繁使用雲端服務、雲端應用，像是OneDrive、Dropbox、雲端Mail，而且現在攻擊的手法越來越新，釣魚信件、勒索信件、詐騙信件層出不窮，公司員工很容易因為這樣的手法而導致內網被侵入，甚至有些公司已經直接使用雲端的伺服器、雲端ERP，整個就直接連網使用了。所以，資訊安全架構的規劃設計，已是無安全邊界的概念。

第二，確認、再確認。

你不能相信輸入帳號密碼登入，代表就是本人登入的，有可能是其他人打算竊取資料，這是有可能的，而且這個情況常發生，所以你必須確認、再確認。

第三，最小化的使用原則。

基於內網可能被駭客入侵的情況下，當內網被駭客入侵的時候，如何讓公司的損失縮到最小，因此，你必須規劃最小化的使用規則。如果我的電腦被入侵了，我的帳號密碼可以到達跟使用的任何服務，駭客都可以去測測看能不能拿到他想要資料。這個時候如果你是用最小化的使用規則做規劃，他能夠得到的資訊就不會那麼多。

提升企業資安防護力的五大原則

最後，我們來探討如何提升企業資安防護力的方法，

1. 身份識別，尤其是在雲端服務的部分；

2. 裝置安全，你如何知道目前在內網、或者在外網連接使用的裝置是安全的；

3. 網路安全；

4. 工作程序跟稽核，如何設計一個可被驗證的工作程序；

5. 資料存取。

我們應該要遵循上述五大原則來做規劃跟設計，以利提升企業資安防護力。

【下集預告】企業網路安全_社交工程演練的重要性

林崇裕

經歷：

現任鼎新電腦科技系統維護事業部資深系統工程師。鼎新近20年服務經歷，10年企業客戶服務經歷，10年資安規劃及資安顧問經歷。經歷工程服務部主任、工程服務部副理、工程部服務經理、服務加值部經理、資深系統工程師、企業資安顧問及資安專任講師，深知企業目前面對的資訊安全挑戰及存在企業內部的漏洞。

專長：取得ITIL V3 Foundation、ISO 27001 LA專業證照。

相關資訊