搜尋結果
謝續平敦促企業自動化管理系統. 國立陽明交通大學終身講座教授謝續平表示,台灣大部分企業的資安概念仍停留在「管理」層級,購買防火墻軟體後,就丟包交給技術部門全權負責,然而,面對生成式AI能夠快速生成攻擊程序或釣魚郵件的威脅,如何從「管理」進階至「治理」層級,管理層也積極參與,就組織營運角度,從上到下全面考量企業整體資安問題,已成為接下來台灣數位轉型的重要目標。 謝續平指出,2022年最新的ISO 27001(信息安全管理系統要求標準)相比起2013年版本,除了關注資訊的機密性(confidentiality)、完整性 (integrity)和可用性 (availability)外,更重視企業「看見」(visibility)問題和有效監管的問題。
訂閱電子報. 2023年十月16日 (一) AM 09:00. 翻譯及整理:叡揚資訊 資訊安全事業處. 資料來源: https://www.securecodewarrior.com/press-releases/pci-dss-4-0-is-an-opportunity-not-just-a-potential-pitfall. 資安稽核力量與規章制度應該被視為產業創新的推動者,而非成為發展的絆腳石。 支付業者應緊密關注可能對未來產業帶來影響的新法案,同時積極因應法規調整,並進行自我調整。
GSSDLC 自動化持續整合及部署平台. GSSDLC為實踐版控管理、原始碼檢核、程式建構、程式部署的最佳自動化平台,提供Web-base的服務架構,以統一管理介面整合多種DevOps工具,制定完整且具有彈性之自動化作業程序,加速軟體交付速度,減少人工作業導致的錯誤。 特色一 可結合企業版控系統. 支援多種原始碼版控軟體,例如:Git、Subversion、TFS、CVS等,可直接與GSSDLC結合取出原始碼。 特色二 整合原始碼檢測工具. 透過CLI (Command-line Interface)與原始碼檢查或測試工具整合,執行遠端呼叫啟動檢測程序。 特色三 輕鬆執行原始碼部署.
企業數位總部導入系統創造數位優勢的最後一哩路. 2020年九月09日 (三) AM 10:46. 中央通訊社: https://www.cna.com.tw/postwrite/Detail/278722.aspx#.X1hBvWczZTZ. 「面對疫情,對企業而言是一個打破過去經驗的新時代,我們應該定義自己是「數位總部」,因為數位是打通全世界的 ...
- 什麼是企業金鑰管理?
- 金鑰管理生命週期的關鍵
- 集中金鑰管理及政策執行
- 選擇專用的安全產品及服務
- 關於safenet金鑰管理
- 結論
企業金鑰管理是使用一種集中作法控制企業中所有的加密金鑰,用於保護企業中所有重要資料,特別是所有關於加密的『機密』治理,包含以下幾種資源: 1. 身份:包含終端用戶、端點及服務。這些為使用非對稱加密時所使用的公開金鑰基礎架構。 2. 資訊:透過對稱加密,管理資料以及包含這些資料的容器及媒體。 企業金鑰管理主要透過標準化和集中化管理企業加密金鑰, 因此資訊安全團隊可以更有效地查看和控制金鑰管理和部署的方法。真正的企業金鑰管理是將所有與加密有關的資訊系統相關的秘密均以單一、統一的方式進行管理。在此架構下,數位保護將由資料加密、通訊加密和身分金鑰所定義。 圖說:企業金鑰管理基礎架構
主動積極全面防禦的資料安全
過去的資料安全投資及部署多為被動,例如:為了應付違規行為;為即將到來的稽核做準備;因應調整政策以符合將修改的法規。隨著企業資訊安全團隊組織發展,過去被動的行為逐漸變得主動且方法上也變得更有效率,企業金鑰管理將成為整體安全策略計劃的其中一部分,而非僅針對單一問題及法規一連串的被動回應。因此,資訊安全團隊將能更有能力及有效率地專注於保護最關鍵的資產,以確保企業最佳安全性。
持續且以資料為中心的防護
從過去經驗來看,許多加密解決方案都是以二分法的方式保護資源。例如:在儲存加密下,資訊安全團隊只能對整個備份磁帶或磁帶上的備份工作進行加密和解密。對筆記型電腦加密時,整個硬碟也將被加密。但是,這些解決方案中,在工作上遇到不少限制,因為當需要資料時,整個磁帶或系統都需要進行解密。此外,這些戰術部署通常只能處理一種特定的威脅。例如,磁帶加密只能防止磁帶遺失或遭竊,全磁碟加密也只能防止磁碟外洩。現在需要採取更持久細緻和更針對以資產為基礎的加密替代方案。持久的加密能透過全面的解決方案,防範各式的威脅及風險。這些加密機制需要管理員和終端用戶設定帳戶及密碼,將資源類型、特定資產進行加密。這代表我們不僅可以解密資料庫中的信用卡欄位,還可以加密Excel工作表中具有敏感薪資的資訊。透過更細膩的加密機制,更能夠有效監控、修復,符合稽核規範及法規要求。 以下是加密須符合的要素: 1. 貫徹性 加密機制需要貫徹執行,因此若敏感性資料透過電子郵件進行發送,存取到隨身碟、存放在雲端應用程式中,或傳輸到任何其他位置,敏感資料應保持持續加密。 1. 由上到下的政策執行 管理者需要有效率地由上到下貫策推動...
實際上,企業金鑰管理要能集中管理整個企業的金鑰,,包含跨異質資料平台、應用程式環境、端點等。以下是這種作法的優點: 1. 減少金鑰暴露:在安全性方面提供基本優勢,因為限制了金鑰所在位置的數量,盡量減少外洩的可能性。 2. 貫徹一致政策:集中金鑰管理使管理員能夠更一致執行符合企業標準及跨企業的政策。例如:管理員能夠一次性在特定資產周圍部署使用者憑證及政策,然後確保有效地執行,無論資料是儲存的資料庫伺服器、大型主機或是筆記型電腦。 3. 簡化管理:簡化管理流程,使管理員能夠一次性更新或修改相關設定並應用到所有相關領域。 4. 提升加密效率:為一種更有效率的管理模型;相對於單點加密,資料在一個平台傳輸到另一個平台時必須對其進行解密及重新加密,現在特定資產只需加密一次就能分佈到多個系...
為了最有效的保護金鑰管理基礎設施,企業需將金鑰管理從通用系統中移除。例如:軟體式的金鑰管理器將金鑰保存在與加解密資料放在相同的位置,這可能會造成可用性風險,例如:如果系統損毀,金鑰及資料都將遺失。此外,也可能遭受安全風險,因為這些基於軟體的機制通常容易有許多內部使用者取用。取而代之,組織需要確保金鑰在以安全為主的基礎設計架構下進行設置和管理。對於雲端服務業者和企業來說,採用軟體,硬體和服務須符合與通用標準(Common Criteria)和聯邦資訊處理標準(FIPS)等相關法規的合規性。 在使用硬體方面,則需要能預防竄改的硬體的安全模組,確保關鍵資料無法透過從裝置刪除實體金鑰存放裝置來竊取。例如:一個希望利用雲端供應商彈性儲存功能的企業可以在將資料移轉到雲端之前,先對敏感性資料進行加密,並在...
SafeNet KeySecure是業界領先的加密金鑰集中管理和安全平台,支持廣泛的加密生態系統(包括SafeNet和第三方產品),可保護傳統和虛擬化資料中心和公共雲環境中的資料庫、虛擬工作負載和應用程式的敏感資料。 SafeNet 硬體安全模組 (HSM) 為企業和政府組織提供可靠的應用程式、交易、身分識別和資訊資產防護,以確保其符合法規,降低法定義務的風險,並能提高收益。SafeNet HSM 是最安全且高效能的加密編譯金鑰防護解決方案,提供加密、解密、身分驗證和數位簽章服務,並可以保護付款交易、支付卡和 PIN 的安全。 圖說:資料容易暴露的地方
近年來,加密及金鑰管理的方法變革迅速,但從成本及管理的角度來看,持續性發展和實現最嚴密的安全要求,還需要持續的進化。為此,企業需要先規劃及準備企業金鑰管理,實現單一且具有凝聚力的方法管理所有金鑰。提供開放性標準、靈活地整合、細膩持續地中央控制及管理。
美國衛生及公共服務部(HHS)網站近期一份名為《 AI應用程式的健康資料共享及利用 》的圓桌會議報告,詳述了未來AI將會如何應用於醫療保健、診斷、治療以及病患照護。 大多數人都知道AI應用程式需要大量資料以量測有意義的數值,而這些資料需直接從病患身上得到。 如今患者皆透過感應器或穿戴式裝置、社群媒體及行動裝置,產生大量個人的健康相關資料。 這些資料對AI應用程式之重要性與日俱增。 大部分「服務條款」下蒐集的資料,都能供非HIPAA規範的組織使用。 美國衛生及公共服務部為了公民的權利,提供許多相關資源,讓可能蒐集敏感健康資料的軟體及社群媒體開發公司使用。
鑒於台灣資安人才缺乏培育,叡揚資安團隊致力於提供台灣各大企業 DevOps 資訊安全解決方案,於 2022 年正式啟動「安全達人養成計畫」,以提升台灣企業資訊安全意識及人才技術能力為目標,報名並參與本計畫活動者,可獲得叡揚獨家授權帳號,免費搶先試用 ...
