What is Zero Trust and why is it important?
零信任是什麼?
零信任安全(Zero Trust Security)的主要概念是「從不信任,總是驗證」,指預設情況下不應該信任嘗試建立連線的設備,即使它們連接到許可網絡(例如公司 LAN)或之前已經過驗證。其零信任(Zero Trust)一詞最早出現於 Stephen Paul Marsh 在 1994 年於斯特靈大學(University of Stirling)發表的博士論文,其研究著墨於「可用數學描述的有限信任,其概念超越人為因素,如道德倫理、法律正義或判決。」
2009年,Google 實作零信任架構 BeyondCorp,旨在保護網路連線安全,且有別於傳統Virtual Private Network (VPN),BeyondCorp 的登入存取政策是基於設備的資訊、狀態和使用者,並以「內網及外網皆完全不可信任」為前提實作網路安全。隨後在2010年,Forrester Research 的分析師 John Kindervag 以零信任為基礎,提出一個更嚴格的企業網路安全存取措施。然而,此時的零信任概念尚未普及,是隨著越來越多的雲服務以及個人連網設備,如雨後春筍般於2015 - 2020大量被布署及使用,「零信任」一詞才成為業界資安實作的準則及基石。
一、美國國家標準暨技術研究院零信任框架 NIST SP 800-207
2018年,美國國家標準暨技術研究院(National Institute of Standards)and Technologies,NIST)發布了 SP 800-207 文件,標題為「零信任架構」(Zero Trust Architecture),定義零信任為「在面對易受攻擊的網路中,一系列的概念及作法,設計用來減少在資訊系統或服務中,準確地執行每次的存取請求的不確定性。」
二、零信任安全基礎原理
具體的零信任安全實行需要多因素認證(multi-factor authentication)、身分保護(identity protection)、端點保護(endpoint security)、雲端認證、系統安全維護等技術,也需依照安全強度考量資料加密保護、電子郵件安全、端點認證等,且在每個環節中,以「從不信任,總是驗證」為準則,並在預設時段後重新進行驗證。因此,企業需要持續監控並驗證使用者和設備的授權狀態。企業亦需考量使用者和設備的安全風險,並有效地實行政策及合規,藉此管控潛在安全風險。零信任架構要求企業完全掌握對內及對外的服務及特權帳號,建立確實的管理方式來掌握連線的對象及位置。此外,一次性的驗證無法符合零信任的概念,因為威脅和使用者狀態隨時都在改變。
三、匯智安全科技從「身分認證到檔案存取」實現零信任原則
一般提及的零信任僅止於網路端點防護,然而,當勒索病毒侵入企業系統後,已偷偷將內部檔案竊取,因此,最根本的保護還是需以檔案本身為考量。匯智安全的 FileAegis 檔案安全管理平台,從使用者登入到檔案存取,導入FIDO2國際標準多因素認證(MFA),並加密上傳及儲存的資料,不僅確保登入權限的合法性,連檔案本身的存取權限也使用獨家專利加密技術,確保非授權者無法解密,是新一代從檔案端實現零信任的解決方案。
壹、適用範圍
本網站「隱私權聲明」適用於您透過網站洽辦業務、参與活動、或透過電話、傳真或使用本網站表單提出詢問或建議時,所涉及之個人資料蒐集、處理與利用行為。
貳、個人資料之蒐集、處理及利用
―、當您與本網站洽辦業務或參與網站項活動,我們將視業務或活動性質請您提供必要的個人資料,並在該特定目的範圍內處理及利用您的個人資料;非經您書面同意,我們不會將個人資料用於其他用途。
二、如果您使用電話、傳真或網站表與本網站聯繫,請您提供正確的電話、傳真號碼或電子信箱地址,作為回覆來詢事項之用。
三、您的個人資料在處理過程中,我們將遵守相關之流程及內部作業規範,並依據資訊安全之要求,進行必要之人員控管。
參、與第三人共用個人資料
一、我們絕不會提供、交換、出租或出售任何您的個人資料給其他個人、團體、私人企業或公務機關,但有法律依據或合約義務者,不在此限。
二、前項但書之情形包括不限於
1.配合司法單位合法的調查。
2.配合主管機關依職權或職務需要之調查或使用(例如審計部或會計師查帳)。
3.基於善意相信揭露您的個人資料為法律所必需。
4.當您在本網站的行為,違反本網站的服務條款或可能損害或妨礙我們的權益、或導致任何人遭受損害時,經我們研析揭露您的個人資料是為了辨識、聯絡或採取法律行動所必要者。
5.基於委外契約關係,我們依約履行提供個人資料之義務。
三、我們委託廠商協助蒐集、處理或利用您的個人資料時,將對委外廠商或個人善盡監督管理之責。
肆、cookie之運用
一、基於網站內部管理之需要及提供最佳個人化服務,網站將在您的瀏覽中寫入cookies並讀取記錄瀏覽者的IP位址、上網時間,以及在各項資訊查閱之次數,進行網站流量和網路行為調查之總量分析,本網站不會利用此伺服器紀錄對「個別」瀏覽者進行分析。
二、若您不願接受cookie的寫入,您可將使用中之瀏覽器設定為拒絕cookie的寫入,但也因此會使網站某些功能無法正常執行。
伍、伺服器紀錄
當您透過瀏覽器、應用程式或其他用戶端使用本網站時,我們的伺服器會自動記錄特定的技術性資訊。這些伺服器紀錄可能包含您的網頁要求、網際網路通訊協定位址、瀏覽器類型、瀏覽器語言、送出要求的日期和時間等資訊。此伺服器紀錄僅作為伺服器管理的參考,我們不會利用此伺服器紀錄對「個別」瀏覽者進行分析。
陸、隱私權聲明之修改
本隱私權聲明將適時依據法律修正、相關技術展及内管理制度整而配合修改,落實保障您隱私權及網路安全之初衷。當我們完成相關條款修改時,會立即將其刊登於本網站中。
當您開始使用本網站表示您已明確閱讀並接受本網站使用條款。網站有隨時修改本使用條款,並且強烈建議您留意任何修改或更新,而您持續使用本網站表示您已明確閱讀、同意該修改或更新。若您不同意本網站使用條款,或所在的國家或地區排除適用全部或部份本網站使用條款,請勿使用本網站。
一、智慧財產權
1.智慧財產權保護
所有的內容和程式,包含但不限内容、文章、圖片、聲音、影像、任何多媒體、網站架構、網站設計、網站佈局、數據編輯等,其著作權、專利權、商標、營業秘密技術等任何其他智慧財產皆屬於匯智安全所有並受中華民國著作權法及其他相關法律保護。未經匯智安全事先授權,任何人不得修改、改編、編輯、重製、發佈、重新發佈、散佈、公開傳輸、公開發佈、公開播送、公開展示、進行反向工程或反編譯、拆卸或其他任何商業上非法使用。本網站關於所有權、商標及其他相關聲明不得修改或刪除。若您欲引用或重新發佈任本網站的內容、程式或設計,必需取得匯智安全或其他作人的書面同意,若違反本網站使用條款,您需負擔損害賠償責任。
2.您在本網站的使用授權
請不要上傳、傳輸、張貼、傳送電子件或提供任何非法內容至本網站。當您上傳、傳輸、張貼、傳送電子郵件或提供任何合法內容至本網站時,即表示您同意智安全可修改、改編、編篡、重製、發佈、重新發佈、散佈、公開傳輸、公開發佈、公開播送、公開展示該上傳、傳輸、張貼、傳送電子郵件或提供的合法內容並同意授權他人。此外,您必須保證本網站進行前述行為時,不會侵害他人之智慧財產權,否則您需負損害賠償責任。
二、使用者義務及承諾
1.使用者義務及承諾
本網站是網路的開放區域並開放給其他合作廠商、通路、經銷商、專營商及客戶,您同意合法使用本網站並遵守中華民國法律、規則及國際慣例。若您在中華民國以外的國家或區域使用本網站,您同意遵守當地法律。若您使用建置在中華民國外國家或區域的本網站,您同意遵守當地所有線上規定。
您知悉並同意不犯罪或侵犯他人權利而使用本網站,包括不限於:
- 侵害名譽、隱私、專專、商標、著作權、營業秘密、其他智慧財產權及他人專有權利。
- 違反法律上或契約上之保密義務。
- 模仿他人或實體而使用本網站。
- 傳輸或散佈電腦病毒。
- 刻意干擾或摧毀任何在本網站的數據、功能或系統,例:駭客攻擊
- 傳送促銷或垃圾郵件。
- 上傳、傳送、張貼、傳送電子郵件或任何形式提供任何誹謗的、含有誹謗文字的、威脅的、含混不清的、粗俗無禮的、傷風敗俗的、不真實的或違反公共政策或道德的內容、圖片或檔案至本網站或從事非法生意或張貼虛偽不實或誘惑的訊息。
- 無正當理由從事其他不合宜的舉措。若您侵犯匯智安全或他人的權利或透過本網站的服務從事不法行為,本網站有權終止您使用本網站並對您採取法律行動。
2.會員行為
本網站可能無法預先審查您提供的內容。但基於法律、契約或其他合理理由,本網站有權拒絕或移除您提供的內容。您同意並且願意承擔針對您所提供的內容的準確性、誠實性或無用性而產生的風險。您知悉並且意以下法律上或合理必要目的:
- 遵守相關法律及有關當局的要求。
- 遵守本網站使用條款。
- 因應因侵害他人權利的請求。
- 保護本網站、其權利、其所有權、其他本網站使用者及公眾。
- 如果有必要,本網站可以保存或揭露您提供的內容給主管機關、法院。
三、有限責任
1.系統中斷及故障
本網站可能因為不可抗力因素而中斷故障。中斷故障可能造成不便、資料遺失、錯誤、竄改及其他損害。使用本網站時,請您採必要的保護措施,本網站不負任何責任。
2.供下載的資料
本網站對於任何其他連結網站或獲得的資料不負責任,在下載前,您應該審慎考量其商業價值、有用性、有效性、準確性、誠實性、時效性及是否為電腦病毒或侵害他人權利。
四、免責聲明
您明確地了解及同意本網站不保證下列事項:
- 服務完全符合您的需求。
- 您自本網站接觸到的資訊是正確的且可信賴的。
- 穩定、即時、安全、無錯或不中斷的服務。
五、隱私權保護
您於本網站所提供的個人資料受網站的隱私權保護政策所保護。
------------------------------------------------
嚴格地禁止改變或移除網站的所有權、商標權其他相關聲明。若您必需重新發佈本站內容、服務及其他使用,請事先聯繫[email protected]
若您有任何關於本使用條款的疑問,請聯繫[email protected]或致電+886-2-2934-3166
壹、適用範圍
本網站「隱私權聲明」適用於您透過網站洽辦業務、参與活動、或透過電話、傳真或使用本網站表單提出詢問或建議時,所涉及之個人資料蒐集、處理與利用行為。
貳、個人資料之蒐集、處理及利用
―、當您與本網站洽辦業務或參與網站項活動,我們將視業務或活動性質請您提供必要的個人資料,並在該特定目的範圍內處理及利用您的個人資料;非經您書面同意,我們不會將個人資料用於其他用途。
二、如果您使用電話、傳真或網站表與本網站聯繫,請您提供正確的電話、傳真號碼或電子信箱地址,作為回覆來詢事項之用。
三、您的個人資料在處理過程中,我們將遵守相關之流程及內部作業規範,並依據資訊安全之要求,進行必要之人員控管。
參、與第三人共用個人資料
一、我們絕不會提供、交換、出租或出售任何您的個人資料給其他個人、團體、私人企業或公務機關,但有法律依據或合約義務者,不在此限。
二、前項但書之情形包括不限於
1.配合司法單位合法的調查。
2.配合主管機關依職權或職務需要之調查或使用(例如審計部或會計師查帳)。
3.基於善意相信揭露您的個人資料為法律所必需。
4.當您在本網站的行為,違反本網站的服務條款或可能損害或妨礙我們的權益、或導致任何人遭受損害時,經我們研析揭露您的個人資料是為了辨識、聯絡或採取法律行動所必要者。
5.基於委外契約關係,我們依約履行提供個人資料之義務。
三、我們委託廠商協助蒐集、處理或利用您的個人資料時,將對委外廠商或個人善盡監督管理之責。
肆、cookie之運用
一、基於網站內部管理之需要及提供最佳個人化服務,網站將在您的瀏覽中寫入cookies並讀取記錄瀏覽者的IP位址、上網時間,以及在各項資訊查閱之次數,進行網站流量和網路行為調查之總量分析,本網站不會利用此伺服器紀錄對「個別」瀏覽者進行分析。
二、若您不願接受cookie的寫入,您可將使用中之瀏覽器設定為拒絕cookie的寫入,但也因此會使網站某些功能無法正常執行。
伍、伺服器紀錄
當您透過瀏覽器、應用程式或其他用戶端使用本網站時,我們的伺服器會自動記錄特定的技術性資訊。這些伺服器紀錄可能包含您的網頁要求、網際網路通訊協定位址、瀏覽器類型、瀏覽器語言、送出要求的日期和時間等資訊。此伺服器紀錄僅作為伺服器管理的參考,我們不會利用此伺服器紀錄對「個別」瀏覽者進行分析。
陸、隱私權聲明之修改
本隱私權聲明將適時依據法律修正、相關技術展及内管理制度整而配合修改,落實保障您隱私權及網路安全之初衷。當我們完成相關條款修改時,會立即將其刊登於本網站中。
當您開始使用本網站表示您已明確閱讀並接受本網站使用條款。網站有隨時修改本使用條款,並且強烈建議您留意任何修改或更新,而您持續使用本網站表示您已明確閱讀、同意該修改或更新。若您不同意本網站使用條款,或所在的國家或地區排除適用全部或部份本網站使用條款,請勿使用本網站。
一、智慧財產權
1.智慧財產權保護
所有的內容和程式,包含但不限内容、文章、圖片、聲音、影像、任何多媒體、網站架構、網站設計、網站佈局、數據編輯等,其著作權、專利權、商標、營業秘密技術等任何其他智慧財產皆屬於匯智安全所有並受中華民國著作權法及其他相關法律保護。未經匯智安全事先授權,任何人不得修改、改編、編輯、重製、發佈、重新發佈、散佈、公開傳輸、公開發佈、公開播送、公開展示、進行反向工程或反編譯、拆卸或其他任何商業上非法使用。本網站關於所有權、商標及其他相關聲明不得修改或刪除。若您欲引用或重新發佈任本網站的內容、程式或設計,必需取得匯智安全或其他作人的書面同意,若違反本網站使用條款,您需負擔損害賠償責任。
2.您在本網站的使用授權
請不要上傳、傳輸、張貼、傳送電子件或提供任何非法內容至本網站。當您上傳、傳輸、張貼、傳送電子郵件或提供任何合法內容至本網站時,即表示您同意智安全可修改、改編、編篡、重製、發佈、重新發佈、散佈、公開傳輸、公開發佈、公開播送、公開展示該上傳、傳輸、張貼、傳送電子郵件或提供的合法內容並同意授權他人。此外,您必須保證本網站進行前述行為時,不會侵害他人之智慧財產權,否則您需負損害賠償責任。
二、使用者義務及承諾
1.使用者義務及承諾
本網站是網路的開放區域並開放給其他合作廠商、通路、經銷商、專營商及客戶,您同意合法使用本網站並遵守中華民國法律、規則及國際慣例。若您在中華民國以外的國家或區域使用本網站,您同意遵守當地法律。若您使用建置在中華民國外國家或區域的本網站,您同意遵守當地所有線上規定。
您知悉並同意不犯罪或侵犯他人權利而使用本網站,包括不限於:
- 侵害名譽、隱私、專專、商標、著作權、營業秘密、其他智慧財產權及他人專有權利。
- 違反法律上或契約上之保密義務。
- 模仿他人或實體而使用本網站。
- 傳輸或散佈電腦病毒。
- 刻意干擾或摧毀任何在本網站的數據、功能或系統,例:駭客攻擊
- 傳送促銷或垃圾郵件。
- 上傳、傳送、張貼、傳送電子郵件或任何形式提供任何誹謗的、含有誹謗文字的、威脅的、含混不清的、粗俗無禮的、傷風敗俗的、不真實的或違反公共政策或道德的內容、圖片或檔案至本網站或從事非法生意或張貼虛偽不實或誘惑的訊息。
- 無正當理由從事其他不合宜的舉措。若您侵犯匯智安全或他人的權利或透過本網站的服務從事不法行為,本網站有權終止您使用本網站並對您採取法律行動。
2.會員行為
本網站可能無法預先審查您提供的內容。但基於法律、契約或其他合理理由,本網站有權拒絕或移除您提供的內容。您同意並且願意承擔針對您所提供的內容的準確性、誠實性或無用性而產生的風險。您知悉並且意以下法律上或合理必要目的:
- 遵守相關法律及有關當局的要求。
- 遵守本網站使用條款。
- 因應因侵害他人權利的請求。
- 保護本網站、其權利、其所有權、其他本網站使用者及公眾。
- 如果有必要,本網站可以保存或揭露您提供的內容給主管機關、法院。
三、有限責任
1.系統中斷及故障
本網站可能因為不可抗力因素而中斷故障。中斷故障可能造成不便、資料遺失、錯誤、竄改及其他損害。使用本網站時,請您採必要的保護措施,本網站不負任何責任。
2.供下載的資料
本網站對於任何其他連結網站或獲得的資料不負責任,在下載前,您應該審慎考量其商業價值、有用性、有效性、準確性、誠實性、時效性及是否為電腦病毒或侵害他人權利。
四、免責聲明
您明確地了解及同意本網站不保證下列事項:
- 服務完全符合您的需求。
- 您自本網站接觸到的資訊是正確的且可信賴的。
- 穩定、即時、安全、無錯或不中斷的服務。
五、隱私權保護
您於本網站所提供的個人資料受網站的隱私權保護政策所保護。
------------------------------------------------
嚴格地禁止改變或移除網站的所有權、商標權其他相關聲明。若您必需重新發佈本站內容、服務及其他使用,請事先聯繫[email protected]
若您有任何關於本使用條款的疑問,請聯繫[email protected]或致電+886-2-2934-3166