贯彻四大资安处理准则!思科表示资讯安全是远距工作与教学不可或缺的根基
由于屡见使用远距协作平台针对「个人资料外泄疑虑」、「公司机密遭窃存疑」及「政府组织能否使用」的三大讨论焦点,思科表示在所有产品中贯彻「隐私权」、「加密技术」、「智慧财产权」与「软体安全」四大资安处理准则,并从未予以任何妥协。
思科四大资安处理准则:
隐私权:思科绝对不会将任何个人资料出售或出租予第三方使用。
加密技术:思科完全授权由资料所有权人提供各式加密钥匙进行端对端加密。
智慧财产权:思科在内部处理、储存、转录及字幕等任何形式资料,皆不允许在全球通过任何外包方式曝露予第三方而危及资料所有人的智慧财产权。
软体安全:思科主动公开披露已知弱点,基于 CSDL(Cisco Secure Development Lifecycle)建构所有产品,并拥有独立具公信力的安全组织予以查核及检验。
另外,思科 Webex 是屡获奖项的协作工具;思科专注所有细节,层层控制,提供端到端的安全性,并支援全球最高要求的处理程序及控管。
营运安全:操作管理涵盖与思科 Webex 平台管理相关国际安全标准(美国联邦政府风险与授权管理计划(FedRAMP)、ISO 27001:2013、Service Organization Controls(SOC)2 Type II audit、Cloud Computing Compliance Controls Catalogue(C5)attestation、Privacy Shield Framework certified)。这些政策和程序流程可防止未经授权使用 Webex 资料,确保报告和管理潜在的安全问题,并通过灾难等应变计划来保护 Webex 资讯。
实体安全:实体安全涵盖了对 Webex 资讯系统的实体访问及使用(有限和授权)。 为了满足该标准,思科 Webex 服务使用思科所拥有的资料中心,托管资料中心或云端服务提供商。每个资料中心都经过 ISO / IEC 27001:2013 认证,以确保该位置具有设施安全的计划,使用控制和确认、维护记录,防止电源故障和其他公用事业中断的保护。
技术控制:涵盖了 Webex 服务的国际级技术控制标准及使用,例如存取和审核控制、完整性、身份验证和传输安全性。Webex 将使用者的身份区分为「真实身份」和「数位身份」。对于每个使用者,Webex 服务都会产生一个随机的 128 位元的通用唯一识别码(UUID),即使用者的 Webex 数位身份。同样,对于企业,Webex 服务利用随机的 128 位元「组织 ID」作为每个企业的数位身份。然后这些数位身份会在讯息路由 (message routing) 和云平台内部查询 (cloud internal inquires)等所有被控制的地方使用。
使用传输层安全性(Transport Layer Security)将使用 Webex 服务时传输的资料从客户端点设备加密到思科 Webex 服务云平台,并将传输思科 Webex 服务中的所有媒体,例如语音、视讯和桌面共享;使用安全即时传输协议(Secure Real-Time Transport Protocol),不仅内容被加密,而且端到端的加密服务还有助于防止资料在传输过程中或以未经授权的方式被篡改或破坏。还有一些附加的安全策略可以启用,以保护使用者隐私和企业机密等控管机制的选择,例如单一登入(Single-sign-on)、目录同步(Directory synchronization)、设备权限(Device permissions)等。
自疫情爆发,截至目前为止,思科 Webex 已缔造 24 小时内有近 240,000 个帐户注册的成就;一天之内运作了 420 万次的远距协作会议。值得一提的是,2020 年 3 月份,全球透过思科 Webex 举行了 140 亿分钟会议,超过 2020 年 2 月份的两倍。
思科 Webex 产品更包含企业等级资安功能在内;思科资安产品向来为其强项,举思科资安产品为例,在 3 月份已增加了超过 900 万安全用户,并且这一数字每天都呈指数增加。
思科 Webex 平台潜在风险管理拥有专责团队把关,由思科产品安全应变团队(Product Security Incident Response Team)不定时针对 Webex 各种使用情境进行安全测试,并主动发布相关风险及修正于所有平台,随时保持公开透明让全球使用者拥有最安全环境。
这篇文章 贯彻四大资安处理准则!思科表示资讯安全是远距工作与教学不可或缺的根基 最早出现于 TNN 滔新闻。