search close

平台
- Vision One 平台
  - Trend Vision One
    
    我們的一體化平台
    
    連繫威脅防護及網絡風險管理
    進一步了解
- 網絡風險曝險管理
  - 網絡風險曝險管理
    
    曝險管理領導廠商 – 將網絡資訊保安風險視野轉化為果斷、主動的資訊保安防護。
    進一步了解
- 保安運作（SecOps）
  - 保安運作（SecOps）
    
    利用 XDR、Agentic SIEM 和 Agentic SOAR 的情報帶來無可匹敵的可視性，令黑客無所遁形。
    進一步了解
- Cloud Security
  - Cloud Security
    - Trend Vision One™
      
      雲端保安總覽
      
      最受開發師、保安團隊及商界信賴的雲端保安平台
      進一步了解
  - 雲端網絡風險曝險管理
    - 雲端網絡風險曝險管理
      
      全面整合雲端資產發掘、漏洞優先次序判斷、資訊保安狀況及受攻擊面管理。
      進一步了解
  - 雲端專用 XDR
    - 雲端專用 XDR
      
      將視野擴展至雲端及簡化保安運作中心調查任務
      進一步了解
  - 雲端工作負載防護
    - Workload Security
      
      以帶有 CNAPP 功能的雲端保安平台保護您的數據中心、雲端及容器，而無須犧牲系統效能或保安
      進一步了解
  - 容器防護
    - 容器防護
      
      以先進的容器影像掃瞄、政策為基登入管制及容器運作期保護來簡化雲端原生應用程式的保安
      進一步了解
  - 檔案保安
    - 檔案保安
      
      保護應用程式作業流程及雲端儲存免於進階威脅
      進一步了解
  - 雲端風險管理
    - 雲端風險管理
      
      整合多重雲可視性、消除隱藏的曝露，保障您的未來安全。
      進一步了解
- 用戶端防護
  - 用戶端防護
    - 用戶端防護總覽
      
      在攻擊的每一階段保護用戶端
      進一步了解
  - 用戶端專用 XDR
    - 用戶端專用 XDR
      
      透過單一平台取得更廣闊視角及更詳盡背景，以便快速搜尋、偵測、調查及回應威脅
      進一步了解
  - 工作負載保安
    - 工作負載保安
      
      為用戶端、伺服器及雲端工作負載提供最佳化的預防、偵測與回應
      進一步了解
- 網絡防護
  - 網絡防護
    - 網絡保安總覽
      
      以網絡偵測與回應擴展 XDR 的能力
      進一步了解
  - 網絡專用 XDR
    - 網絡專用 XDR
      
      透過單一平台取得更廣闊視角及更詳盡背景，以便快速搜尋、偵測、調查及回應威脅
      進一步了解
  - 網絡入侵防禦
    - 網絡入侵防禦
      
      解決網絡上已知、未知及未公開的漏洞。
      進一步了解
  - 防護服務邊緣
    - 防護服務邊緣
      
      以持續風險評估重新定義可信任及安全的數碼轉型
      進一步了解
  - 5G 網絡保安
    - 5G 網絡保安
      進一步了解
  - 工業網絡保安
    - 工業網絡保安
      進一步了解
- 電郵和協同作業防護
  - Trend Vision One™
    
    電郵和協同作業防護
    
    採用人工智能電郵防護來防範網絡釣魚、商務電郵詐騙、勒索程式和詐騙，迅速、輕鬆、準確地攔截威脅。
    進一步了解
- 威脅情報
  - 威脅情報
    
    預先知道威脅來臨
    進一步了解
- Identity Security
  - Identity Security
    
    端對端身份防護，由身份狀況管理以至偵測與回應
    進一步了解
- 人工智能保安
  - 人工智能保安
    - 趨勢科技人工智能
      
      探索專為保護企業、支援合規並實現負責任創新而設計的人工智能方案
      進一步了解
  - 專為人工智能組合設計的防護
    - 專為人工智能組合設計的防護
      
      保護您的人工智能之程，在攻擊發生之前預先消除漏洞，讓您安心創新。
      進一步了解
  - 人工智能生態系統
    - 人工智能生態系統
      
      透過人工智能創新、法規領導層及值得信賴的標準來塑造網絡資訊保安的未來
      進一步了解
  - 主動式人工智能保安
    - 主動式人工智能保安
      
      採用業界首創的主動式網絡資訊保安人工智能來強化您的防禦，無盲點、無意外
      主動式人工智能保安
  - Trend Cybertron
    - Trend Cybertron
      
      業界首創的主動式網絡保安人工智能
      Trend Cybertron
  - Trend Companion
    - Trend Companion
      
      運用無可比擬的資料廣度與深度、高品質分析、整理與標示，提供有意義的可用啟示
      進一步了解
  - 人工智能工廠
    - 人工智能工廠
      
      透過資訊保安、合規與信任來加速企業人工智能部署。
      進一步了解
  - 數碼分身
    - 數碼分身
      
      高準度數碼分身可實現預測性規劃、策略投資，以及最佳化韌性
      進一步了解
- On-Premises Data Sovereignty
  - 駐場數據主權
    
    提供預防、偵測、回應及保護而不會損害數據主權
    進一步了解
- 所有產品、服務及試用
  - 所有產品、服務及試用
    進一步了解
方案
- 針對業界
  - 針對業界
    - 針對業界
      進一步了解
  - 醫療
    - 醫療
      
      保護病者資料、裝置及網絡，達致醫療法規要求。
      進一步了解
  - 汽車製造
    - 汽車製造
      進一步了解
  - 5G 網絡
    - 5G 網絡
      進一步了解
- 中小型企業保安
  - 中小型企業保安
    
    以專門助您拓展業務而設的簡單方案來攔截威脅
    進一步了解
研究
- 研究
  - 研究
    - 研究
      進一步了解
  - 研究、新聞及觀點
    - 研究、新聞及觀點
      進一步了解
  - 研究與分析
    - 研究與分析
      進一步了解
  - 資訊保安新聞
    - 資訊保安新聞
      進一步了解
  - ZDI 漏洞懸賞計畫
    - ZDI 漏洞懸賞計畫
      進一步了解
服務
- 我們的服務
  - 我們的服務
    - 我們的服務
      
      讓值得信賴的網絡保安專家來擴展您的團隊，預測、預防及管理資料外洩事件。
      進一步了解
  - 服務組合
    - 服務組合
      
      以全天候託管式偵測、回應及支援服務強化保安團隊
      進一步了解
  - 資訊保安風險顧問報告
    - 資訊保安風險顧問報告
      
      透過策略指引來評估、了解及防範網絡保安風險。
      進一步了解
  - 託管偵測與回應（MDR）
    - 託管偵測與回應（MDR）
      
      以專業的託管式偵測與回應（MDR）強化對電郵、用戶端、伺服器、雲端工作負載及網絡威脅的偵測。
      進一步了解
  - 事故回應
    - 事故回應
      - 事故回應
        
        無論您需要對應入侵或主動改善事故回應計劃，我們備受信賴的專家都準備就緒，隨時候命
        進一步了解
    - 保險承保單位及律師事務所
      - 保險承保單位及律師事務所
        
        以市場上最佳的回應與偵測技術來阻止入侵，減低客戶的停機時間及索償。
        進一步了解
  - 紅隊及紫隊
    - 紅隊及紫隊
      
      體驗現實世界的攻擊場景，以建立準備狀態及強化防禦
      進一步了解
  - 支援服務
    - 支援服務
      進一步了解
業務夥伴
- 業務夥伴計劃
  - 業務夥伴計劃
    - 業務夥伴計劃總覽
      
      利用業界最佳的多層次保安來擴充業務及保護您的客戶
      進一步了解
  - 業務夥伴能力
    - 業務夥伴能力
      
      以展現專業知識的能力來脫穎而出
      進一步了解
  - 業務夥伴案例
    - 業務夥伴案例
      進一步了解
  - 服務商（xSP）
    - 服務商（xSP）
      
      採用單一、合作夥伴導向的防護平台來提供主動式防護服務，專為 MSP、MSSP 及 DFIR 團隊打造。
      進一步了解
- 策略聯盟夥伴
  - 策略聯盟夥伴
    - 策略聯盟夥伴
      
      我們與最頂尖的廠商合作來協助您創造最大的績效與價值。
      進一步了解
  - 科技策略聯盟夥伴
    - 科技策略聯盟夥伴
      進一步了解
  - 尋找策略聯盟夥伴
    - 尋找策略聯盟夥伴
      進一步了解
- 業務夥伴資源
  - 業務夥伴資源
    - 業務夥伴資源
      
      發掘專為加快企業成長及提升趨勢科技業務夥伴的能力而設計的資源
      進一步了解
  - 成為業務夥伴
    - 成為業務夥伴
      進一步了解
  - 業務夥伴入門網站登入
    - 業務夥伴入門網站登入
      登入
  - Trend Campus
    - Trend Campus
      
      Trend Campus 是一個簡單易用的教育平台，提供個人化技術指導，助您加速學習
      進一步了解
  - 聯合銷售
    - 聯合銷售
      
      取得專為協助您展示 Trend Vision One™ 價值及拓展業務而設的協作服務
      進一步了解
- 尋找業務夥伴
  - 尋找業務夥伴
    
    尋找可以購買趨勢科技方案的業務夥伴
    進一步了解
公司
- 為何選擇趨勢科技
  - 為何選擇趨勢科技
    - 為何選擇趨勢科技
      進一步了解
  - 用戶案例
    - 用戶案例
      進一步了解
  - 業界盛譽
    - 業界盛譽
      進一步了解
  - 策略聯盟
    - 策略聯盟
      進一步了解
  - 人際連繫
    - 人際連繫
      進一步了解
- 用戶案例
  - 用戶案例
    - 用戶案例
      
      真實案例看全球客戶如何利用趨勢科技來預測、預防、偵測及回應威脅。
      進一步了解
  - ESG 業務衝擊
    - ESG 業務衝擊
      
      看網絡保安韌性如何帶來可衡量的衝擊、更聰明的防禦及持續的效能。
      進一步了解
  - 客戶之聲
    - 客戶之聲
      
      直接聽聽我們的用戶怎樣說。他們的啟示塑造了我們的方案，並帶動持續改進。
      進一步了解
  - 人際連繫
    - 人際連繫
      
      認識資訊保安背後的人員：我們的團隊、客戶及改善數碼健康。
      進一步了解
- 趨勢科技方案的比較
  - 趨勢科技方案的比較
    - 趨勢科技方案的比較
      
      看趨勢科技如何較對手表現更佳
      繼續
  - 與 Crowdstrike 的比較
    - 趨勢科技與 Crowdstrike 的比較
      
      Crowdstrike 透過其雲原生平台提供有效率的網絡保安，但其價格可能會令用戶超出預算，特別影響希望尋找高性價比且可透過真正單一平台按需進行調整的機構。
      繼續
  - 與 Microsoft 的比較
    - 趨勢科技與 Microsoft 的比較
      
      Microsoft 提供一個基礎層面的防護，但通常都需要額外附加方案來全面對應腦戶的保安問題
      繼續
  - 與 Palo Alto 的比較
    - 趨勢科技與 Palo Alto Networks 的比較
      
      Palo Alto 提供先進的網絡保安方案，但要在其全面的套件中搜尋方案是一件相當複雜的事，而要採用所有功能更需要重大投資。
      繼續
  - 與 SentinelOne 的比較
    - 趨勢科技與 SentinelOne 的比較
      繼續
- 關於我們
  - 關於我們
    - 關於我們
      進一步了解
  - 互信中心
    - 互信中心
      進一步了解
  - 歷史
    - 歷史
      進一步了解
  - 多樣性、平等及包容性
    - 多樣性、平等及包容性
      進一步了解
  - 企業社會責任
    - 企業社會責任
      進一步了解
  - 領導地位
    - 領導地位
      進一步了解
  - 資訊保安專家
    - 資訊保安專家
      進一步了解
  - 網絡安全與網絡保安教育推廣
    - 網絡安全與網絡保安教育推廣
      進一步了解
  - 法務
    - 法務
      進一步了解
  - 投資人
    - 投資人
      進一步了解
  - 一級方程式車隊合作夥伴
    - 一級方程式車隊合作夥伴
      
      麥拿倫一級方程式車隊官方合作夥伴
      進一步了解
- 聯絡我們
  - 聯絡我們
    - 聯絡我們
      進一步了解
  - 新聞中心
    - 新聞中心
      進一步了解
  - 活動
    - 活動
      進一步了解
  - 徵求人才
    - 徵求人才
      進一步了解
  - 網上研討會
    - 網上研討會
      進一步了解

在尋找家居方案？

受到攻擊？

支援

資源

登入

arrow_back

search close

甚麼是最低權限原則（PoLP）？

李兆熙

- 最後更新時間 2025/10/09

最低權限原則（PoLP）是網絡保安的概念，用戶應只存取工作所需的特定資源、數據及應用程式。

進一步了解

keyboard_arrow_down

為回應遙距、混合及雲端工作環境的成長，最低權限的原則已演變為零信任網絡存取（ZTNA）2.0框架的一部分。

最低權限原則的目標是減少因入侵及蓄意或意外地在資訊科技系統、數據及應用程式資料洩漏而造成的損害。它透過嚴格限制所有用戶存取關鍵資源及敏感數據來實現這一點。這包括實施實務和程序，例如：

將用戶存取許可（或“權限”）限制在任務所需的絕對最低限度內
持續定期審查存取及授權權限，以減少、調整或撤銷不再需要的權限
通過將職責分開並將不同職責分配給獨立職位，防止任何單一員工存取太多系統

為什麼最低特權的原則很重要？

資料洩漏每年會導致損失數十億美元的生產力、復原成本及聲譽受損。當獲授權用戶的帳戶被黑客入侵或被網絡罪犯竊取時，就會出現相當多的洩漏。

透過限制每個用戶在按需知道的基礎上可以存取的數據、系統及資源，最低權限的原則使機構能夠：

盡量減少受攻擊面
強化整體保安狀態
透過減少黑客攻擊及人為錯誤的機會來減低保安風險
透過減少黑客在取得未經授權存取時可能遭受的損害來遏制數據洩漏及入侵
保護資訊科技網絡及應用程式免受各種網絡威脅及網絡攻擊，包括惡意程式及勒索程式、內部威脅、意外及惡意數據洩露及數據盜竊

因為最低權限原則能增強機構保護敏感或機密資料的能力，所以最低權限原則亦協助企業維持符合政府及行業資料私隱法規。其中包括歐盟通用資料保護法規、支付卡產業資料安全標準（PCI DSS）、加州消費者私隱法（CCPA）及健康保險可攜性及責任法（HIPAA）。

最低權限原則如何與零信任架構（ZTA）整合？

最低權限的原則是零信任架構的基本組成部分。零信任架構背後的核心理念是「從不信任，總是驗證」。在零信任架構模型中，每個存取請求都被假定為惡意，除非另有證明，無論是來自機構內部還是外部。

最低權限原則透過限制員工、承包商及其他用戶的存取權限，與零信任架構整合。由於最低權限原則中的權限不斷被審查及調整，最低權限原則亦有助執行零信任規則，並在動態的基礎上保護系統及數據。

零信任架構及最低權限原則均依賴健全的身份及存取管理（IAM）方案來驗證、確認及授權存取請求，並保護機構免受不良份子及意外錯誤影響。

應用最低特權原則的主要挑戰是什麼？

隨著混合式工作、遙距工作及雲端服務的使用持續擴展，企業在應用最低權限原則方面正面臨著幾個關鍵挑戰，包括：

管理日趨多元化及複雜的資訊科技系統、保安需要及工作環境
在保安要求與預算限制、易用需求及用戶生產力之間取得平衡
確保在不同系統、應用程式及職位上貫徹執行存取權限
處理用戶阻力及建立企業文化，將保安視為必要而非不便

實施最少權限原則的最佳實務例子

機構應遵循多項最佳實踐，以克服實施最低權限原則的挑戰，並保護資訊科技系統及數據。包括：

對現有存取系統及權限進行盤點，以分析用戶現時可存取的數據及原因
標記擁有比完成工作所需更多權限的帳戶
預設將新用戶設定為最低權限等級，並僅在嚴格要求時新增權限
採用基於角色的存取控制（RBAC）以按角色劃分權限，並根據工作要求分配存取權
採用自動化存取管理工具，例如身份及存取管理（IAM）、保安資訊及事件管理（SIEM）及特權存取管理（PAM），保護系統及數據，而又不會令資訊科技或保安團隊難以負荷
對所有存取權限進行定期及持續審計，以識別不再需要的權限，並盡可能降低存取級別

我可以在哪裡獲得最低權限原則的協助？

為協助機構強化保安狀態，Trend Vision One™ 提供整合功能，支援零信任原則，包括最低權限的原則。Trend Vision One 透過整合整個環境的風險視野、存取控制及威脅偵測，讓團隊持續評估及執行存取政策。

李兆熙

產品管理副總裁

李兆熙是趨勢科技產品管理副總裁，負責領導企業電郵與網絡資訊保安方案的全球策略與產品開發。他在資訊科技和網絡資訊保安領域累積了 30 多年的經驗，其職業生涯涵蓋基礎架構設計、數據中心營運及資訊保安領導。他早期的事業包括建立歐洲和日本的資訊科技部門，與及管理台灣和菲律賓的保安運作中心，令他深入了解企業面對的挑戰。

這個根基協助他開發符合真實世界需要的創新及可擴充方案。李兆熙以其策略性前瞻、全球產品團隊指導及推動跨部門合作的能力聞名，提供市場領先的資訊保安產品。

常見問題

Expand all Hide all

最低權限原則是甚麼意思？

add

最低權限原則是一個網絡保安概念，讓用戶只存取工作所需的數據及系統。

甚麼是特權蠕變及如何避免？

add

當員工轉換工作，但保留不再需要的存取權限時，就會出現權限失效。定期檢視權限可避免權限出現漏洞。

最低權限原則的例子是甚麼？

add

最低權限原則的一個例子是允許市務人員登入 CRM 系統，但不能存取客戶資訊。

甚麼是最低權限原則的最佳做法？

add

最低權限原則的最佳做法之一是將所有新員工預設為最低存取權限。

零信任與最低權限原則有何分別？

add

零信任管控對系統或資料的存取。最低權限的原則是用戶可以如何處理該存取。

簡單來說甚麼是零信任？

add

零信任是一種網絡保安方式，無論來自何處，都集中於驗證機構系統或數據的每一個存取要求。

最低權限原則如何減低保安風險？

add

最低權限的原則是限制授權用戶及網絡罪犯都能存取的系統及數據，從而減低保安風險。

機構如何在雲原生應用程式或容器等動態環境中執行最低權限？

add

最低權限的原則可以在動態環境中執行，方法是採用基於工作角色而非用戶身份的存取政策。

應多久審查或更新一次用戶權限？

add

為達致最大安全性，用戶權限應定期及持續檢討及更新。

最低權限原則如何整合至 DevSecOps 工作流程？

add

通過實施基於角色的存取控制（RBAC）、及時（JIT）存取和自動權限等做法，最低權限原則可以整合到 DevSecOps 中。