计算机安全 – 政策

在本章中，我们将解释作为贵公司技术基础设施安全基础的安全策略。

在某种程度上，它们是对员工在工作场所使用技术的行为的监管，这可以最大限度地减少被黑客入侵、信息泄露、互联网不良使用的风险，并确保保护公司资源。

在现实生活中，您会注意到您组织的员工总是倾向于点击恶意或受病毒感染的 URL 或带有病毒的电子邮件附件。

安全策略在设置协议中的作用

以下是一些有助于为组织的安全策略设置协议的提示。

• 谁应该有权访问系统？
• 应该怎么配置？
• 如何与第三方或系统通信？

政策分为两类 –

• 用户政策
• 信息技术政策。

用户策略通常定义用户对工作场所计算机资源的限制。例如，如果他们可以使用可移动存储，他们可以在他们的计算机中安装什么。

而 IT 政策是为 IT 部门设计的，以保护 IT 领域的程序和功能。

• 一般政策– 这是定义员工权利和系统访问级别的政策。通常，它甚至包含在通信协议中，作为发生灾难时的预防措施。

• 服务器策略– 这定义了谁应该有权访问特定服务器以及具有哪些权限。应该安装哪些软件，访问互联网的级别，应该如何更新它们。

• 防火墙访问和配置策略– 它定义了谁应该可以访问防火墙以及什么类型的访问，如监控、规则更改。应该允许哪些端口和服务，以及应该是入站还是出站。

• 备份策略– 它定义了谁是备份的负责人，应该备份什么，应该备份在哪里，应该保留多长时间以及备份的频率。

• VPN 策略– 这些策略通常与防火墙策略一起使用，它定义了应该具有 VPN 访问权限的用户以及具有哪些权限。对于与合作伙伴的站点到站点连接，它定义了合作伙伴对您网络的访问级别、要设置的加密类型。

安全策略的结构

当您编译安全策略时，您应该记住一个基本结构，以便使某些事情变得实用。必须考虑的一些要点是 –

• 政策说明及用途是什么？
• 该政策应该适用于哪些地方？
• 受本政策影响的员工的职能和责任。
• 本政策涉及的程序。
• 如果政策不符合公司标准的后果。

政策类型

在本节中，我们将看到最重要的策略类型。

• Permissive Policy – 这是一个中等限制策略，我们作为管理员只阻止一些知名的恶意软件端口，并且只考虑一些漏洞利用。

• 谨慎政策– 这是一个高度限制政策，所有关于互联网访问的内容都被阻止，只允许一小部分网站，现在允许在计算机中安装额外的服务，并为每个用户维护日志。

• 接受用户策略– 该策略规范用户对系统或网络甚至网页的行为，因此明确说明用户在系统中可以做什么和不能做什么。比如他们是否允许共享访问代码，他们是否可以共享资源等。

• 用户帐户策略– 此策略定义用户应该做什么才能在特定系统中拥有或维护另一个用户。例如，访问电子商务网页。要创建此政策，您应该回答一些问题，例如 –

  • 密码是否应该复杂？

  • 用户的年龄应该是多少？

  • 最大允许尝试或登录失败？

  • 何时应该删除、激活、阻止用户？

• 信息保护政策– 该政策旨在规范对信息的访问、处理信息的热点、如何存储以及如何传输。

• 远程访问策略– 此策略主要适用于用户及其分支机构位于总部以外的大公司。它告诉用户应该访问什么、他们何时可以工作以及使用哪些软件，如 SSH、VPN、RDP。

• 防火墙管理策略– 此策略与其管理明确有关，应阻止哪些端口，应进行哪些更新，如何在防火墙中进行更改，应保留日志多长时间。

• 特殊访问策略– 该策略旨在控制人们并监控他们系统中的特殊权限以及他们为什么拥有它的目的。这些员工可以是团队领导、经理、高级经理、系统管理员，以及此类高级别人员。

• 网络策略– 此策略是为了限制任何人对网络资源的访问，并明确谁都将访问网络。它还将确保该人是否应通过身份验证。该政策还包括其他方面，例如，谁来授权将与网络连接的新设备？网络更改的文档。Web 过滤器和访问级别。谁应该拥有无线连接以及身份验证类型、连接会话的有效性？

• 电子邮件使用策略– 这是应该执行的最重要的策略之一，因为许多用户也将工作电子邮件用于个人目的。因此，信息可能会泄漏到外面。该政策的一些关键点是员工应该知道他们有权使用的这个系统的重要性。他们不应打开任何看起来可疑的附件。不应通过任何加密电子邮件发送私人和机密数据。

• 软件安全策略– 此策略与用户计算机中安装的软件以及他们应该拥有的内容有关。该政策的一些关键点是公司的软件不应提供给第三方。只允许使用白名单软件，不得在计算机中安装其他软件。不允许使用 Warez 和盗版软件。