计算机安全 - 策略

本章将解释安全策略，这是贵公司技术基础设施安全的基石。

从某种程度上说，它们规范了员工在工作场所使用技术的行为，可以最大限度地降低被黑客攻击、信息泄露、互联网不良使用以及确保公司资源安全的风险。

在现实生活中，您会注意到，贵组织的员工总是倾向于点击不良或病毒感染的网址或带有病毒的电子邮件附件。

安全策略在建立协议中的作用

以下是帮助建立组织安全策略协议的一些要点。

• 谁应该访问系统？
• 如何配置？
• 如何与第三方或系统通信？

策略分为两类：

• 用户策略
• IT策略。

用户策略通常定义用户在工作场所对计算机资源的限制。例如，他们被允许在其计算机上安装什么，他们是否可以使用可移动存储设备。

而IT策略是为IT部门设计的，用于确保IT领域的程序和职能安全。

• 一般策略 - 这项策略定义了员工的权利以及对系统的访问级别。通常，即使在通信协议中也包含它，作为预防措施，以防发生任何灾难。

• 服务器策略 - 这定义了谁应该访问特定服务器以及具有什么权限。应该安装哪些软件，互联网访问级别，以及如何更新它们。

• 防火墙访问和配置策略 - 它定义了谁应该访问防火墙以及什么类型的访问，例如监控、规则更改。应该允许哪些端口和服务，以及它是入站还是出站。

• 备份策略 - 它定义了谁是负责备份的人员，应该备份什么，应该备份到哪里，应该保留多久以及备份的频率。

• VPN策略 - 这些策略通常与防火墙策略一起使用，它定义了哪些用户应该具有VPN访问权限以及具有什么权限。对于与合作伙伴的站点到站点连接，它定义了合作伙伴对您网络的访问级别，以及要设置的加密类型。

安全策略的结构

在编制安全策略时，您应该牢记一个基本结构，以便使其具有实用性。一些需要考虑的主要要点包括：

• 策略的描述以及用途是什么？
• 这项策略应该应用在哪里？
• 受此策略影响的员工的职能和责任。
• 此策略中涉及的程序。
• 如果策略与公司标准不符的后果。

策略类型

在本节中，我们将看到最重要的策略类型。

• 宽松策略 - 这是一种中等限制策略，作为管理员，我们只阻止一些众所周知的恶意软件端口，并只考虑一些漏洞利用。

• 谨慎策略 - 这是一种高限制策略，其中阻止了与互联网访问相关的一切，只允许一小部分网站，并且不允许在计算机上安装额外的服务，并为每个用户维护日志。

• 用户接受策略 - 这项策略规范用户对系统、网络甚至网页的行为，因此明确说明了用户可以在系统中做什么和不能做什么。例如，他们是否允许共享访问代码，他们是否可以共享资源等。

• 用户帐户策略 - 这项策略定义了用户为了在特定系统中拥有或维护另一个用户应该做什么。例如，访问电子商务网页。要创建此策略，您应该回答一些问题，例如：

  • 密码是否应该复杂？

  • 用户应该多大年龄？

  • 最大允许登录尝试次数或失败次数？

  • 何时应该删除、激活、阻止用户？

• 信息保护策略 - 这项策略旨在规范对信息的访问，如何处理信息，以及如何存储和传输信息。

• 远程访问策略 - 这项策略主要针对大型公司，其用户及其分支机构位于其总部之外。它说明了用户应该访问什么，他们何时可以工作以及使用哪些软件，例如SSH、VPN、RDP。

• 防火墙管理策略 - 这项策略明确地与防火墙管理有关，哪些端口应该被阻止，应该进行哪些更新，如何更改防火墙，日志应该保留多久。

• 特殊访问策略 - 这项策略旨在控制人员并监控其系统中的特殊权限以及拥有这些权限的目的。这些员工可以是团队领导、经理、高级经理、系统管理员以及此类高职位的人员。

• 网络策略 - 这项策略旨在限制任何人对网络资源的访问，并明确说明谁可以访问网络。它还将确保该人是否应该进行身份验证。这项策略还包括其他方面，例如，谁将授权连接到网络的新设备？网络更改的文档。网络过滤器和访问级别。谁应该拥有无线连接以及身份验证类型、连接会话的有效性？

• 电子邮件使用策略 - 这是最重要的一项策略，因为许多用户也将其工作电子邮件用于个人目的。结果，信息可能会泄露到外部。这项策略的一些关键点是员工应该了解他们有权使用的这个系统的重要性。他们不应该打开任何看起来可疑的附件。不应通过任何未加密的电子邮件发送私人和机密数据。

• 软件安全策略 - 这项策略与用户计算机上安装的软件以及他们应该拥有的软件有关。这项策略的一些关键点是：不应将公司的软件提供给第三方。只应允许白名单软件，不应在计算机上安装其他软件。不应允许使用盗版软件。