- 网络法资源
- 网络法 - 快速指南
- 网络法 - 有用资源
- 网络法 - 讨论
降低网络风险的策略
本章将引导您了解为最大限度地降低网络风险而制定的各种策略。只有制定明确的策略,才能减少网络空间中产生的威胁。
促进网络安全研发
由于对互联网的依赖日益增加,我们今天面临的最大挑战是如何保护信息免受不法分子的侵害。因此,必须促进网络安全领域的研发,以便我们能够提出强大的解决方案来减轻网络风险。
网络安全研究
网络安全研究是一个致力于寻找应对网络犯罪分子的解决方案的领域。随着互联网攻击、高级持续性威胁和网络钓鱼的数量不断增加,未来需要大量的研究和技术发展。
网络安全研究——印度视角
近年来,印度的网络技术发展迅速。因此,需要对网络安全的研发活动进行投资。印度还看到许多成功的研究成果通过当地网络安全公司的出现转化为商业。
威胁情报
印度已经开始进行减轻网络威胁的研究工作。已经建立了主动响应机制来应对网络威胁。印度各研究机构目前正在开展研发活动,以应对网络空间中的威胁。
下一代防火墙
基于多身份的专业知识,例如下一代防火墙,为企业提供安全情报,并使他们能够在网络边界应用最合适的安全控制,也正在研究中。
安全协议和算法
协议和算法的研究是技术层面巩固网络安全的重要阶段。它定义了在网络空间中共享和处理信息的规则。在印度,协议和算法级别的研究包括:
- 安全路由协议
- 高效的身份验证协议
- 增强型无线网络路由协议
- 安全传输控制协议
- 攻击模拟算法等。
身份验证技术
密钥管理、双因素身份验证和自动化密钥管理等身份验证技术能够在没有集中式密钥管理系统和文件保护的情况下进行加密和解密。目前正在进行持续的研究以加强这些身份验证技术。
BYOD、云和移动安全
随着各种移动设备的采用,对移动设备上与安全和隐私相关的任务的研究有所增加。移动安全测试、云安全和BYOD(自带设备)风险缓解是一些正在进行大量研究的领域。
网络取证
网络取证是指应用分析技术从系统或数字存储介质中收集和恢复数据。印度正在进行研究的一些具体领域包括:
- 磁盘取证
- 网络取证
- 移动设备取证
- 内存取证
- 多媒体取证
- 互联网取证
降低供应链风险
正式地说,供应链风险可以定义为:
对手可能损坏、写入恶意功能、破坏设计、安装、程序或维护供应项目或系统,从而导致整个功能下降的任何风险。
供应链问题
供应链是一个全球性问题,需要找出客户和供应商之间的相互依赖关系。在当今情况下,重要的是要知道:SCRM问题是什么?以及如何解决这些问题?
有效的SCRM(供应链风险管理)方法需要强大的公私合作关系。政府应该拥有强大的权力来处理供应链问题。甚至私营部门也可以在许多领域发挥关键作用。
我们无法提供一个万能的解决方案来管理供应链风险。根据产品和行业的不同,降低风险的成本会有所不同。应鼓励公私合作伙伴关系来解决与供应链管理相关的风险。
通过人力资源发展减轻风险
只要所有员工都了解其价值并坚定地致力于实施这些策略,组织的网络安全策略才能有效。人力资源主管可以通过以下几点在维护组织网络安全方面发挥关键作用。
承担员工造成的安全风险责任
由于大多数员工没有认真对待风险因素,因此黑客很容易将组织作为目标。在这方面,人力资源部门在教育员工了解其态度和行为对组织安全的影响方面发挥着关键作用。
确保安全措施切实可行且符合伦理
公司的策略必须与员工的思维方式和行为方式一致。例如,在系统上保存密码是一种威胁,但是持续监控可以防止这种情况。人力资源团队最适合就策略是否有效以及是否适用提供建议。
识别可能构成特定风险的员工
有时,网络犯罪分子会利用公司内部人员来入侵其网络。因此,必须识别可能构成特定风险的员工,并对他们制定严格的人力资源策略。
增强网络安全意识
印度的网络安全仍处于发展阶段。现在是提高网络安全相关问题意识的最佳时机。从学校等基层开始提高意识很容易,用户可以了解互联网的工作原理及其潜在威胁。
每个网吧、家庭/个人电脑和办公电脑都应通过防火墙进行保护。应通过其服务提供商或网关指示用户不要破坏未经授权的网络。应以粗体描述威胁,并突出显示其影响。
应在中小学开设网络安全意识课程,使其成为一个持续的过程。
政府必须制定强有力的法律来执行网络安全,并通过电视/广播/互联网广告进行宣传,从而提高足够的意识。
信息共享
美国提出了一项名为“2014年网络安全信息共享法案 (CISA)”的法律,旨在通过加强网络安全威胁信息的共享来改善该国的网络安全。每个国家都需要制定此类法律来在公民之间共享威胁信息。
网络安全漏洞需要强制性报告机制
最近名为“Uroburos/Snake”的恶意软件是网络间谍活动和网络战争日益增长的一个例子。窃取敏感信息已成为新的趋势。然而,不幸的是,电信公司/互联网服务提供商 (ISP) 没有共享与其网络遭受网络攻击相关的信息。结果,无法制定强大的网络安全策略来应对网络攻击。
可以通过制定良好的网络安全法来解决这个问题,该法可以为电信公司/ISP强制执行网络安全漏洞通知建立监管制度。
自动化电网、热电厂、卫星等基础设施容易受到各种形式的网络攻击,因此违规通知程序将提醒相关机构对此进行处理。
实施网络安全框架
尽管公司正在投资网络安全措施,但数据泄露事件仍在继续发生。据《华尔街日报》报道,“据Allied Business Intelligence Inc.的数据,关键基础设施行业的全球网络安全支出预计将在2013年达到460亿美元,比前一年增长10%。” 这需要有效实施网络安全框架。
网络安全框架的组成部分
该框架包括三个主要组成部分:
- 核心部分;
- 实施层;以及
- 框架配置文件。
框架核心
框架核心是一组网络安全活动和适用参考,具有五个同时且持续的功能:识别、保护、检测、响应和恢复。框架核心具有确保以下方面的方法:
- 制定和实施程序以保护最重要的知识产权和资产。
- 拥有必要的资源来识别任何网络安全漏洞。
- 在发生漏洞时进行恢复。
实施层
框架实施层定义了组织在应用其网络安全实践中所采用的复杂程度和一致性级别。它有以下四个级别。
第一层(部分) - 在此级别,组织的网络风险管理概况未定义。组织层面对组织网络安全风险的认识仅为部分。尚未认识到管理网络安全风险的组织范围内的 методология。
第二层(基于风险的) - 在此级别,组织制定了由高级管理层直接批准的网络风险管理策略。高级管理层努力制定与网络安全相关的风险管理目标并实施这些目标。
第三层(可重复的) - 在此级别,组织采用正式的网络安全措施,这些措施会根据需要定期更新。组织认识到其依赖关系和合作伙伴。它还会收到来自他们的信息,这有助于做出基于风险的管理决策。
第四层(自适应的) - 在此级别,组织根据先前和当前的网络安全活动“实时”调整其网络安全实践。通过持续改进,结合先进的网络安全技术、与合作伙伴的实时协作以及对其系统上活动的持续监控,组织的网络安全实践可以快速响应复杂的威胁。
框架配置文件
框架配置文件是一个工具,它为组织提供了一个平台来存储与其网络安全程序相关的信息。配置文件允许组织清楚地表达其网络安全程序的目标。
从实施框架开始的地方
包括董事在内的高级管理层应首先熟悉该框架。然后,董事应与管理层详细讨论组织的实施层。
教育管理人员和员工了解该框架将确保每个人都了解其重要性。这是成功实施强有力的网络安全程序的重要一步。有关现有框架实施的信息可以帮助组织制定自己的方法。