📅 最后修改于: 2020-12-07 05:32:30 🧑 作者: Mango
在本章中,我们将解释安全策略,这些策略是贵公司技术基础结构的安全基础。
在某种程度上,它们是对员工在工作场所使用技术的行为的监管,可以最大程度地降低被黑客入侵,信息泄漏,互联网使用不当的风险,还可以确保公司资源的安全。
在现实生活中,您会注意到组织的员工将总是倾向于点击不良或受病毒感染的URL或带有病毒的电子邮件附件。
以下是一些指针,可帮助您为组织的安全策略设置协议。
政策分为两类-
用户策略通常定义用户对工作场所中计算机资源的限制。例如,如果他们可以使用可移动存储,则可以在计算机中安装什么。
鉴于IT策略是为IT部门设计的,旨在保护IT领域的程序和功能。
常规策略-这是定义人员权限和系统访问级别的策略。通常,即使在通信协议中也包含它,以防万一发生灾难。
服务器策略-这定义了谁应该有权访问特定服务器以及具有哪些权限。应该安装哪些软件,访问互联网的级别以及如何更新它们。
防火墙访问和配置策略-它定义了谁应该有权访问防火墙以及什么样的访问类型(如监视,规则更改)。应该允许哪些端口和服务,以及应该是入站还是出站。
备份策略-它定义了谁负责备份,应该备份什么,应该备份到哪里,应该保留多长时间以及备份的频率。
VPN策略-这些策略通常与防火墙策略一起使用,它定义了应该具有VPN访问权限和权限的用户。对于与合作伙伴的站点到站点连接,它定义了合作伙伴对网络的访问级别以及要设置的加密类型。
编译安全策略时,应牢记一个基本结构,以使实用化。一些必须考虑的要点是-
在本节中,我们将看到最重要的策略类型。
允许策略-这是一种中等限制策略,在该策略中,我们作为管理员仅阻止与Internet访问有关的一些知名恶意软件端口,并且仅考虑某些利用。
谨慎的策略-这是一个严格的策略,其中阻止了有关Internet访问的所有操作,只允许一小部分网站,现在允许在计算机中安装额外的服务,并为每个用户维护日志。
接受用户策略-此策略规范用户对系统或网络甚至网页的行为,因此明确指出了用户在系统中可以做什么和不能做什么。就像允许他们共享访问代码,可以共享资源等一样。
用户帐户策略-此策略定义用户在特定系统中拥有或维护其他用户时应执行的操作。例如,访问电子商务网页。要创建此政策,您应该回答一些问题,例如-
密码是否应该复杂?
使用者应该几岁?
允许的最大尝试登录次数或失败登录次数?
什么时候应该删除,激活,阻止用户?
信息保护政策-该政策旨在规范对信息的访问,处理信息的热点,如何存储以及应如何传递信息。
远程访问策略-此策略主要适用于用户及其分支机构不在总部的大公司。它告诉用户应该访问什么,什么时候可以工作以及可以在哪些软件上使用,例如SSH,VPN,RDP。
防火墙管理策略-该策略明确地与它的管理有关,应该阻止哪些端口,应该进行哪些更新,如何在防火墙中进行更改,应该将日志保留多长时间。
特殊访问策略-该策略旨在使人们处于控制之下,并监视其系统中的特殊特权以及其拥有目的的目的。这些员工可以是团队负责人,经理,高级经理,系统管理员,以及此类高职称的人员。
网络策略-该策略是为了限制任何人对网络资源的访问,并明确谁将访问网络。它还将确保该人是否应通过身份验证。该策略还包括其他方面,例如,谁将授权与网络连接的新设备?网络更改的文档。 Web过滤器和访问级别。谁应该拥有无线连接以及身份验证的类型,连接会话的有效性?
电子邮件使用政策-这是应该执行的最重要的政策之一,因为许多用户也将工作电子邮件用于个人目的。结果,信息可能泄漏到外部。该策略的一些关键点是,员工应该知道他们有权使用的系统的重要性。他们不应打开任何看起来可疑的附件。私人和机密数据不应通过任何加密的电子邮件发送。
软件安全策略-此策略与用户计算机中安装的软件及其应具有的内容有关。该政策的一些关键点是不应将公司的软件提供给第三方。仅应允许软件的白名单,不得在计算机中安装其他软件。不得使用Warez和盗版软件。