在本章中,我们将介绍作为贵公司技术基础架构安全基础的安全策略.
在某种程度上,它们是对员工行为的监管在工作场所使用技术,可以最大限度地降低被黑客入侵,信息泄露,互联网不良使用的风险,并确保公司资源的安全.
在现实生活中,你会注意到您组织的员工总是倾向于点击受到感染的恶意或病毒感染的URL或带有病毒的电子邮件附件.
以下是一些有助于为组织的安全策略设置u协议的指针.
谁应该有权访问系统?
应该如何配置?
如何与第三方或系统进行通信?
政策分为两类&m inus;
用户政策
IT政策.
用户策略通常定义用户对工作场所中计算机资源的限制.例如,如果他们可以使用可移动存储,他们允许在计算机中安装什么.
然而,IT策略是专为IT部门设计的,以确保IT领域的程序和功能.
一般政策 : 这是定义员工权限和系统访问级别的策略.一般来说,即使在通信协议中也包含它作为预防措施,以防万一发生任何灾难.
服务器政策 : 这定义了谁应该有权访问特定服务器以及具有哪些权限.应该安装哪些软件,访问互联网的级别,以及如何更新它们.
防火墙访问和配置策略 : 它定义了谁应该有权访问防火墙以及访问的类型,例如监控,规则更改.应该允许哪些端口和服务以及它应该是入站还是出站.
备份策略 : 它定义了谁是备份的负责人,应该备份的内容,备份的位置,应该保留的时间以及备份的频率.
VPN政策 : 这些策略通常与防火墙策略一起使用,它定义了应具有VPN访问权限和具有哪些权限的用户.对于与合作伙伴的站点到站点连接,它定义了网络合作伙伴的访问级别,要设置的加密类型.
编译安全策略时,您应该记住一个基本结构,以便实现一些实用的功能.必须考虑的一些要点是 :
政策说明及用途是什么?
应该应用此政策?
受此政策影响的员工的职责和职责.
本政策涉及的程序.
如果政策与公司标准不兼容,则会产生后果.
在本节中,我们将看到最重要的政策类型.
许可政策 : 这是一个中等限制策略,我们作为管理员阻止了一些有关互联网访问的知名恶意软件端口,并且只考虑了一些漏洞.
谨慎政策 : 这是一项高限制政策,其中所有内容都被禁止访问互联网,只允许一小部分网站,现在可以在计算机上安装额外的服务,并为每个用户维护日志.
接受用户政策 : 此策略规定了用户对系统或网络甚至网页的行为,因此明确说明用户可以在系统中执行和不执行的操作.就像他们允许共享访问代码一样,他们可以共享资源等.
用户帐户政策 : 此策略定义用户在特定系统中拥有或维护其他用户应执行的操作.例如,访问电子商务网页.要创建此政策,您应该回答一些问题,例如 :
密码是否应该复杂?
用户应该年龄多大?
允许的最大尝试次数或登录失败次数?
当用户应该被删除,激活,阻止?
信息保护政策 : 该政策旨在规范信息访问,热处理信息,如何存储以及如何传输信息.
远程访问政策 : 此政策主要针对用户及其分支机构位于总部之外的大公司.它告诉用户应该访问什么,什么时候可以工作以及SSH,VPN,RDP等软件.
防火墙管理政策 : 此策略明确涉及其管理,应阻止哪些端口,应采取哪些更新,如何在防火墙中进行更改,以及保留日志的时间.
特殊访问政策 : 此政策旨在让人们掌控并监控其系统中的特权以及他们拥有该系统的目的.这些员工可以是团队领导,经理,高级经理,系统管理员以及如此高级别的人员.
网络政策 : ;此策略用于限制任何人访问网络资源,并明确谁将访问网络.它还将确保该人是否应该通过身份验证.此政策还包括其他方面,例如,谁将授权将与网络连接的新设备?网络变更的文档. Web过滤器和访问级别.谁应该有无线连接和身份验证的类型,连接会话的有效性?
电子邮件使用政策 : 这是应该完成的最重要的策略之一,因为许多用户也将工作电子邮件用于个人目的.结果信息可能泄漏到外面.该政策的一些关键点是员工应该知道他们有权使用的这个系统的重要性.他们不应该打开任何看起来可疑的附件.不应通过任何加密电子邮件发送私人和机密数据.
软件安全政策 : 此策略与安装在用户计算机中的软件及其应有的内容有关.本政策的一些关键点是公司的软件不应该给予第三方.只允许使用白色软件列表,不应在计算机中安装其他软件.不应允许使用Warez和盗版软件.
