計算機安全 - 策略

本章將解釋安全策略，這是貴公司技術基礎設施安全的基石。

從某種程度上說，它們規範了員工在工作場所使用技術的行為，可以最大限度地降低被駭客攻擊、資訊洩露、網際網路不良使用以及確保公司資源安全的風險。

在現實生活中，您會注意到，貴組織的員工總是傾向於點選不良或病毒感染的網址或帶有病毒的電子郵件附件。

安全策略在建立協議中的作用

以下是幫助建立組織安全策略協議的一些要點。

• 誰應該訪問系統？
• 如何配置？
• 如何與第三方或系統通訊？

策略分為兩類：

• 使用者策略
• IT策略。

使用者策略通常定義使用者在工作場所對計算機資源的限制。例如，他們被允許在其計算機上安裝什麼，他們是否可以使用可移動儲存裝置。

而IT策略是為IT部門設計的，用於確保IT領域的程式和職能安全。

• 一般策略 - 這項策略定義了員工的權利以及對系統的訪問級別。通常，即使在通訊協議中也包含它，作為預防措施，以防發生任何災難。

• 伺服器策略 - 這定義了誰應該訪問特定伺服器以及具有什麼許可權。應該安裝哪些軟體，網際網路訪問級別，以及如何更新它們。

• 防火牆訪問和配置策略 - 它定義了誰應該訪問防火牆以及什麼型別的訪問，例如監控、規則更改。應該允許哪些埠和服務，以及它是入站還是出站。

• 備份策略 - 它定義了誰是負責備份的人員，應該備份什麼，應該備份到哪裡，應該保留多久以及備份的頻率。

• VPN策略 - 這些策略通常與防火牆策略一起使用，它定義了哪些使用者應該具有VPN訪問許可權以及具有什麼許可權。對於與合作伙伴的站點到站點連線，它定義了合作伙伴對您網路的訪問級別，以及要設定的加密型別。

安全策略的結構

在編制安全策略時，您應該牢記一個基本結構，以便使其具有實用性。一些需要考慮的主要要點包括：

• 策略的描述以及用途是什麼？
• 這項策略應該應用在哪裡？
• 受此策略影響的員工的職能和責任。
• 此策略中涉及的程式。
• 如果策略與公司標準不符的後果。

策略型別

在本節中，我們將看到最重要的策略型別。

• 寬鬆策略 - 這是一種中等限制策略，作為管理員，我們只阻止一些眾所周知的惡意軟體埠，並只考慮一些漏洞利用。

• 謹慎策略 - 這是一種高限制策略，其中阻止了與網際網路訪問相關的一切，只允許一小部分網站，並且不允許在計算機上安裝額外的服務，併為每個使用者維護日誌。

• 使用者接受策略 - 這項策略規範使用者對系統、網路甚至網頁的行為，因此明確說明了使用者可以在系統中做什麼和不能做什麼。例如，他們是否允許共享訪問程式碼，他們是否可以共享資源等。

• 使用者帳戶策略 - 這項策略定義了使用者為了在特定系統中擁有或維護另一個使用者應該做什麼。例如，訪問電子商務網頁。要建立此策略，您應該回答一些問題，例如：

  • 密碼是否應該複雜？

  • 使用者應該多大年齡？

  • 最大允許登入嘗試次數或失敗次數？

  • 何時應該刪除、啟用、阻止使用者？

• 資訊保護策略 - 這項策略旨在規範對資訊的訪問，如何處理資訊，以及如何儲存和傳輸資訊。

• 遠端訪問策略 - 這項策略主要針對大型公司，其使用者及其分支機構位於其總部之外。它說明了使用者應該訪問什麼，他們何時可以工作以及使用哪些軟體，例如SSH、VPN、RDP。

• 防火牆管理策略 - 這項策略明確地與防火牆管理有關，哪些埠應該被阻止，應該進行哪些更新，如何更改防火牆，日誌應該保留多久。

• 特殊訪問策略 - 這項策略旨在控制人員並監控其系統中的特殊許可權以及擁有這些許可權的目的。這些員工可以是團隊領導、經理、高階經理、系統管理員以及此類高職位的人員。

• 網路策略 - 這項策略旨在限制任何人對網路資源的訪問，並明確說明誰可以訪問網路。它還將確保該人是否應該進行身份驗證。這項策略還包括其他方面，例如，誰將授權連線到網路的新裝置？網路更改的文件。網路過濾器和訪問級別。誰應該擁有無線連線以及身份驗證型別、連線會話的有效性？

• 電子郵件使用策略 - 這是最重要的一項策略，因為許多使用者也將其工作電子郵件用於個人目的。結果，資訊可能會洩露到外部。這項策略的一些關鍵點是員工應該瞭解他們有權使用的這個系統的重要性。他們不應該開啟任何看起來可疑的附件。不應透過任何未加密的電子郵件傳送私人和機密資料。

• 軟體安全策略 - 這項策略與使用者計算機上安裝的軟體以及他們應該擁有的軟體有關。這項策略的一些關鍵點是：不應將公司的軟體提供給第三方。只應允許白名單軟體，不應在計算機上安裝其他軟體。不應允許使用盜版軟體。