- 資訊安全與網路法
- 網路法首頁
- 網路法與IT法概述
- 網路法目標
- 智慧財產權
- 網路安全策略
- 降低網路風險的策略
- 網路安全
- 2000年資訊科技法
- 數字與電子簽名
- 犯罪和處罰
- 網路法摘要
- 網路犯罪常見問題解答
- 網路法資源
- 網路法 - 快速指南
- 網路法 - 有用資源
- 網路法 - 討論
降低網路風險的策略
本章將引導您瞭解為最大限度地降低網路風險而制定的各種策略。只有制定明確的策略,才能減少網路空間中產生的威脅。
促進網路安全研發
由於對網際網路的依賴日益增加,我們今天面臨的最大挑戰是如何保護資訊免受不法分子的侵害。因此,必須促進網路安全領域的研發,以便我們能夠提出強大的解決方案來減輕網路風險。
網路安全研究
網路安全研究是一個致力於尋找應對網路犯罪分子的解決方案的領域。隨著網際網路攻擊、高階持續性威脅和網路釣魚的數量不斷增加,未來需要大量的研究和技術發展。
網路安全研究——印度視角
近年來,印度的網路技術發展迅速。因此,需要對網路安全的研發活動進行投資。印度還看到許多成功的研究成果通過當地網路安全公司的出現轉化為商業。
威脅情報
印度已經開始進行減輕網路威脅的研究工作。已經建立了主動響應機制來應對網路威脅。印度各研究機構目前正在開展研發活動,以應對網路空間中的威脅。
下一代防火牆
基於多身份的專業知識,例如下一代防火牆,為企業提供安全情報,並使他們能夠在網路邊界應用最合適的安全控制,也正在研究中。
安全協議和演算法
協議和演算法的研究是技術層面鞏固網路安全的重要階段。它定義了在網路空間中共享和處理資訊的規則。在印度,協議和演算法級別的研究包括:
- 安全路由協議
- 高效的身份驗證協議
- 增強型無線網路路由協議
- 安全傳輸控制協議
- 攻擊模擬演算法等。
身份驗證技術
金鑰管理、雙因素身份驗證和自動化金鑰管理等身份驗證技術能夠在沒有集中式金鑰管理系統和檔案保護的情況下進行加密和解密。目前正在進行持續的研究以加強這些身份驗證技術。
BYOD、雲和移動安全
隨著各種移動裝置的採用,對移動裝置上與安全和隱私相關的任務的研究有所增加。移動安全測試、雲安全和BYOD(自帶裝置)風險緩解是一些正在進行大量研究的領域。
網路取證
網路取證是指應用分析技術從系統或數字儲存介質中收集和恢復資料。印度正在進行研究的一些具體領域包括:
- 磁碟取證
- 網路取證
- 移動裝置取證
- 記憶體取證
- 多媒體取證
- 網際網路取證
降低供應鏈風險
正式地說,供應鏈風險可以定義為:
對手可能損壞、寫入惡意功能、破壞設計、安裝、程式或維護供應專案或系統,從而導致整個功能下降的任何風險。
供應鏈問題
供應鏈是一個全球性問題,需要找出客戶和供應商之間的相互依賴關係。在當今情況下,重要的是要知道:SCRM問題是什麼?以及如何解決這些問題?
有效的SCRM(供應鏈風險管理)方法需要強大的公私合作關係。政府應該擁有強大的權力來處理供應鏈問題。甚至私營部門也可以在許多領域發揮關鍵作用。
我們無法提供一個萬能的解決方案來管理供應鏈風險。根據產品和行業的不同,降低風險的成本會有所不同。應鼓勵公私合作伙伴關係來解決與供應鏈管理相關的風險。
透過人力資源發展減輕風險
只要所有員工都瞭解其價值並堅定地致力於實施這些策略,組織的網路安全策略才能有效。人力資源主管可以透過以下幾點在維護組織網路安全方面發揮關鍵作用。
承擔員工造成的安全風險責任
由於大多數員工沒有認真對待風險因素,因此駭客很容易將組織作為目標。在這方面,人力資源部門在教育員工瞭解其態度和行為對組織安全的影響方面發揮著關鍵作用。
確保安全措施切實可行且符合倫理
公司的策略必須與員工的思維方式和行為方式一致。例如,在系統上儲存密碼是一種威脅,但是持續監控可以防止這種情況。人力資源團隊最適合就策略是否有效以及是否適用提供建議。
識別可能構成特定風險的員工
有時,網路犯罪分子會利用公司內部人員來入侵其網路。因此,必須識別可能構成特定風險的員工,並對他們制定嚴格的人力資源策略。
增強網路安全意識
印度的網路安全仍處於發展階段。現在是提高網路安全相關問題意識的最佳時機。從學校等基層開始提高意識很容易,使用者可以瞭解網際網路的工作原理及其潛在威脅。
每個網咖、家庭/個人電腦和辦公電腦都應透過防火牆進行保護。應透過其服務提供商或閘道器指示使用者不要破壞未經授權的網路。應以粗體描述威脅,並突出顯示其影響。
應在中小學開設網路安全意識課程,使其成為一個持續的過程。
政府必須制定強有力的法律來執行網路安全,並透過電視/廣播/網際網路廣告進行宣傳,從而提高足夠的意識。
資訊共享
美國提出了一項名為“2014年網路安全資訊共享法案 (CISA)”的法律,旨在透過加強網路安全威脅資訊的共享來改善該國的網路安全。每個國家都需要制定此類法律來在公民之間共享威脅資訊。
網路安全漏洞需要強制性報告機制
最近名為“Uroburos/Snake”的惡意軟體是網路間諜活動和網路戰爭日益增長的一個例子。竊取敏感資訊已成為新的趨勢。然而,不幸的是,電信公司/網際網路服務提供商 (ISP) 沒有共享與其網路遭受網路攻擊相關的資訊。結果,無法制定強大的網路安全策略來應對網路攻擊。
可以透過制定良好的網路安全法來解決這個問題,該法可以為電信公司/ISP強制執行網路安全漏洞通知建立監管制度。
自動化電網、熱電廠、衛星等基礎設施容易受到各種形式的網路攻擊,因此違規通知程式將提醒相關機構對此進行處理。
實施網路安全框架
儘管公司正在投資網路安全措施,但資料洩露事件仍在繼續發生。據《華爾街日報》報道,“據Allied Business Intelligence Inc.的資料,關鍵基礎設施行業的全球網路安全支出預計將在2013年達到460億美元,比前一年增長10%。” 這需要有效實施網路安全框架。
網路安全框架的組成部分
該框架包括三個主要組成部分:
- 核心部分;
- 實施層;以及
- 框架配置檔案。
框架核心
框架核心是一組網路安全活動和適用參考,具有五個同時且持續的功能:識別、保護、檢測、響應和恢復。框架核心具有確保以下方面的方法:
- 制定和實施程式以保護最重要的智慧財產權和資產。
- 擁有必要的資源來識別任何網路安全漏洞。
- 在發生漏洞時進行恢復。
實施層
框架實施層定義了組織在應用其網路安全實踐中所採用的複雜程度和一致性級別。它有以下四個級別。
第一層(部分) - 在此級別,組織的網路風險管理概況未定義。組織層面對組織網路安全風險的認識僅為部分。尚未認識到管理網路安全風險的組織範圍內的 методология。
第二層(基於風險的) - 在此級別,組織制定了由高階管理層直接批准的網路風險管理策略。高階管理層努力制定與網路安全相關的風險管理目標並實施這些目標。
第三層(可重複的) - 在此級別,組織採用正式的網路安全措施,這些措施會根據需要定期更新。組織認識到其依賴關係和合作夥伴。它還會收到來自他們的資訊,這有助於做出基於風險的管理決策。
第四層(自適應的) - 在此級別,組織根據先前和當前的網路安全活動“即時”調整其網路安全實踐。透過持續改進,結合先進的網路安全技術、與合作伙伴的即時協作以及對其系統上活動的持續監控,組織的網路安全實踐可以快速響應複雜的威脅。
框架配置檔案
框架配置檔案是一個工具,它為組織提供了一個平臺來儲存與其網路安全程式相關的資訊。配置檔案允許組織清楚地表達其網路安全程式的目標。
從實施框架開始的地方
包括董事在內的高階管理層應首先熟悉該框架。然後,董事應與管理層詳細討論組織的實施層。
教育管理人員和員工瞭解該框架將確保每個人都瞭解其重要性。這是成功實施強有力的網路安全程式的重要一步。有關現有框架實施的資訊可以幫助組織制定自己的方法。