本章将指导您制定各种策略以最大程度地降低网络风险。只有制定明确的政策，才能减少网络空间中产生的威胁。

促进网络安全研发

由于对Internet的依赖性越来越高，我们今天面临的最大挑战是来自恶意者的信息安全。因此，至关重要的是促进网络安全的研究与开发，以便我们能够提出可靠的解决方案来减轻网络风险。

网络安全研究

网络安全研究是与准备解决方案以应对网络罪犯有关的领域。随着互联网攻击数量的增加，持续不断的威胁和网络钓鱼，未来需要大量的研究和技术开发。

网络安全研究-印度的观点

近年来，印度见证了网络技术的巨大增长。因此，它要求对网络安全的研究和开发活动进行投资。通过本地网络安全公司的出现，印度也看到了许多成功的研究成果，这些成果已转化为企业。

威胁情报

减轻网络威胁的研究工作已经在印度开始。有一个积极的应对机制可以应对网络威胁。印度各种研究组织已经在开展研究和开发活动，以应对网络空间中的威胁。

下一代防火墙

还正在研究基于多身份的专业知识，例如为企业提供安全情报并使他们能够在网络外围应用最适合的安全控制的下一代防火墙。

安全协议和算法

在技术层面上，协议和算法的研究是巩固网络安全的重要阶段。它定义了网络空间上信息共享和处理的规则。在印度，协议和算法级别的研究包括-

• 安全路由协议
• 高效认证协议
• 无线网络的增强路由协议
• 安全传输控制协议
• 攻击模拟算法等

认证技术

诸如密钥管理，两因素身份验证和自动密钥管理之类的身份验证技术提供了无需集中式密钥管理系统和文件保护即可进行加密和解密的功能。为了加强这些认证技术，正在进行持续的研究。

BYOD，云和移动安全

随着各种类型的移动设备的采用，对移动设备上与安全性和隐私相关的任务的研究已经增加。移动安全测试，云安全和BYOD(自带设备)风险缓解是许多研究正在进行的领域。

网络取证

网络取证是分析技术的应用，可以从系统或数字存储介质中收集和恢复数据。在印度进行研究的一些特定领域是-

• 磁盘取证
• 网络取证
• 移动设备取证
• 记忆取证
• 多媒体取证
• 互联网取证

减少供应链风险

正式地，供应链风险可以定义为-

对手可能遭受损害的任何风险，为其编写一些恶意函数，破坏供应物项或系统的设计，安装，过程或维护，以致整个函数可能会降低。

供应链问题

供应链是一个全球性问题，需要找出客户和供应商之间的相互依存关系。在今天的场景中，重要的是要知道-什么是SCRM问题?以及如何解决这些问题?

有效的SCRM(供应链风险管理)方法需要强大的公私合作伙伴关系。政府应拥有强大的权力机构来处理供应链问题。甚至私营部门也可以在许多领域发挥关键作用。

我们无法提供一种千篇一律的解决方案来管理供应链风险。根据产品和行业的不同，降低风险的成本也会有所不同。应鼓励公私合作伙伴关系解决与供应链管理相关的风险。

通过人力资源开发减轻风险

组织的网络安全政策是有效的，只要其所有员工都了解其价值并表现出对实施它们的坚定承诺。人力资源总监可以通过应用以下几点，在确保组织在网络空间中的安全中发挥关键作用。

承担员工所构成的安全风险

由于大多数员工并不重视风险因素，因此黑客发现将组织作为目标很容易。在这方面，人力资源在教育员工有关其态度和行为对组织安全的影响方面起着关键作用。

确保安全措施切实可行和符合道德

公司的政策必须与员工的思维和行为方式保持同步。例如，在系统上保存密码是一种威胁，但是持续监视可以阻止这种情况。人力资源团队最有能力建议政策是否可能有效，以及是否适当。

识别可能带来特殊风险的员工

网络犯罪分子还会利用公司内部人员的帮助来入侵他们的网络。因此，至关重要的是要确定可能存在特定风险并制定严格人力资源政策的员工。

建立网络安全意识

印度的网络安全仍处于发展阶段。这是提高对与网络安全有关的问题的意识的最佳时间。在基层(如学校)建立意识很容易，可以使用户知道互联网的工作方式及其潜在威胁。

每个网吧，家用/个人计算机和办公室计算机都应通过防火墙进行保护。应该通过服务提供商或网关指示用户不要破坏未经授权的网络。威胁应以粗体显示，影响应突出显示。

应该在学校和大学中引入有关网络安全意识的主题，以使其成为一个持续的过程。

政府必须制定强有力的法律，以加强网络安全，并通过电视/广播/互联网广告进行广播，以建立足够的意识。

信息共享

美国提出了一项名为2014年《网络安全信息共享法》(CISA)的法律，旨在通过加强有关网络安全威胁的信息共享来改善该国的网络安全。每个国家都需要制定此类法律，以在公民之间共享威胁信息。

网络安全违规需要强制性的报告机制

最近的名为Uroburos / Snake的恶意软件是不断增长的网络间谍活动和网络战的一个例子。窃取敏感信息是新趋势。但是，不幸的是，电信公司/互联网服务提供商(ISP)并未共享与针对其网络的网络攻击有关的信息。结果，无法制定出强大的网络安全策略来应对网络攻击。

可以通过制定良好的网络安全法律来解决此问题，该法律可以为电信公司/ ISP的强制性网络安全违规通知建立监管制度。

自动化电网，火力发电厂，卫星等基础设施容易受到各种形式的网络攻击的侵害，因此，违规通知程序将提醒机构对其进行处理。

实施网络安全框架

尽管公司在网络安全计划上花费了很多钱，但数据泄露仍在继续。据《华尔街日报》报道， “据联合商业情报公司称，2013年关键基础设施行业的全球网络安全支出预计将达到460亿美元，同比增长10％。”这就要求有效实施网络安全框架。

网络安全框架的组成部分

该框架包括三个主要部分-

• 核心，
• 实施层，以及
• 框架配置文件。

框架核心

框架核心是一组网络安全活动和适用的参考，它们具有五个同时且恒定的功能-识别，保护，检测，响应和恢复。框架核心具有确保以下内容的方法-

• 制定并实施程序来保护最关键的知识产权和资产。
• 有足够的资源来识别任何网络安全漏洞。
• 如果发生违规，请从违规中恢复。

实施层

框架实施层定义了组织在应用其网络安全实践时所采用的复杂程度和一致性。它具有以下四个级别。

第1层(部分) -在此级别中，未定义组织的网络风险管理配置文件。在组织级别，对组织的网络安全风险有部分意识。尚未认识到组织范围内用于管理网络安全风险的方法。

第2层(了解风险) -在此级别，组织建立了由高级管理层直接批准的网络风险管理策略。高级管理层努力建立与网络安全相关的风险管理目标并加以实施。

第3层(可重复) –在此级别，组织采用正式的网络安全措施运行，并会根据要求定期进行更新。组织认识到其依赖关系和合作伙伴。它还从他们那里接收信息，这有助于做出基于风险的管理决策。

第4层(自适应) -在此级别上，组织“实时”调整从以前和当前的网络安全活动中衍生出来的网络安全实践。通过不断发展的过程，结合先进的网络安全技术，与合作伙伴的实时协作以及对系统活动的持续监视，组织的网络安全实践可以快速应对复杂的威胁。

框架简介

Framework Profile是一种工具，可为组织提供一个平台，用于存储有关其网络安全计划的信息。配置文件使组织可以清楚地表达其网络安全计划的目标。

您从哪里开始实施框架?

包括董事在内的高级管理层应首先熟悉该框架。之后，董事应与管理层就组织的实施层进行详细讨论。

对管理人员和员工进行有关框架的教育将确保每个人都了解其重要性。这是成功实施强有力的网络安全计划的重要一步。有关现有框架实施的信息可以帮助组织采用自己的方法。