📌  相关文章
📜  网络安全政策

📅  最后修改于: 2022-05-13 01:57:01.489000             🧑  作者: Mango

网络安全政策

网络空间是一个复杂的环境,由人、软件和服务之间的交互组成,由全球分布的信息和通信技术 (ICT) 设备和网络提供支持。

网络安全在数字世界领域发挥着至关重要的作用。保护信息和数据成为当今最重要的挑战之一。每当我们期望网络安全时,我们首先想到的就是网络犯罪,这些犯罪每天都在急剧增加。各国政府和组织正在采取许多措施来制止这些网络犯罪。除了各种措施外,网络安全仍然是一些人的重大关切。 2021 年的三大网络安全趋势是:

  • 勒索软件
  • 网络攻击面(物联网供应链和远程工作系统)
  • 对 IT 基础架构的威胁

图:1 网络安全威胁的类型

在不同国家 IT 部门的广泛增长中,为快速社会转型和包容性增长制定了雄心勃勃的计划,并为创建安全的计算环境和对电子交易、软件、服务、设备的充分信任和信心提供了正确的关注点和网络,已成为所有人关注的优先事项之一。

网络空间容易受到各种事件的影响,无论是有意的还是意外的、人为的还是自然的,网络空间中交换的数据可能被用于不法目的。保护信息网络空间,维护网络空间信息的机密性、完整性和可用性,是网络空间安全的本质。

图:2 网络安全周期

以下是本文涵盖的一些网络安全政策:

1. 可接受的数据使用系统政策

本政策的目的是规定公司/公司对计算机设备的适当使用。这些规则保护授权用户,因此也保护公司。不当使用会使公司面临病毒攻击、网络系统和服务受损以及法律问题等风险。

2.账户管理政策

本政策的目的是确定一个典型的帐户的创建、管理、使用和删除,以方便访问公司的信息和技术资源。

3. 防病毒

该政策旨在帮助防止恶意软件和其他恶意代码对公司计算机、网络和技术系统的攻击。此政策旨在帮助防止对用户应用程序、数据、文件和硬件的损坏。防病毒软件是一种计算机程序,可检测、阻止并采取措施解除或删除恶意软件程序,例如病毒和蠕虫。大多数防病毒程序都包含自动更新功能,该功能使程序能够下载新病毒的配置文件,以便在发现新病毒后立即检查它们。防病毒软件是每个系统的必备和基本必需品。

4. 电子商务政策

近年来,网络攻击的频率很高。电子商务安全是指为保护企业及其客户免受网络威胁而采取的措施。本电子商务政策在电子商务电子商务服务管理中既是建议,也是总结。

5. 电子邮件政策

电子邮件安全可能是一个术语,用于描述用于保护电子邮件帐户、内容和通信免受未经授权的访问、丢失或损害的不同程序和技术。电子邮件通常用于传播恶意软件、垃圾邮件和网络钓鱼攻击。攻击者使用欺骗性消息诱使收件人保留敏感信息、打开附件或单击在受害者设备上安装恶意软件的超链接。对于希望在企业网络中实现优势并获取有价值的公司数据的攻击者来说,电子邮件也是标准的入口点。电子邮件加密涉及加密或伪装电子邮件的内容,以保护潜在的敏感信息不被除预期收件人之外的任何人阅读。电子邮件加密通常包括身份验证。本政策的目的是确定使用公司电子邮件发送、接收或存储电子信息的规则。

6. 硬件和电子媒体处置政策

本政策涵盖公司拥有的多余硬件、过时机器以及任何无法合理维修或重复使用的设备,包括媒体。本政策将以合法、具有成本效益的方式建立和定义非租赁 IT 设备和媒体的处置标准、程序和限制。

7. 安全事件管理政策

该政策定义了报告和响应与公司信息系统和运营相关的事件的需求。事件响应为公司提供了在安全事件发生时发现的潜力。

8. 信息技术采购政策

采用这种策略的原因是为了描述使用组织储备购买的所有 IT 设备、编程、PC 相关部件和专业管理的规范、方法和限制。应通过 IT 部门支持和促进组织的创新和专业管理的获取。

9. 网络政策

制定此政策的原因是为利用组织的 Internet 访问 Internet 或 Intranet 制定指导方针。

10. 日志管理政策

在某种情况下,日志管理通常非常有用,通过适当的管理,可以加强安全性、系统性能、资源管理和法规遵从性。

11. 网络安全和 VPN 可接受使用政策

该政策的目的是定义从任何主机连接到公司网络的标准。这些标准旨在减少公司因未经授权使用公司资源而导致的潜在损失。损害包括敏感或公司机密数据、财产的丢失、关键公司内部系统的损坏等。

12. 密码政策

用户名和密码的概念一直是保护我们信息的基本方式。这可能是有关网络安全的首批措施之一。本政策的目的是确定一个典型的强密码的创建,这些密码的保护,因此必须遵循更改密码的频率。

13. 补丁管理政策

安全漏洞是计算系统和应用程序中固有的。这些漏洞允许恶意软件的事件和传播,这可能会破坏正常的业务运营,从而使公司处于危险之中。为了有效降低这种风险,可以使用软件“补丁”来消除给定的安全漏洞。

14. 云计算采用

本政策的目的是确保公司能够潜在地做出适当的云采用决策,并且在同等时间内不使用或允许使用不适当的云服务实践。本政策中列出了可接受和不可接受的云采用示例。

15. 服务器安全策略

本政策的目的是为公司内部网络或相关技术资源通过任何渠道拥有和/或运营的内部服务器设备的底层配置定义标准和限制。

16. 社交媒体可接受使用政策

出于商业目的在组织内使用外部社交媒体正在增加。该公司面临着特定数量的数据的暴露,这些数据将在社交媒体上对朋友的朋友可见。虽然这种暴露可能是推动价值的关键机制,但它也可能为信息在个人和业务联系人之间传递创造不适当的渠道。确定个人和个人网络之间障碍的工具以及集中管理帐户的工具才刚刚开始出现。 IT 部门对安全、隐私和带宽问题的参与至关重要。

17. 系统监控和审计政策

系统监控和审计用于确定数据系统中是否发生了不当行为。系统监控用于实时查看这些操作,而系统审计则在事后查找它们。

18. 漏洞评估

本政策的目的是确定定期漏洞评估的标准。该政策反映了公司对发现和实施安全控制的承诺,可以将数据系统资源的风险保持在合理和适当的水平。

19. 网站运营政策

本政策的目的是确定有关公司面向公众的网站的通信和更新的指导方针。保护公司网站内外的知识,并在所有公司业务的交易中使用同等的安全和保密标准,对公司的成功至关重要。

20. 工作站配置安全策略

该政策的目的是加强公司使用的工作站的安全性和质量操作状态。 IT 资源将在部署所有新工作站设备时利用这些准则。工作站用户应注意这些指导方针,并与 IT 资源协作以处理部署的规则。

21. 服务器虚拟化

此策略的目的是确定概述服务器虚拟化技术的获取、使用和管理的服务器虚拟化要求。此策略提供的控制措施可确保在制定与服务器虚拟化相关的决策时考虑企业问题以及业务目标。平台架构策略、标准和指南将被用于获取、设计、实施和管理所有服务器虚拟化技术。

22. 无线连接政策

本政策的目的是保护和保护公司拥有的知识资产,并确定连接到公司可以提供的免费和不安全 Wi-Fi 的意识和安全做法。该公司为目标和计划提供计算机设备、网络和其他电子信息系统。公司授予对这些资源的访问权限作为一种特权,并且必须负责任地管理它们,以确保所有信息资产的机密性、完整性和可用性。

23. 远程办公政策

出于本政策的需要,参考定义为定期在不在公司大楼或套房内的办公室执行工作的远程办公员工。员工的临时远程工作或非员工的远程工作不包括在此范围内。该政策专门提供通常提供给远程办公人员的 IT 设备,该政策解决了远程办公工作安排以及公司提供的设备的责任。

24. 防火墙

防火墙是一种软件程序或硬件,可帮助屏蔽试图通过 Internet 访问您的计算机的黑客、病毒和蠕虫。所有进入或离开 Internet 的消息都会通过防火墙,防火墙会检查每条消息并阻止那些不符合指定安全标准的消息。因此,防火墙在检测恶意软件方面发挥着重要作用。

25. 恶意软件扫描器

该软件有时会扫描系统中存在的所有文件和文档以查找恶意代码或有害病毒。病毒、蠕虫和特洛伊木马是恶意软件的样本,它们通常被组合在一起并被称为恶意软件。