计算机安全 - 政策

在本章中，我们将解释安全政策，这些政策是贵公司技术基础设施安全的基础。

在某种程度上，它们是对员工在工作场所使用技术行为的监管，可以最大限度地降低被黑客攻击、信息泄露、互联网滥用的风险，并确保公司资源的安全。

在现实生活中，您会注意到贵公司的员工总是倾向于点击恶意或受病毒感染的 URL 或带有病毒的电子邮件附件。

安全策略在设置协议中的作用

以下是一些有助于为组织的安全策略设置协议的指针。

• 谁应该有权访问系统？
• 应该如何配置？
• 如何与第三方或系统通信？

政策分为两类 −

• 用户政策
• IT 政策。

用户政策通常定义用户对工作场所计算机资源的限制。例如，如果他们可以使用可移动存储，他们被允许在计算机上安装什么。

而 IT 政策是为 IT 部门设计的，以保护 IT 领域的程序和功能。

• 一般政策 − 这是定义员工权限和系统访问级别的政策。通常，它甚至包含在通信协议中，作为发生任何灾难时的预防措施。

• 服务器政策 − 这定义了谁应该有权访问特定服务器以及具有哪些权限。应该安装哪些软件、互联网访问级别、如何更新。

• 防火墙访问和配置策略 − 它定义了谁应该有权访问防火墙以及访问类型（如监控、规则更改）。应该允许哪些端口和服务以及是否应该是入站或出站。

• 备份策略 − 它定义了谁是备份的负责人、应该备份什么、应该在哪里备份、应该保留多长时间以及备份的频率。

• VPN 策略 − 这些策略通常与防火墙策略一起使用，它定义了哪些用户应该拥有 VPN 访问权限以及拥有哪些权限。对于与合作伙伴的站点到站点连接，它定义了合作伙伴对您网络的访问级别，以及要设置的加密类型。

安全策略的结构

在编制安全策略时，您应该考虑一个基本结构，以便使某些事情切实可行。必须考虑的一些要点是 −

• 政策描述及其用途是什么？
• 应在何处应用此政策？
• 受此政策影响的员工的职能和职责。
• 此政策涉及的程序。
• 如果政策与公司标准不兼容，则会产生什么后果。

政策类型

在本节中，我们将了解最重要的政策类型。

• 宽容政策 − 这是一种中等限制政策，我们作为管理员仅阻止一些众所周知的恶意软件端口访问互联网，并且仅考虑一些漏洞。

• 审慎政策 −这是一种高度限制的政策，其中所有与互联网访问相关的内容都被阻止，只允许一小部分网站访问，现在允许在计算机中安装额外的服务，并为每个用户保留日志。

• 接受用户政策 − 此政策规范用户对系统或网络甚至网页的行为，因此明确规定了用户可以在系统中做什么和不能做什么。比如他们是否被允许共享访问代码，他们是否可以共享资源等。

• 用户帐户政策 − 此政策定义了用户应该做什么才能在特定系统中拥有或维护另一个用户。例如，访问电子商务网页。要创建此策略，您应该回答一些问题，例如 −

  • 密码是否应该复杂？

  • 用户应该年满多少岁？

  • 允许登录的最大尝试次数或失败次数？

  • 何时应删除、激活或阻止用户？

• 信息保护政策 − 此政策旨在规范对信息的访问、如何处理信息、如何存储以及如何传输信息。

• 远程访问政策 − 此政策主要针对用户及其分支机构位于总部以外的大公司。它告诉用户应该访问什么，何时可以工作以及使用哪些软件，如 SSH、VPN、RDP。

• 防火墙管理策略 − 此策略明确与其管理有关，哪些端口应该被阻止，应该进行哪些更新，如何在防火墙中进行更改，日志应该保留多长时间。

• 特殊访问策略 − 此策略旨在控制人员并监视其系统中的特殊权限以及他们拥有这些权限的目的。这些员工可以是团队负责人、经理、高级经理、系统管理员以及此类高级职位人员。

• 网络策略 − 此策略旨在限制任何人对网络资源的访问，并明确谁将访问网络。它还将确保该人是否应该经过身份验证。此策略还包括其他方面，例如，谁将授权将连接到网络的新设备？网络变更的文档。Web 过滤器和访问级别。谁应该拥有无线连接以及身份验证类型、连接会话的有效性？

• 电子邮件使用政策 − 这是应该执行的最重要的政策之一，因为许多用户也将工作电子邮件用于个人目的。因此，信息可能会泄露到外部。该政策的一些关键点是员工应该知道他们有权使用的这个系统的重要性。他们不应该打开任何看起来可疑的附件。私人和机密数据不应通过任何加密电子邮件发送。

• 软件安全政策 − 该政策与用户计算机中安装的软件以及他们应该拥有的软件有关。该政策的一些关键点是公司的软件不应提供给第三方。只应允许使用白名单中的软件，不应在计算机中安装任何其他软件。不允许使用 Warez 和盗版软件。