计算机安全 - 政策

---

在本章中，我们将解释安全策略，这些策略是公司技术基础设施安全的基础。

在某种程度上，它们是对员工在工作场所使用技术的Behave的监管，可以最大限度地减少被黑客攻击、信息泄露、互联网不良使用的风险，并确保公司资源的安全。

在现实生活中，您会注意到您组织的员工总是倾向于点击不良或受病毒感染的 URL 或带有病毒的电子邮件附件。

安全策略在设置协议中的作用

以下是一些有助于为组织的安全策略设置协议的指导。

• 谁应该有权访问该系统？
• 应该如何配置呢？
• 如何与第三方或系统进行通信？

政策分为两类 -

• 用户政策
• IT 政策。

用户策略通常定义用户对工作场所中的计算机资源的限制。例如，如果他们可以使用可移动存储，他们可以在计算机上安装什么。

而IT政策是为IT部门设计的，以确保IT领域的流程和功能。

• 一般政策- 这是定义员工权利和系统访问级别的政策。一般来说，它甚至包含在通信协议中，作为发生灾难时的预防措施。

• 服务器策略- 这定义了谁应该有权访问特定服务器以及具有哪些权限。应安装哪些软件、互联网访问级别、应如何更新。

• 防火墙访问和配置策略- 它定义谁应该有权访问防火墙以及什么类型的访问（例如监控）、规则更改。应允许哪些端口和服务以及是否应入站或出站。

• 备份策略- 它定义谁是备份负责人、应该备份什么、应该备份到哪里、应该保留多长时间以及备份频率。

• VPN 策略- 这些策略通常与防火墙策略一起使用，它定义了那些应该拥有 VPN 访问权限的用户以及拥有哪些权限。对于与合作伙伴的站点到站点连接，它定义了合作伙伴对您的网络的访问级别以及要设置的加密类型。

安全策略的结构

当您编写安全策略时，您应该记住一个基本结构，以便使其实用。必须考虑的一些要点是 -

• 该政策的描述以及用途是什么？
• 这个政策应该应用在哪里？
• 受本政策影响的员工的职能和责任。
• 本政策涉及的程序。
• 如果政策与公司标准不兼容，就会产生后果。

保单类型

在本节中，我们将看到最重要的策略类型。

• 宽容策略- 这是一种中等限制策略，我们作为管理员仅阻止一些有关互联网访问的众所周知的恶意软件端口，并且仅考虑一些漏洞利用。

• 审慎政策- 这是一项严格的限制政策，其中有关互联网访问的所有内容都被阻止，只允许一小部分网站，现在允许在计算机中安装额外的服务并为每个用户维护日志。

• 接受用户策略- 该策略规范用户对系统或网络甚至网页的Behave，因此明确说明了用户在系统中可以做什么和不能做什么。比如他们是否允许共享访问代码，他们是否可以共享资源等等。

• 用户帐户策略- 此策略定义用户应该做什么才能在特定系统中拥有或维护另一个用户。例如，访问电子商务网页。要创建此政策，您应该回答一些问题，例如 -

  • 密码是否应该复杂？

  • 用户的年龄应该是多少？

  • 允许的最大尝试次数或登录失败次数？

  • 什么时候应该删除、激活、阻止用户？

• 信息保护政策- 该政策旨在规范信息的访问、热处理信息、如何存储以及如何传输。

• 远程访问策略- 此策略主要适用于用户及其分支机构位于总部之外的大公司。它告诉用户应该访问什么、何时可以工作以及使用哪些软件（例如 SSH、VPN、RDP）。

• 防火墙管理策略- 该策略与其管理明确相关，应阻止哪些端口、应进行哪些更新、如何在防火墙中进行更改、日志应保留多长时间。

• 特殊访问策略- 该策略旨在控制人们并监控其系统中的特殊权限以及他们拥有该权限的目的。这些员工可以是团队领导、经理、高级经理、系统管理员以及此类高级职位的人员。

• 网络策略- 该策略是限制任何人对网络资源的访问，并明确谁将访问网络。它还将确保该人是否应该经过身份验证。该政策还包括其他方面，例如谁将授权将连接到网络的新设备？网络变更的文档。Web 过滤器和访问级别。谁应该拥有无线连接以及身份验证类型、连接会话的有效性？

• 电子邮件使用政策- 这是应该执行的最重要的政策之一，因为许多用户也将工作电子邮件用于个人目的。因此，信息可能会泄露到外部。该政策的一些要点是员工应该了解他们有权使用的该系统的重要性。他们不应打开任何看起来可疑的附件。私人和机密数据不应通过任何加密电子邮件发送。

• 软件安全策略- 该策略与用户计算机中安装的软件及其应有的内容有关。该政策的一些要点是公司的软件不应提供给第三方。只允许安装白名单软件，计算机中不得安装其他软件。不应允许盗版软件和盗版软件。