减轻网络风险的政策


本章将带您了解为最大限度降低网络风险而制定的各种政策。只有制定明确的政策,才能减少网络空间中产生的威胁。

促进网络安全研发

由于对互联网的依赖不断增加,我们今天面临的最大挑战是信息安全免受不法分子的侵害。因此,有必要促进网络安全的研究和开发,以便我们能够提出强有力的解决方案来降低网络风险。

网络安全研究

网络安全研究是一个涉及准备应对网络犯罪的解决方案的领域。随着互联网攻击、高级持续威胁和网络钓鱼的数量不断增加,未来需要大量的研究和技术开发。

网络安全研究——印度视角

近年来,印度的网络技术取得了巨大的发展。因此,需要对网络安全的研发活动进行投资。印度还看到许多成功的研究成果通过当地网络安全公司的出现而转化为企业。

威胁情报

印度已经开始减轻网络威胁的研究工作。有一个主动响应机制来应对网络威胁。印度的各个研究组织已经开始开展研究和开发活动,以应对网络空间的威胁。

下一代防火墙

基于多身份的专业知识(例如下一代防火墙)也正在研究中,该技术为企业提供安全智能,并使他们能够在网络外围应用最适合的安全控制。

安全协议和算法

协议和算法的研究是技术层面巩固网络安全的重要阶段。它定义了网络空间信息共享和处理的规则。在印度,协议和算法级别的研究包括 -

  • 安全路由协议
  • 高效的身份验证协议
  • 无线网络的增强型路由协议
  • 安全传输控制协议
  • 攻击模拟算法等

认证技术

密钥管理、双因素身份验证和自动密钥管理等身份验证技术提供了加密和解密的能力,而无需集中式密钥管理系统和文件保护。人们不断进行研究来加强这些身份验证技术。

BYOD、云和移动安全

随着各种类型移动设备的采用,对移动设备上的安全和隐私相关任务的研究不断增加。移动安全测试、云安全和 BYOD(自带设备)风险缓解是正在进行大量研究的领域。

网络取证

网络取证是应用分析技术从系统或数字存储介质收集和恢复数据。印度正在进行研究的一些具体领域是 -

  • 磁盘取证
  • 网络取证
  • 移动设备取证
  • 内存取证
  • 多媒体取证
  • 互联网取证

降低供应链风险

正式地,供应链风险可以定义为 -

任何对手可能损坏、写入恶意功能、解构供应项目或系统的设计、安装、程序或维护,从而导致整个功能退化的风险。

供应链问题

供应链是一个全球性问题,需要找出客户和供应商之间的相互依赖关系。在今天的情况下,重要的是要知道 - SCRM 问题是什么?以及如何解决这些问题?

有效的 SCRM(供应链风险管理)方法需要强大的公私合作伙伴关系。政府应该有强有力的权力来处理供应链问题。即使私营部门也可以在许多领域发挥关键作用。

我们无法提供一刀切的供应链风险管理解决方案。根据产品和行业的不同,降低风险的成本也会有所不同。应鼓励公私合作伙伴关系解决与供应链管理相关的风险。

通过人力资源开发降低风险

如果组织的所有员工都了解其价值并表现出实施这些政策的坚定承诺,那么组织的网络安全政策就可以有效。通过应用以下几点,人力资源总监可以在确保组织在网络空间中的安全方面发挥关键作用。

承担员工带来的安全风险

由于大多数员工并不重视风险因素,黑客很容易将组织作为目标。在这方面,人力资源部门在教育员工了解他们的态度和Behave对组织安全的影响方面发挥着关键作用。

确保安全措施实用且合乎道德

公司的政策必须与员工的思维和Behave方式保持一致。例如,在系统上保存密码是一种威胁,但持续监控可以防止这种威胁。人力资源团队最适合就政策是否可能有效以及它们是否适当提供建议。

识别可能带来特定风险的员工

网络犯罪分子也会在公司内部人员的帮助下入侵他们的网络。因此,识别可能带来特定风险的员工并为其制定严格的人力资源政策至关重要。

建立网络安全意识

印度的网络安全仍处于发展阶段。这是提高人们对网络安全相关问题认识的最佳时机。很容易从基层(例如学校)提高认识,让用户了解互联网的工作原理及其潜在威胁是什么。

每个网吧、家庭/个人计算机和办公室计算机都应通过防火墙进行保护。应通过其服务提供商或网关指示用户不要破坏未经授权的网络。应以粗体描述威胁并突出其影响。

应在学校和学院引入网络安全意识主题,使其成为一个持续的过程。

政府必须制定强有力的法律来加强网络安全,并通过电视/广播/互联网广告传播同样的内容,以提高人们的足够意识。

信息共享

美国提出了一项名为《2014 年网络安全信息共享法案》(CISA) 的法律,旨在通过加强有关网络安全威胁的信息共享来改善该国的网络安全。每个国家都需要此类法律来在公民之间共享威胁信息。

网络安全违规需要强制报告机制

最近名为Uroburos/Snake的恶意软件是网络间谍活动和网络战不断增长的一个例子。窃取敏感信息已成为新趋势。然而,不幸的是,电信公司/互联网服务提供商 (ISP) 并未共享有关针对其网络的网络攻击的信息。因此,无法制定强有力的网络安全策略来应对网络攻击。

这个问题可以通过制定良好的网络安全法来解决,该法可以建立电信公司/互联网服务提供商强制网络安全违规通知的监管制度。

自动化电网、热电厂、卫星等基础设施很容易受到各种形式的网络攻击,因此违规通知计划将提醒​​各机构对其进行处理。

实施网络安全框架

尽管公司在网络安全举措上投入了大量资金,但数据泄露事件仍在继续发生。据《华尔街日报》报道, “根据 Allied Business Intelligence Inc. 的数据,2013 年关键基础设施行业的全球网络安全支出预计将达到 460 亿美元,比上年增长 10%。” 这就需要网络安全框架的有效实施。

网络安全框架的组成部分

该框架由三个主要组成部分组成 -

  • 核心,
  • 实施层,以及
  • 框架配置文件。
网络安全框架

框架核心

框架核心是一组网络安全活动和适用的参考资料,具有五个同时且恒定的功能:识别、保护、检测、响应和恢复。框架核心有方法确保以下内容 -

  • 制定并实施程序来保护最重要的知识产权和资产。
  • 拥有适当的资源来识别任何网络安全漏洞。
  • 如果发生违规,请从违规中恢复。

实施层

框架实施层定义了组织在应用其网络安全实践时所采用的复杂性和一致性水平。它有以下四个级别。

实施层级

第 1 层(部分) - 在该级别中,未定义组织的网络风险管理配置文件。在组织层面对组织的网络安全风险存在部分认识。组织范围内管理网络安全风险的方法尚未得到认可。

第 2 层(风险知情) - 在这一级别,组织制定由高级管理层直接批准的网络风险管理政策。高级管理层努力制定网络安全相关风险管理目标并落实。

第 3 层(可重复) - 在此级别,组织采用正式的网络安全措施运行,并根据要求定期更新。该组织认识到其依赖性和合作伙伴。它还从他们那里接收信息,这有助于做出基于风险的管理决策。

第 4 层(自适应) - 在这个级别,组织“实时”调整源自先前和当前网络安全活动的网络安全实践。通过不断发展结合先进的网络安全技术、与合作伙伴的实时协作以及对其系统活动的持续监控,组织的网络安全实践可以快速响应复杂的威胁。

框架简介

框架配置文件是一种工具,为组织提供一个存储有关其网络安全计划的信息的平台。配置文件允许组织清楚地表达其网络安全计划的目标。

从哪里开始实施该框架?

包括董事在内的高级管理层应首先熟悉该框架。之后,董事应与管理层就组织的实施层级进行详细讨论。

对管理人员和员工进行框架教育将确保每个人都了解其重要性。这是成功实施强有力的网络安全计划的重要一步。有关现有框架实施的信息可以帮助组织采用自己的方法。