作者: 寂静的海
每个网络都需要安全政策,既提供了指导方针和应用指南,但究竟哪些项目应该这样的策略,包括什么呢?每个网络都具有不同的网络基础设施和安全需求……
每家公司都是独特的,且具有不同的网络基础设施和安全需求。但有10个政策必须包含在每个网络安全策略的,不管公司的规模,范围或重点。这里笔者将重点项目列出,希望对用户有所帮助。
1、Root安全策略:这个项目确立了策略的框架,它也可作为策略的目录,指导用户的具体方案与实施。同时还应该描述一个总的安全策略的基本规则,其范围包括所有公司的网络和数据。
2、个人电脑/工作站策略:这里应当描述公司的监管策略,以及可接受的和不可接受的用途。这一部分应包括从事商务活动,个人使用,以及可增加到系统中的,密码程序,数据保护措施,数据加密技术要求,数据备份的方法,软件的上传和下载的各类硬件和软件,以及哪些数据可以或不可以与同事、生意伙伴共享。
3、服务器策略:考虑到其重要的作用,病毒服务器在大多数企业处于关键地位,所以必须确定具体的策略,来规范服务器的部署,配置,管理和保护。这里的服务器策略应该包含所有可以使用的服务器,包括邮件服务器,FTP以及HTTP的系统,并指明系统与负责人的关系,强调人(或团队)的具体任务和责任。
4、邮件策略:顾名思义就是与邮件的相关政策,包罗个人的和企业电子邮件用途,如何处理垃圾邮件和恶意软件,邮件规则,帐户配置,控制附件,邮件保留和删除时间周期,允许使用的客户端软件,内容过滤,以及公司对电子邮件的监管策略。
5、网络准入策略:这里应该包括,控制员工的Internet访问权限,包括核准浏览器,浏览器设置,网上冲浪的规范,限制和禁止的网站,插件的控制,并规定著作权的发放与管理。
6、远程访问策略:这个策略必须包含从公司网络到外部接入者的每一个结点,具体包括远程访问控制,身份认证,帐户的权限,允许和禁止的活动,无线接入准则,密码管理信息,以及证书发放的管理。
7、移动策略:这里主要针对移动设备,如笔记本电脑,掌上电脑,媒体播放器和便携式存储设备。公司移动设备应该怎么被分配?这些设备又如何被使用?雇员如何确保移动系统和他们的数据安全?通讯设备在公司如何使用?这些问题都是应该考虑的安全策略。
8 、无线设备策略:无线设备为工作带来了很多便利,但他们也构成重大的安全威胁。公司必须指定无线设备策略,那些设备可以使用,那些禁止使用,如何使用这些设备。企业网络连接程序,权限及加密措施都是应该被考虑到的。
9、网关的配置:任何设备,只要界面与互联网必须配置,以保护企业网络,以及它的设备和数据。本节应当描述所有相关设备,包括交换机,防火墙和路由器,以及他们的设置,需要议定书,使用政策,收购指引和管理做法。
10、事件响应策略:火灾,暴风雨,地震,黑客攻击,系统故障和恐怖事件等等不可预计的事情都可能给公司业务造成致命的打击。所以当灾害发生时,及时的应急措施是非常必要的。响应策略中应包含进入紧急状态的联系方式(包括电话号码,电子邮件地址和物理地址) ,以及为所应采取的步骤,以及在发生特定事件时,可以及时联系的公共安全机构,律师,高级管理人员,技术人员等。
创造高效完备的安全策略是一个很大的工作,好的安全策略实施可以节省公司的资金和未来不可预计的灾难应急,并可以确保向用户授权的重要信息的安全性。权的用户。