コンピューターのセキュリティ-ポリシー

この章では、企業のテクノロジーインフラストラクチャのセキュリティの基礎となるセキュリティポリシーについて説明します。

ある意味では、職場でのテクノロジーの使用に対する従業員の行動の規制であり、ハッキング、情報漏えい、インターネットの不正使用のリスクを最小限に抑えることができ、会社のリソースの保護も保証します。

実際には、組織の従業員は常に、不良またはウイルスに感染したURL、またはウイルスが添付された電子メールの添付ファイルをクリックする傾向があることに気付くでしょう。

プロトコルの設定におけるセキュリティポリシーの役割

以下は、組織のセキュリティポリシーにuプロトコルを設定するのに役立ついくつかのポインターです。

• システムにアクセスできるのは誰ですか？
• どのように構成する必要がありますか？
• サードパーティまたはシステムと通信する方法は？

ポリシーは2つのカテゴリに分かれています-

• ユーザーポリシー
• ITポリシー。

一般に、ユーザーポリシーは、職場のコンピューターリソースに対するユーザーの制限を定義します。 たとえば、リムーバブルストレージを使用できる場合、コンピューターにインストールできるものは何ですか。

一方、ITポリシーはIT部門向けに設計されており、IT分野の手順と機能を保護します。

• 一般ポリシー-これは、スタッフの権限とシステムへのアクセスレベルを定義するポリシーです。 通常、災害が発生した場合の予防策として、通信プロトコルにも含まれています。
• サーバーポリシー-これは、特定のサーバーに誰がどのような権限でアクセスする必要があるかを定義します。 インストールするソフトウェア、インターネットへのアクセスレベル、更新方法。
• ファイアウォールアクセスおよび構成ポリシー-ファイアウォールへのアクセスを許可するユーザーと、監視などのルールの変更の種類を定義します。 許可するポートとサービス、および受信または送信する必要がある場合。
• バックアップポリシー-バックアップの責任者、バックアップの対象、バックアップ先、保持期間、バックアップの頻度を定義します。
• * VPNポリシー*-これらのポリシーは、一般にファイアウォールポリシーに適用され、VPNアクセスを許可する必要があるユーザーとその権限を定義します。 パートナーとのサイト間接続の場合、ネットワークへのパートナーのアクセスレベル、設定する暗号化の種類を定義します。

セキュリティポリシーの構造

セキュリティポリシーをコンパイルするときは、実用的なものにするために基本構造を念頭に置いておく必要があります。 考慮に入れなければならない主な点のいくつかは-

• ポリシーの説明と用途は何ですか？
• このポリシーを適用する場所
• このポリシーの影響を受ける従業員の機能と責任。
• このポリシーに関係する手順。
• ポリシーが会社の標準と互換性がない場合の結果。

ポリシーの種類

このセクションでは、最も重要な種類のポリシーを確認します。

• 許可ポリシー-管理者として、インターネットアクセスに関するマルウェアの既知のポートのみをブロックし、いくつかのエクスプロイトのみを考慮に入れる中程度の制限ポリシーです。
• 慎重なポリシー-これは、インターネットアクセスに関するすべてがブロックされ、ウェブサイトの小さなリストのみが許可され、追加のサービスがインストールされるコンピューターで許可され、すべてのユーザーのログが維持される高度な制限ポリシーです。
• Acceptance User Policy -このポリシーは、システムまたはネットワーク、さらにはWebページに対するユーザーの動作を規制するため、ユーザーがシステムでできることとできないことを明示的に述べています。 同様に、アクセスコードの共有、リソースの共有などが許可されています。
• ユーザーアカウントポリシー-このポリシーは、特定のシステムで別のユーザーを所有または管理するためにユーザーが行うべきことを定義します。 たとえば、eコマースWebページへのアクセス。 このポリシーを作成するには、次のようないくつかの質問に答える必要があります-
• パスワードは複雑である必要がありますか？
• ユーザーは何歳ですか？
• ログインの最大許容試行回数または失敗回数
• ユーザーを削除、アクティブ化、ブロックする必要があるのはいつですか？
• 情報保護ポリシー-このポリシーは、情報へのアクセス、プロセス情報へのアクセス、保存方法、および転送方法を規制するものです。
• リモートアクセスポリシー-このポリシーは、主にユーザーとその支店が本社の外にある大企業向けです。 ユーザーが何にアクセスする必要があるか、いつ作業できるか、SSH、VPN、RDPなどのソフトウェアでアクセスできるかどうかを示します。
• ファイアウォール管理ポリシー-このポリシーは、管理、ブロックするポート、実行する更新、ファイアウォールの変更方法、ログを保持する期間を明示的に管理します。
• 特別なアクセスポリシー-このポリシーは、人々を管理し、システムの特別な特権と、その理由についての目的を監視することを目的としています。 これらの従業員は、チームリーダー、マネージャー、シニアマネージャー、システム管理者、およびそのような高い指名に基づく人々でありえます。
• ネットワークポリシー-このポリシーは、ネットワークリソースへのアクセスを制限し、誰がネットワークにアクセスするかを明確にすることです。 また、その人を認証する必要があるかどうかも確認します。 このポリシーには、ネットワークに接続される新しいデバイスを誰が承認するかなど、他の側面も含まれます。 ネットワーク変更のドキュメント。 Webフィルターとアクセスレベル。 誰がワイヤレス接続と認証の種類、接続セッションの有効性を持っている必要がありますか？
• メール使用ポリシー-これは、多くのユーザーが個人的な目的でも仕事用のメールを使用するため、実行すべき最も重要なポリシーの1つです。 その結果、情報が外部に漏洩する可能性があります。 このポリシーの重要なポイントのいくつかは、従業員が使用する特権を持っているこのシステムの重要性を知っている必要があることです。 疑わしいと思われる添付ファイルを開かないでください。 プライベートおよび機密データは、暗号化された電子メールを介して送信しないでください。
• ソフトウェアセキュリティポリシー-このポリシーは、ユーザーのコンピューターにインストールされているソフトウェアとその機能に関係しています。 このポリシーの重要な点のいくつかは、会社のソフトウェアを第三者に提供すべきではないということです。 ソフトウェアのホワイトリストのみが許可され、他のソフトウェアはコンピューターにインストールされません。 ワレズと海賊版ソフトウェアは許可されません。