【正文】 鑒別機制。如果機制是口令，則安全策略還應規(guī)定最小的口令字長、最長和最短的口令生存期以及口令內容的要求。 當開發(fā)安全策略時，每個組織還應決定是對管理員采用相同的機制，還是更強的機制。如果需要更強的機制，安全策略應確定相應的安全要求。更強的機制對諸如 VPN或撥號訪問這些遠程訪問也是適用的。 安全策略應確定對電子文件的訪問控制的標準要求，具體如下： （ 1） 在確定機制時，對計算機上的每個文件，用戶定義的訪問控制的某些方式應是可用的。這個機制應和身份鑒別機制一起工作，以確保只有授權用戶能訪問文件。該機制至少應能確定什么樣的用戶有讀、寫、執(zhí)行文件的許可。 （ 2） 對新文件的默認配置應說明當新文件生成時應如何建立許可。這部分安全策略應對給出的系統(tǒng)中的文件確定讀、寫、執(zhí)行的許可。 安全策略的審計部分應確定所有系統(tǒng)上需要審計的事件類型。通常安全策略需對下列事件進行審計：成功或失敗的登錄、退出系統(tǒng)、對文件或系統(tǒng)的訪問失敗、成功或失敗的遠程訪問、特權操作（由管理員操作，成功或失?。⑾到y(tǒng)事件（關機或重啟）。 對每個事件應捕獲下列信息：用戶 ID、日期和時間、進程 ID、執(zhí)行的動作、事件的成功或失敗。 安全策略應說明審計記錄應保存多久以及如何存放。如有可能，安全策略還應確定如何檢查審計記錄以及檢查的時間間隔。 對每一種接到組織網絡的連接形式，安全策略應說明連接的規(guī)則以及保護機制。 對撥號連接，應說明對這類連接技術的鑒別要求。該要求應指回到策略的身份鑒別這一部分。也可能描述一個比通常使用的更強的身份鑒別。 此外，安全策略應確定開始得到撥號訪問的身份鑒別要求。對一個組織來說，應嚴格控制允許多少個撥號訪問點，因此應公平地限制身份鑒別的要求。 一個組織的固定網絡連接是由某些類型的固定通信線路接入的。安全策略應確定用于這些連接的安全設備類型。通常防火墻是合適的設備。僅僅說明設備類型并不意味著說明了相應的保護級別。安全策略應定義一個設備的基本網絡訪問控制策略以及請求和得到訪問的過程。這些在標準的配置中是沒有的。 對內部系統(tǒng)的遠程訪問是組織允許員工在外出時從外部訪問內部系統(tǒng)。安全策略應說明這類訪問所采用的機制。對這類訪問，所有的通信應加密保護，并在加密部分說明密碼類型。因為訪問來自外部，應確定一個強的身份鑒別機制。 安全策略還應對允許員工得到這類訪問的授權建立一個正確的過程。 安全策略應確定搜索惡意代碼（如病毒、特洛伊木馬）的安全程序的存放位置。合適的位置包括文件服務器、桌面系統(tǒng)以及電子郵件服務器等。 安全策略應說明這些安全程序的要求，包括檢查專門的文件系統(tǒng)的安全程序要求以及當這些文件打開時檢查這些文件。策略還應要求對安全程序周期地更新簽名。 安全策略應確定使用在組織內的可接受的加密算法，在信息策略中指出保護敏感信息的相應算法。安全策略不限制僅僅選擇一種算法。安全策略還應說明密鑰管理需要的過程。 計算機用戶策略規(guī)定了誰可以使用計算機系統(tǒng)以及使用計算機系統(tǒng)的規(guī)則。 策略應清楚地說明所有計算機屬于本組織，并且提供給員工在組織內用于工作相一致的用途。策略也可能禁止使用非組織的計算機用于組織的經營業(yè)務。例如，員工希望在家里做某些工作，組織將為其提供計算機，但只有組織提供的計算機可通過遠程訪問系統(tǒng)接到組織內部的計算機系統(tǒng)。 計算機用戶策略 策略應規(guī)定所有存儲并用于組織內的計算機的信息屬于組織所有。某些員工可能使用組織的計算機存儲個人信息，如果策略沒有特殊說明，則個人信息可分開存在私人目錄下，并且非公開的。 大部分組織期望員工只使用組織提供的計算機，用于和工作有關的目的。但這不總是一個很好的假定。因此在策略中要明確說明。 有時，組織允許員工為了其他目的使用組織的計算機。如果是這樣，應在策略中清楚說明。 使用組織提供的計算機還影響到什么軟件加載到系統(tǒng)。規(guī)定非授權軟件不允許裝入系統(tǒng)。策略應規(guī)定誰可以裝載授權軟件以及怎樣成為合法軟件。 計算機用戶策略中最重要的部分或許是規(guī)定在任何組織的計算機存儲、讀出、接收的信息都沒有隱私。這對員工是十分重要的，他們應了解任何信息有可能被管理員檢查，包括電子郵件。也就是說，使員工了解管理員或安全職員可能監(jiān)視所有和計算機相關的動作，包括監(jiān)視 Web站點。 Inter使用策略經常包括在通用計算機使用策略中。然而，由于 Inter的特殊性，有時將它作為單獨的策略。 Inter的接入可以提高員工的工作效率。但 Inter也給員工提供了一個濫用計算機資源的機會。 Inter使用策略規(guī)定了如何合理地使用 Inter，諸如和業(yè)務有關的研究、采購，或使用電子郵件通信等；確定哪些是非正當使用，諸如訪問和業(yè)務無關的 Web站點、下載有版權的軟件、音樂文件的交易、發(fā)送連鎖郵件等。 Inter使用策略 假如該策略是從計算機用戶策略分離出來的，它應說明組織有可能監(jiān)視員工對 Inter的使用，當員工使用 Inter時，沒有隱私的問題。 有些組織為電子郵件的使用開發(fā)了專門的策略。電子郵件正越來越多地用于組織的業(yè)務處理。電子郵件是使組織的敏感信息毫無價值的另一種