【正文】 過(guò)程。這個(gè)配置也會(huì)影響用戶。 留在紙上的敏感信息必須有相應(yīng)的銷(xiāo)毀方法。信息策略應(yīng)對(duì)每種傳輸方法確定保護(hù)方法。應(yīng)該記住，系統(tǒng)管理員能看到計(jì)算機(jī)系統(tǒng)中的所有文本。 安全策略對(duì)存儲(chǔ)在紙上或計(jì)算機(jī)系統(tǒng)中的敏感信息都應(yīng)有相應(yīng)的規(guī)定。這類信息被嚴(yán)格限制在一個(gè)組織內(nèi)的很有限的員工范圍內(nèi)，不能向組織內(nèi)的全體員工發(fā)布，更不能被組織外的人得到。 （ 2） 再上一級(jí)的信息是不公開(kāi)發(fā)表的，這些信息稱為 “ 私有 ” 、 “ 公司敏感 ” 或 “ 公司秘密 ” 。 安全策略的類型 信息策略 某些信息對(duì)所有組織都是敏感信息，包括工資信息、員工家庭住址和電話號(hào)碼、醫(yī)療保險(xiǎn)信息、任何在公開(kāi)以前的財(cái)務(wù)信息等。策略覆蓋該組織內(nèi)的全部敏感信息。例如，一個(gè)安全策略可適用于所有計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)，一個(gè)信息策略可適用于所有員工。將這些目標(biāo)和對(duì)象告訴員工，就為安全工作組提供了基礎(chǔ)。當(dāng)一個(gè)安全事故發(fā)生，或系統(tǒng)出故障時(shí)，組織的安全策略和安全程序規(guī)定其應(yīng)做的事，以及在事故發(fā)生時(shí)，該組織的行動(dòng)目標(biāo)。安全策略執(zhí)行兩個(gè)主要任務(wù)。第 3章 安全策略 安全策略的功能 安全策略的 類型 安全策略的使用 小結(jié) 習(xí)題 安全策略對(duì)一個(gè)組織來(lái)說(shuō)是十分重要的，是一個(gè)組織的信息安全部門(mén)能做的最重要的工作之一。 安全策略的功能 1. 確定安全的實(shí)施 安全策略確定實(shí)施什么樣的安全，具體內(nèi)容如下： （ 1） 安全策略確定恰當(dāng)?shù)挠?jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的配置及物理安全的措施，以及確定所使用的合理機(jī)制以保護(hù)信息和系統(tǒng)。 2. 使員工的行動(dòng)一致 對(duì)一個(gè)組織來(lái)說(shuō)，確定實(shí)施什么樣的安全是重要的，然而使每個(gè)工作人員行動(dòng)一致以維護(hù)組織的安全也是同樣重要的。安全策略的類型一個(gè)組織內(nèi)的安全策略和安全程序有很多種，本節(jié)將概述常用的、有效的安全策略和安全程序。 （ 3） 責(zé)任 責(zé)任規(guī)定誰(shuí)負(fù)責(zé)該文本的實(shí)施。每個(gè)員工有責(zé)任保護(hù)所有接觸的敏感信息。 值得指出的是，對(duì)一個(gè)組織來(lái)說(shuō)，不是所有信息在所有時(shí)間都是敏感的。這類信息對(duì)本組織員工是公開(kāi)的，對(duì)某些組織外的人員需簽不擴(kuò)散協(xié)議才能得到。 對(duì)于非公開(kāi)信息，安全策略應(yīng)將各類敏感信息清楚地加上標(biāo)記。 當(dāng)信息存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中，安全策略規(guī)定相應(yīng)的保護(hù)級(jí)別。如果該敏感信息不應(yīng)被系統(tǒng)員知道，只有采取加密措施。 對(duì)通過(guò)電子郵件傳送的敏感信息，安全策略應(yīng)規(guī)定對(duì)用附件方式的文件或報(bào)文頭進(jìn)行加密。存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中的敏感信息，如果刪除得不合適，仍有可能恢復(fù)。系統(tǒng)和網(wǎng)絡(luò)管理員應(yīng)對(duì)安全策略的實(shí)施負(fù)主要責(zé)任。 更為重要的是，安全策略應(yīng)確定對(duì)系統(tǒng)用戶或管理員的基本的鑒別機(jī)制。更強(qiáng)的機(jī)制對(duì)諸如 VPN或撥號(hào)訪問(wèn)這些遠(yuǎn)程訪問(wèn)也是適用的。 （ 2） 對(duì)新文件的默認(rèn)配置應(yīng)說(shuō)明當(dāng)新文件生成時(shí)應(yīng)如何建立許可。 對(duì)每個(gè)事件應(yīng)捕獲下列信息：用戶 ID、日期和時(shí)間、進(jìn)程 ID、執(zhí)行的動(dòng)作、事件的成功或失敗。 對(duì)撥號(hào)連接，應(yīng)說(shuō)明對(duì)這類連接技術(shù)的鑒別要求。對(duì)一個(gè)組織來(lái)說(shuō)，應(yīng)嚴(yán)格控制允許多少個(gè)撥號(hào)訪問(wèn)點(diǎn)，因此應(yīng)公平地限制身份鑒別的要求。僅僅說(shuō)明設(shè)備類型并不意味著說(shuō)明了相應(yīng)的保護(hù)級(jí)別。安全策略應(yīng)說(shuō)明這類訪問(wèn)所采用的機(jī)制。 安全策略應(yīng)確定搜索惡意代碼（如病毒、特洛伊木馬）的安全程序的存放位置。 安全策略應(yīng)確定使用在組織內(nèi)的可接受的加密算法，在信息策略中指出保護(hù)敏感信息的相應(yīng)算法。 策略應(yīng)清楚地說(shuō)明所有計(jì)算機(jī)屬于本組織，并且提供給員工在組織內(nèi)用于工作相一致的用途。某些員工可能使用組織的計(jì)算機(jī)存儲(chǔ)個(gè)人信息，如果策略沒(méi)有特殊說(shuō)明，則個(gè)人信息可分開(kāi)存在私人目錄下，并且非公開(kāi)的。 有時(shí)，組織允許員工為了其他目的使用組織的計(jì)算機(jī)。策略應(yīng)規(guī)定誰(shuí)可以裝載授權(quán)軟件以及怎樣成為合法軟件。 Inter使用策略經(jīng)常包括在通用計(jì)算機(jī)使用策略中。 Inter使用策略規(guī)定了如何合理地使用 Inter，諸如和業(yè)務(wù)有關(guān)的研究、采購(gòu)，或使用電子郵件通信等；確定哪些是非正當(dāng)使用，諸如訪問(wèn)和業(yè)務(wù)無(wú)關(guān)的 Web站點(diǎn)、下載有版權(quán)的軟件、音樂(lè)文件的交易、發(fā)送連鎖郵件等。電子郵件是使組織的敏感信息毫無(wú)價(jià)值的另一種方法。 如果組織要對(duì)電子郵件的某些關(guān)鍵字或附件進(jìn)行監(jiān)控，則策略應(yīng)說(shuō)明這類監(jiān)控可能發(fā)生。也可能在外部郵件的底部指出相應(yīng)的信息必須保護(hù)。 用戶管理程序是最容易被組織忽視的安全程序，因而提供了最大風(fēng)險(xiǎn)的可能。理想的狀況是新員工請(qǐng)求使用計(jì)算機(jī)資源，該新員工的管理者簽發(fā)批準(zhǔn)，然后系統(tǒng)管理員將為該新員工提供合適的系統(tǒng)和文件的訪問(wèn)。員工原來(lái)的管理和新管理者應(yīng)確定換到新崗位上的員工已經(jīng)不需要原來(lái)的訪問(wèn)或者需要新的訪問(wèn)。當(dāng)人力資源部認(rèn)定一個(gè)員工離職，將提前通知相應(yīng)的系統(tǒng)管理員，這樣當(dāng)該員工在職的最后一天就可將其賬戶停止。 該程序應(yīng)確定一個(gè)系統(tǒng)管理員多長(zhǎng)時(shí)間檢查新的補(bǔ)丁或從廠家升級(jí)。通常由安全方面掃描漏洞，由系統(tǒng)管理做補(bǔ)丁。 組織的安全策略確定每個(gè)系統(tǒng)的安全要求。 來(lái)自各種系統(tǒng)的登錄應(yīng)定期檢查。 一個(gè)組織應(yīng)該有一個(gè)程序歸檔說(shuō)明何時(shí)網(wǎng)絡(luò)通信監(jiān)控發(fā)生。根據(jù)事故的不同，事故響應(yīng)程序應(yīng)確定誰(shuí)有權(quán)處理，以及應(yīng)該做什么，但無(wú)須說(shuō)明如何做。關(guān)鍵是