【正文】 要在事故發(fā)生前確定組織的目標(biāo)。 在公布事故以前，應(yīng)由系統(tǒng)管理員做某些檢查，以決定事故是否確實(shí)發(fā)生了。 在發(fā)布事故消息時(shí)，組織要控制應(yīng)發(fā)布什么樣的信息。例如，保護(hù)系統(tǒng)和信息是目標(biāo)，那么將系統(tǒng)從網(wǎng)絡(luò)中移走，并進(jìn)行必要的修復(fù)。負(fù)責(zé)人在事故響應(yīng)程序開發(fā)時(shí)就要作出決定，而不是事故發(fā)生時(shí)決定。因此當(dāng)開發(fā)完事故響應(yīng)程序后，應(yīng)廣泛征求意見，找出其不足之處并改進(jìn)。該程序的目的是確定合適的變化不會對安全事故的識別產(chǎn)生不好的影響。該程序應(yīng)在變更實(shí)施前對計(jì)劃的變更進(jìn)行測試。在設(shè)計(jì)之初就要考慮和安全有關(guān)的問題，使最后完成的系統(tǒng)能和安全問題相一致。 設(shè)計(jì)方法 （ 2） 設(shè)計(jì) 在項(xiàng)目的設(shè)計(jì)階段，設(shè)計(jì)方法應(yīng)確保項(xiàng)目是安全的。安全人員應(yīng)協(xié)助編寫測試計(jì)劃。在新系統(tǒng)成為產(chǎn)品以前，安全人員應(yīng)檢查系統(tǒng)的漏洞和合適的安全策略規(guī)則。只有當(dāng)很多甚至全部計(jì)算機(jī)系統(tǒng)不可用，要決定該組織如何繼續(xù)運(yùn)行時(shí)，才會比較復(fù)雜。對每個故障，應(yīng)在可允許的時(shí)間內(nèi)修復(fù)并恢復(fù)運(yùn)行。 災(zāi)難恢復(fù)計(jì)劃還為數(shù)據(jù)中心的主要事件提供一個程序。熱備站是一種解決方案，但費(fèi)錢。對每類事件，組織的每個部門都應(yīng)參與。 災(zāi)難恢復(fù)計(jì)劃是一個十分復(fù)雜的文檔，通常不是一次寫成就立即成功，因此需要測試。 安全策略的生成分成以下幾步。 安全策略的使用 安全策略的生成 某些員工的行為是可接受的，某些卻是不可接受的，這取決于該組織的文化。 這兩個組織的策略完全不同。 閉門生成安全策略是很少能成功的。 首先擬出一個好的綱要，可以參考一些手冊，如RFC2196場地安全手冊提供了各種策略的綱要。 安全策略的生成相對來說較容易，因?yàn)橹恍杞M織少部分人介入。這些管理者的介入大大有助于安全策略在各個部門的貫徹。有時(shí)這種更改采用平滑過渡的方法更合適。也就是說，將安全作為新系統(tǒng)和項(xiàng)目的設(shè)計(jì)的組成部分，使得安全要求在設(shè)計(jì)之初就能被識別和實(shí)施。應(yīng)該和系統(tǒng)管理員以及使用該系統(tǒng)的部門一起工作，使安全作相應(yīng)的變更。安全部門應(yīng)及時(shí)將新的安全策略通知給審計(jì)部門，并配合他們工作，使他們在審計(jì)時(shí)了解這些變更。 即使是一個好的安全策略也不是一勞永逸的。 在審查時(shí)，應(yīng)和所有和安全有關(guān)的部門接觸，聽取他們對現(xiàn)有的安全策略的意見和建議。 信息策略定義一個組織內(nèi)的敏感信息以及如何保護(hù)敏感信息。安全策略應(yīng)包括用戶身份及身份鑒別、訪問控制、審計(jì)、網(wǎng)絡(luò)連接、惡意碼防止、加密等。 為了切實(shí)執(zhí)行各種安全策略，還需開發(fā)各種管理程序，包括用戶管理程序、系統(tǒng)管理程序、事故響應(yīng)程序、配置管理程序、設(shè)計(jì)方法，以及災(zāi)難恢復(fù)計(jì)劃。 31 什么是網(wǎng)絡(luò)安全策略執(zhí)行的主要任務(wù)？ 32 網(wǎng)絡(luò)安全策略應(yīng)包含哪些內(nèi)容？ 33 什么是信息策略的目的和內(nèi)容？ 34 什么是計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全策略的目的和內(nèi)容？ 35 什么是計(jì)算機(jī)用戶策略的目的和內(nèi)容？ 習(xí)題 36 什么是 Inter使用策略的目的和內(nèi)容？ 37 什么是系統(tǒng)管理程序的作用和內(nèi)容？ 38 什么是事故響應(yīng)程序的作用和內(nèi)容？ 39 什么是災(zāi)難恢復(fù)計(jì)劃的必要性及其內(nèi)容？ 310 如何生成、部署和有效使用網(wǎng)絡(luò)安全策略？ 。安全策略的部署需要全體員工介入，通過宣講、培訓(xùn)直到執(zhí)行。包括計(jì)算機(jī)所有權(quán)、信息所有權(quán)、計(jì)算機(jī)使用許可以及沒有隱私的要求。 小結(jié) 系統(tǒng)和網(wǎng)絡(luò)安全策略規(guī)定計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全的技術(shù)要求，規(guī)定系統(tǒng)或網(wǎng)絡(luò)管理員應(yīng)如何配置和安全相關(guān)的系統(tǒng)。在此基礎(chǔ)上調(diào)整安全策略、申報(bào)批準(zhǔn)、開始培訓(xùn)、貫徹實(shí)施。應(yīng)對大部分策略每年審查一次。安全部門應(yīng)向?qū)徲?jì)部門解釋安全策略如何開發(fā)以及期望達(dá)到什么樣的目標(biāo)；審計(jì)部門應(yīng)向安全部門解釋審計(jì)如何進(jìn)行以及審計(jì)的目標(biāo)。應(yīng)在經(jīng)費(fèi)和系統(tǒng)設(shè)計(jì)限制條件下，和系統(tǒng)管理員及有關(guān)部門密切配合，及時(shí)地完成變更。 安全策略的有效使用 當(dāng)一個新的安全策略被批準(zhǔn)后，應(yīng)該檢查每個已有的系統(tǒng)，看其是否和新的安全策略相符合。安全工作要與系統(tǒng)管理部門和其他有影響的部門密切配合，使執(zhí)行更有效。 安全策略的部署 因?yàn)榘踩呗詫M織的全體員工都有影響，所以安全專業(yè)人員必須負(fù)責(zé)對員工進(jìn)行安全教育，人力資源部門和培訓(xùn)部門要協(xié)助進(jìn)行。 安全策略對每個部門都有影響，必須在各部門貫徹。在草擬過程中，還要不斷聽取上述有關(guān)人員的意見和建議。應(yīng)該征求組織的總顧問以及人力資源部門的建議，此外，系統(tǒng)管理員、計(jì)算機(jī)系統(tǒng)用戶以及物理安全部門的建議也是重要的。對安全專業(yè)人員來說應(yīng)該知道不是所有策略對所有組織都是適用的。組織的文化使員工及管理者相信這樣做能很好完成他們的任務(wù)。這取決于該組織的業(yè)務(wù)性質(zhì)。 災(zāi)難恢復(fù)計(jì)劃的測試可能十分昂貴且有破壞作用。如果是一個電子商務(wù)站點(diǎn)，則最關(guān)鍵的系統(tǒng)可能是計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)。 場地破壞事件是災(zāi)難恢復(fù)計(jì)劃通常需要考慮的一類事件。其中必須解決的一個問題是有可能丟失設(shè)備，災(zāi)難恢復(fù)計(jì)劃應(yīng)包括如何得到備用的設(shè)備。 不論什么樣的解決方案，災(zāi)難恢復(fù)計(jì)劃必須能修復(fù)故障，使系統(tǒng)繼續(xù)運(yùn)行。 災(zāi)難恢復(fù)計(jì)劃 單個系統(tǒng)或設(shè)備故障包括盤、主板、網(wǎng)絡(luò)接口卡、