【正文】 哪些是敏感信息。必須根據(jù)安全策略和安全程序很小心地確定什么是敏感信息。如果這些信息被公開或被競爭者得到，就有損于該組織。如果以紙張的形式出現(xiàn)，應在每頁的頂部和底部加標記，用字處理的頁首、頁腳來實現(xiàn)。可以是文件的訪問控制，或對某些類型文件用合適的口令保護。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式信息策略必須確定如何傳輸敏感信息。對硬拷貝信息的傳送，需要簽收收據(jù)的方式。某些商業(yè)程序已有更安全的方法，將敏感信息從介質中擦去。安全策略應定義每個系統(tǒng)實施時的要求，然而它不應規(guī)定對不同操作系統(tǒng)的專門配置，這屬于專門配置的過程。如果機制是口令，則安全策略還應規(guī)定最小的口令字長、最長和最短的口令生存期以及口令內容的要求。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式安全策略應確定對電子文件的訪問控制的標準要求，具體如下：（ 1） 在確定機制時，對計算機上的每個文件，用戶定義的訪問控制的某些方式應是可用的。這部分安全策略應對給出的系統(tǒng)中的文件確定讀、寫、執(zhí)行的許可。安全策略應說明審計記錄應保存多久以及如何存放。該要求應指回到策略的身份鑒別這一部分。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式一個組織的固定網(wǎng)絡連接是由某些類型的固定通信線路接入的。安全策略應定義一個設備的基本網(wǎng)絡訪問控制策略以及請求和得到訪問的過程。對這類訪問，所有的通信應加密保護，并在加密部分說明密碼類型。合適的位置包括文件服務器、桌面系統(tǒng)以及電子郵件服務器等。安全策略不限制僅僅選擇一種算法。策略也可能禁止使用非組織的計算機用于組織的經(jīng)營業(yè)務。大部分組織期望員工只使用組織提供的計算機，用于和工作有關的目的。如果是這樣，應在策略中清楚說明。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式計算機用戶策略中最重要的部分或許是規(guī)定在任何組織的計算機存儲、讀出、接收的信息都沒有隱私。然而，由于 Inter的特殊性，有時將它作為單獨的策略。 Inter使用策略單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式假如該策略是從計算機用戶策略分離出來的，它應說明組織有可能監(jiān)視員工對 Inter的使用，當員工使用 Inter時，沒有隱私的問題。當一個組織選擇定義電子郵件策略時，應考慮到內外兩方面的問題。策略還應對員工說明不能期望在電子郵件中有隱私。郵件策略還應識別進入的電子郵件問題。保護系統(tǒng)不被非授權者使用的安全機制是一個很好的事情，但是如計算機系統(tǒng)的使用沒有合適的管理也將使其完全無用。這個程序也應用于新的顧問和臨時員工，并標明相應的有效期。相應的系統(tǒng)管理員依此進行變更。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式系統(tǒng)管理程序是確定安全和系統(tǒng)管理如何配合工作以使組織的系統(tǒng)安全。希望這些新的補丁不是當出現(xiàn)時剛剛安裝，這樣在補丁安裝之前就規(guī)定測試。已有一些商業(yè)的和免費使用的掃描工具。定期的外部或內部審計用來檢查是否和策略一致?？梢院桶踩珕T一起以自動方式檢查這些登錄。有些組織可能選擇連續(xù)執(zhí)行這種類型的監(jiān)控，有些則選擇隨機監(jiān)控。后者將留給處理事故的人決定。 事故響應程序單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式識別一個事故或許是事故響應中最困難的一部分。這部分程序能確定某些事件是顯而易見的事故。有多少信息需發(fā)布取決于該事故對組織及其客戶的影響程度。另一種情況可能是保持系統(tǒng)在網(wǎng)上的在線狀態(tài)以及繼續(xù)服務或允許入侵者再回來，這樣可對入侵者跟蹤并設置陷阱。事故響應程序應該規(guī)定事故響應組建立其行動檔案。事故響應程序還需在現(xiàn)實世界中測試，可以做一些模擬攻擊，并觀察其響應效果。因此新的配置要從安全的角度予以檢查。當提出變更請求時，應將變更前后的程序存檔。設計過程中，與安全相關的步驟如下：（ 1） 需求定義在任何一個項目的需求定義階段，應將安全需求列入。安全人員應成為設計組成員或作為項目設計審查人員。安全要求有可能難以測試，例如，難以測試以確定入侵者不可能看到敏感信息。單擊此處編輯母版標題樣式? 單擊此處編輯母版副標題樣式每個組織都應有一個災難恢復計劃。一個恰當?shù)臑碾y恢復計劃應考慮各種故障的級別：單個系統(tǒng)、數(shù)據(jù)中心、整個系統(tǒng)。 “可允許的時間 ”是根據(jù)對系統(tǒng)的關鍵程度以及解決方案所花的費用而定。例如，發(fā)生火災，數(shù)據(jù)中心不能使用，應采取什么步驟重新恢復其能力。如果沒有熱備站，災難恢復計劃應確定其他可能的場地，重新建造計算機系統(tǒng)。第一步是識別必須重建的關鍵能力，以使該組織繼續(xù)生存。測試的必要性不僅在于檢驗其正確性，而且在于檢查其是否處于備用狀態(tài)。對一個組織而言，并非需要所有有關安全的策略，而應確定哪些安全策略對該組織是重要的。例如 ,某些組織允許所有員工在 Inter上沖浪，而沒有任何限制。事實上，第一個組織決定根本無須實施 Inter使用策略。安全專業(yè)人員在制定策略時應尋求組織的其他部門的幫助。根據(jù)綱要逐節(jié)草擬策略文檔。但要有效地部署和實施，需要全體人員介入。這遠比最高層領導強調安全策略的重要性、強調應予以貫徹更有效。有時安全環(huán)境的突然改變會產(chǎn)生相反的效果，所以采取很好的計劃和平滑過渡會更好。如果新系統(tǒng)不能滿足安全要求，該組織就要知道存在的風險，并提供某些機制來管理存在的風險。這可能需要做一些開發(fā)工作，不能立即改變，會有一定的延遲。一般來說，這個變更應是雙向的。應定期對每個策略進行審查，看其是否仍然適合于該組織。對重要的問題還可召開專門的調研會。包括敏感信息識別、信息分類、敏感信息標記、敏感信息存儲、敏感信息傳輸以及敏感信息銷毀。計算機用戶策略規(guī)定了誰可以使用計算機系統(tǒng)以及使用計算機系統(tǒng)的規(guī)則。要生成安全策略，需要確定什么是重要的策略，什么是員工可接受的行為，經(jīng)過調研最后完成。 三月 21三月 21Saturday, March 27, 2023雨中黃葉 樹 ，燈下白 頭 人。 三月 21三月 2107:31:1707:31:17March 27, 20231他 鄉(xiāng) 生白 發(fā) ，舊國 見 青山。 7:31:17 上午 7:31 上午 07:31:17三月 21沒有失 敗 ，只有 暫時 停止成功！。 07:31:1707:31:1707:31Saturday, March 27, 20231不知香 積 寺，數(shù)里入云峰。 2023/3/27 7:31:1707:31:1727 March 20231空山新雨后，天氣晚來秋。 三月 2107:31:1707:31Mar2127Mar211越是無能的人，越喜 歡 挑剔 別 人的 錯 兒。 27 三月 20237:31:17 上午 07:31:17三月 211最具挑 戰(zhàn) 性的挑 戰(zhàn) 莫 過 于提升