【正文】 哪些是敏感信息。必須根據(jù)安全策略和安全程序很小心地確定什么是敏感信息。如果這些信息被公開或被競爭者得到，就有損于該組織。如果以紙張的形式出現(xiàn)，應(yīng)在每頁的頂部和底部加標(biāo)記，用字處理的頁首、頁腳來實現(xiàn)?？梢允俏募脑L問控制，或?qū)δ承╊愋臀募煤线m的口令保護(hù)。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式信息策略必須確定如何傳輸敏感信息。對硬拷貝信息的傳送，需要簽收收據(jù)的方式。某些商業(yè)程序已有更安全的方法，將敏感信息從介質(zhì)中擦去。安全策略應(yīng)定義每個系統(tǒng)實施時的要求，然而它不應(yīng)規(guī)定對不同操作系統(tǒng)的專門配置，這屬于專門配置的過程。如果機(jī)制是口令，則安全策略還應(yīng)規(guī)定最小的口令字長、最長和最短的口令生存期以及口令內(nèi)容的要求。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式安全策略應(yīng)確定對電子文件的訪問控制的標(biāo)準(zhǔn)要求，具體如下：（ 1） 在確定機(jī)制時，對計算機(jī)上的每個文件，用戶定義的訪問控制的某些方式應(yīng)是可用的。這部分安全策略應(yīng)對給出的系統(tǒng)中的文件確定讀、寫、執(zhí)行的許可。安全策略應(yīng)說明審計記錄應(yīng)保存多久以及如何存放。該要求應(yīng)指回到策略的身份鑒別這一部分。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式一個組織的固定網(wǎng)絡(luò)連接是由某些類型的固定通信線路接入的。安全策略應(yīng)定義一個設(shè)備的基本網(wǎng)絡(luò)訪問控制策略以及請求和得到訪問的過程。對這類訪問，所有的通信應(yīng)加密保護(hù)，并在加密部分說明密碼類型。合適的位置包括文件服務(wù)器、桌面系統(tǒng)以及電子郵件服務(wù)器等。安全策略不限制僅僅選擇一種算法。策略也可能禁止使用非組織的計算機(jī)用于組織的經(jīng)營業(yè)務(wù)。大部分組織期望員工只使用組織提供的計算機(jī)，用于和工作有關(guān)的目的。如果是這樣，應(yīng)在策略中清楚說明。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式計算機(jī)用戶策略中最重要的部分或許是規(guī)定在任何組織的計算機(jī)存儲、讀出、接收的信息都沒有隱私。然而，由于 Inter的特殊性，有時將它作為單獨的策略。 Inter使用策略單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式假如該策略是從計算機(jī)用戶策略分離出來的，它應(yīng)說明組織有可能監(jiān)視員工對 Inter的使用，當(dāng)員工使用 Inter時，沒有隱私的問題。當(dāng)一個組織選擇定義電子郵件策略時，應(yīng)考慮到內(nèi)外兩方面的問題。策略還應(yīng)對員工說明不能期望在電子郵件中有隱私。郵件策略還應(yīng)識別進(jìn)入的電子郵件問題。保護(hù)系統(tǒng)不被非授權(quán)者使用的安全機(jī)制是一個很好的事情，但是如計算機(jī)系統(tǒng)的使用沒有合適的管理也將使其完全無用。這個程序也應(yīng)用于新的顧問和臨時員工，并標(biāo)明相應(yīng)的有效期。相應(yīng)的系統(tǒng)管理員依此進(jìn)行變更。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式系統(tǒng)管理程序是確定安全和系統(tǒng)管理如何配合工作以使組織的系統(tǒng)安全。希望這些新的補丁不是當(dāng)出現(xiàn)時剛剛安裝，這樣在補丁安裝之前就規(guī)定測試。已有一些商業(yè)的和免費使用的掃描工具。定期的外部或內(nèi)部審計用來檢查是否和策略一致?？梢院桶踩珕T一起以自動方式檢查這些登錄。有些組織可能選擇連續(xù)執(zhí)行這種類型的監(jiān)控，有些則選擇隨機(jī)監(jiān)控。后者將留給處理事故的人決定。 事故響應(yīng)程序單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式識別一個事故或許是事故響應(yīng)中最困難的一部分。這部分程序能確定某些事件是顯而易見的事故。有多少信息需發(fā)布取決于該事故對組織及其客戶的影響程度。另一種情況可能是保持系統(tǒng)在網(wǎng)上的在線狀態(tài)以及繼續(xù)服務(wù)或允許入侵者再回來，這樣可對入侵者跟蹤并設(shè)置陷阱。事故響應(yīng)程序應(yīng)該規(guī)定事故響應(yīng)組建立其行動檔案。事故響應(yīng)程序還需在現(xiàn)實世界中測試，可以做一些模擬攻擊，并觀察其響應(yīng)效果。因此新的配置要從安全的角度予以檢查。當(dāng)提出變更請求時，應(yīng)將變更前后的程序存檔。設(shè)計過程中，與安全相關(guān)的步驟如下：（ 1） 需求定義在任何一個項目的需求定義階段，應(yīng)將安全需求列入。安全人員應(yīng)成為設(shè)計組成員或作為項目設(shè)計審查人員。安全要求有可能難以測試，例如，難以測試以確定入侵者不可能看到敏感信息。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式每個組織都應(yīng)有一個災(zāi)難恢復(fù)計劃。一個恰當(dāng)?shù)臑?zāi)難恢復(fù)計劃應(yīng)考慮各種故障的級別：單個系統(tǒng)、數(shù)據(jù)中心、整個系統(tǒng)。 “可允許的時間 ”是根據(jù)對系統(tǒng)的關(guān)鍵程度以及解決方案所花的費用而定。例如，發(fā)生火災(zāi)，數(shù)據(jù)中心不能使用，應(yīng)采取什么步驟重新恢復(fù)其能力。如果沒有熱備站，災(zāi)難恢復(fù)計劃應(yīng)確定其他可能的場地，重新建造計算機(jī)系統(tǒng)。第一步是識別必須重建的關(guān)鍵能力，以使該組織繼續(xù)生存。測試的必要性不僅在于檢驗其正確性，而且在于檢查其是否處于備用狀態(tài)。對一個組織而言，并非需要所有有關(guān)安全的策略，而應(yīng)確定哪些安全策略對該組織是重要的。例如 ,某些組織允許所有員工在 Inter上沖浪，而沒有任何限制。事實上，第一個組織決定根本無須實施 Inter使用策略。安全專業(yè)人員在制定策略時應(yīng)尋求組織的其他部門的幫助。根據(jù)綱要逐節(jié)草擬策略文檔。但要有效地部署和實施，需要全體人員介入。這遠(yuǎn)比最高層領(lǐng)導(dǎo)強(qiáng)調(diào)安全策略的重要性、強(qiáng)調(diào)應(yīng)予以貫徹更有效。有時安全環(huán)境的突然改變會產(chǎn)生相反的效果，所以采取很好的計劃和平滑過渡會更好。如果新系統(tǒng)不能滿足安全要求，該組織就要知道存在的風(fēng)險，并提供某些機(jī)制來管理存在的風(fēng)險。這可能需要做一些開發(fā)工作，不能立即改變，會有一定的延遲。一般來說，這個變更應(yīng)是雙向的。應(yīng)定期對每個策略進(jìn)行審查，看其是否仍然適合于該組織。對重要的問題還可召開專門的調(diào)研會。包括敏感信息識別、信息分類、敏感信息標(biāo)記、敏感信息存儲、敏感信息傳輸以及敏感信息銷毀。計算機(jī)用戶策略規(guī)定了誰可以使用計算機(jī)系統(tǒng)以及使用計算機(jī)系統(tǒng)的規(guī)則。要生成安全策略，需要確定什么是重要的策略，什么是員工可接受的行為，經(jīng)過調(diào)研最后完成。 三月 21三月 21Saturday, March 27, 2023雨中黃葉 樹 ，燈下白 頭 人。 三月 21三月 2107:31:1707:31:17March 27, 20231他 鄉(xiāng) 生白 發(fā) ，舊國 見 青山。 7:31:17 上午 7:31 上午 07:31:17三月 21沒有失 敗 ，只有 暫時 停止成功！。 07:31:1707:31:1707:31Saturday, March 27, 20231不知香 積 寺，數(shù)里入云峰。 2023/3/27 7:31:1707:31:1727 March 20231空山新雨后，天氣晚來秋。 三月 2107:31:1707:31Mar2127Mar211越是無能的人，越喜 歡 挑剔 別 人的 錯 兒。 27 三月 20237:31:17 上午 07:31:17三月 211最具挑 戰(zhàn) 性的挑 戰(zhàn) 莫 過 于提升