【正文】 27 三月 20237:31:17 上午 07:31:17三月 211最具挑 戰(zhàn) 性的挑 戰(zhàn) 莫 過 于提升自我。 2023/3/27 7:31:1707:31:1727 March 20231空山新雨后，天氣晚來秋。 7:31:17 上午 7:31 上午 07:31:17三月 21沒有失 敗 ，只有 暫時(shí) 停止成功！。 三月 21三月 21Saturday, March 27, 2023雨中黃葉 樹 ，燈下白 頭 人。計(jì)算機(jī)用戶策略規(guī)定了誰(shuí)可以使用計(jì)算機(jī)系統(tǒng)以及使用計(jì)算機(jī)系統(tǒng)的規(guī)則。對(duì)重要的問題還可召開專門的調(diào)研會(huì)。一般來說，這個(gè)變更應(yīng)是雙向的。如果新系統(tǒng)不能滿足安全要求，該組織就要知道存在的風(fēng)險(xiǎn)，并提供某些機(jī)制來管理存在的風(fēng)險(xiǎn)。這遠(yuǎn)比最高層領(lǐng)導(dǎo)強(qiáng)調(diào)安全策略的重要性、強(qiáng)調(diào)應(yīng)予以貫徹更有效。根據(jù)綱要逐節(jié)草擬策略文檔。事實(shí)上，第一個(gè)組織決定根本無(wú)須實(shí)施 Inter使用策略。對(duì)一個(gè)組織而言，并非需要所有有關(guān)安全的策略，而應(yīng)確定哪些安全策略對(duì)該組織是重要的。第一步是識(shí)別必須重建的關(guān)鍵能力，以使該組織繼續(xù)生存。例如，發(fā)生火災(zāi)，數(shù)據(jù)中心不能使用，應(yīng)采取什么步驟重新恢復(fù)其能力。一個(gè)恰當(dāng)?shù)臑?zāi)難恢復(fù)計(jì)劃應(yīng)考慮各種故障的級(jí)別：?jiǎn)蝹€(gè)系統(tǒng)、數(shù)據(jù)中心、整個(gè)系統(tǒng)。安全要求有可能難以測(cè)試，例如，難以測(cè)試以確定入侵者不可能看到敏感信息。設(shè)計(jì)過程中，與安全相關(guān)的步驟如下：（ 1） 需求定義在任何一個(gè)項(xiàng)目的需求定義階段，應(yīng)將安全需求列入。因此新的配置要從安全的角度予以檢查。事故響應(yīng)程序應(yīng)該規(guī)定事故響應(yīng)組建立其行動(dòng)檔案。有多少信息需發(fā)布取決于該事故對(duì)組織及其客戶的影響程度。 事故響應(yīng)程序單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式識(shí)別一個(gè)事故或許是事故響應(yīng)中最困難的一部分。有些組織可能選擇連續(xù)執(zhí)行這種類型的監(jiān)控，有些則選擇隨機(jī)監(jiān)控。定期的外部或內(nèi)部審計(jì)用來檢查是否和策略一致。希望這些新的補(bǔ)丁不是當(dāng)出現(xiàn)時(shí)剛剛安裝，這樣在補(bǔ)丁安裝之前就規(guī)定測(cè)試。相應(yīng)的系統(tǒng)管理員依此進(jìn)行變更。保護(hù)系統(tǒng)不被非授權(quán)者使用的安全機(jī)制是一個(gè)很好的事情，但是如計(jì)算機(jī)系統(tǒng)的使用沒有合適的管理也將使其完全無(wú)用。策略還應(yīng)對(duì)員工說明不能期望在電子郵件中有隱私。 Inter使用策略單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式假如該策略是從計(jì)算機(jī)用戶策略分離出來的，它應(yīng)說明組織有可能監(jiān)視員工對(duì) Inter的使用，當(dāng)員工使用 Inter時(shí)，沒有隱私的問題。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式計(jì)算機(jī)用戶策略中最重要的部分或許是規(guī)定在任何組織的計(jì)算機(jī)存儲(chǔ)、讀出、接收的信息都沒有隱私。大部分組織期望員工只使用組織提供的計(jì)算機(jī)，用于和工作有關(guān)的目的。安全策略不限制僅僅選擇一種算法。對(duì)這類訪問，所有的通信應(yīng)加密保護(hù)，并在加密部分說明密碼類型。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式一個(gè)組織的固定網(wǎng)絡(luò)連接是由某些類型的固定通信線路接入的。安全策略應(yīng)說明審計(jì)記錄應(yīng)保存多久以及如何存放。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式安全策略應(yīng)確定對(duì)電子文件的訪問控制的標(biāo)準(zhǔn)要求，具體如下：（ 1） 在確定機(jī)制時(shí)，對(duì)計(jì)算機(jī)上的每個(gè)文件，用戶定義的訪問控制的某些方式應(yīng)是可用的。安全策略應(yīng)定義每個(gè)系統(tǒng)實(shí)施時(shí)的要求，然而它不應(yīng)規(guī)定對(duì)不同操作系統(tǒng)的專門配置，這屬于專門配置的過程。對(duì)硬拷貝信息的傳送，需要簽收收據(jù)的方式。可以是文件的訪問控制，或?qū)δ承╊愋臀募煤线m的口令保護(hù)。如果這些信息被公開或被競(jìng)爭(zhēng)者得到，就有損于該組織。，考慮哪些是敏感信息。在安全策略中，一般包含 3個(gè)方面：?jiǎn)螕舸颂幘庉嬆赴鏄?biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式（ 1） 目的一個(gè)安全策略和安全程序應(yīng)該有一個(gè)很好定義的目的，其文本應(yīng)明確說明為什么要制定該策略和程序，及其對(duì)該組織有什么好處。（ 2） 安全策略不僅確定安全的技術(shù)方面，還規(guī)定員工應(yīng)該執(zhí)行某些和安全相關(guān)的責(zé)任（例如用戶管理），以及員工在使用計(jì)算機(jī)系統(tǒng)時(shí)所要求的行為。安全策略提供一系列規(guī)則，管理和控制系統(tǒng)如何配置，組織的員工應(yīng)如何在正常的環(huán)境下行動(dòng)，而當(dāng)發(fā)生環(huán)境不正常時(shí)，應(yīng)如何反應(yīng)。組織的安全策略和安全過程規(guī)定了安全程序的目標(biāo)和對(duì)象。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式信息策略定義一個(gè)組織內(nèi)的敏感信息以及如何保護(hù)敏感信息。對(duì)大部分組織而言，通常將信息分成二或三級(jí)已足夠了，具體如下：（ 1） 最低級(jí)別的信息應(yīng)該是公開的，也就是說，這些信息已為人所知，或能公開發(fā)表。通常用醒目的大寫或斜體字標(biāo)記?？梢杂貌煌椒▊鬏斝畔?，如電子郵件、通過郵局郵寄、傳真等。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式安全策略規(guī)定計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全的技術(shù)要求，規(guī)定系統(tǒng)或網(wǎng)絡(luò)管理員應(yīng)如何配置與安全相關(guān)的系統(tǒng)。當(dāng)開發(fā)安全策略時(shí)，每個(gè)組織還應(yīng)決定是對(duì)管理員采用相同的機(jī)制，還是更強(qiáng)的機(jī)制。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式安全策略的審計(jì)部分應(yīng)確定所有系統(tǒng)上需要審計(jì)的事件類型。也可能描述一個(gè)比通常使用的更強(qiáng)的身份鑒別。這些在標(biāo)準(zhǔn)的配置中是沒有的。安全策略應(yīng)說明這些安全程序的要求，包括檢查專門的文件系統(tǒng)的安全程序要求以及當(dāng)這些文件打開時(shí)檢查這些文件。例如，員工希望在家里做某些工作，組織將為其提供計(jì)算機(jī)，但只有組織提供的計(jì)算機(jī)可通過遠(yuǎn)程訪問系統(tǒng)接到組織內(nèi)部的計(jì)算機(jī)系統(tǒng)。使用組織提供的計(jì)算機(jī)還影響到什么軟件加載到系統(tǒng)。 Inter的接入可以提高員工的工作效率。 郵件策略單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式電子郵件策略不應(yīng)和其他的人力資源策略相沖突。例如，很多組織測(cè)試進(jìn)入的文件附件是否有病毒。 用戶管理程序單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式對(duì)工作調(diào)動(dòng)的員工也應(yīng)開發(fā)一個(gè)專門的程序。系統(tǒng)管理程序應(yīng)確定各種和安全相關(guān)的系統(tǒng)管理如何完成。程序應(yīng)確定多長(zhǎng)間隔需進(jìn)行掃描。如采用自動(dòng)工具，程序應(yīng)規(guī)定工具的配置以及希望它如何處理。當(dāng)處理事故時(shí)，事故響應(yīng)程序應(yīng)確定該組織的目標(biāo)，包括保護(hù)組織的系統(tǒng)、保護(hù)組織的信息、恢復(fù)運(yùn)行、起訴肇事者、減少壞的宣傳等。而某些不是顯而易見的事故，管理員應(yīng)確定檢查的步驟。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式事故響應(yīng)的一個(gè)重要部分是決定事故響應(yīng)組的負(fù)責(zé)人，授權(quán)采取行動(dòng)，包括確定系統(tǒng)是否要離線，以及和客戶、新聞機(jī)構(gòu)、律師部門聯(lián)系等。這些測(cè)試可事先公布，也可不公布。在變更以后，應(yīng)更新系統(tǒng)配置以反映系統(tǒng)的新的狀態(tài)。在設(shè)計(jì)中對(duì)不能滿足安全要求之處應(yīng)特別指出，并予以妥善解決。然而，很多組織卻沒