【正文】 影響，所以安全專業(yè)人員必須負(fù)責(zé)對(duì)員工進(jìn)行安全教育，人力資源部門和培訓(xùn)部門要協(xié)助進(jìn)行。 安全策略的有效使用 當(dāng)一個(gè)新的安全策略被批準(zhǔn)后，應(yīng)該檢查每個(gè)已有的系統(tǒng)，看其是否和新的安全策略相符合。安全部門應(yīng)向?qū)徲?jì)部門解釋安全策略如何開發(fā)以及期望達(dá)到什么樣的目標(biāo)；審計(jì)部門應(yīng)向安全部門解釋審計(jì)如何進(jìn)行以及審計(jì)的目標(biāo)。在此基礎(chǔ)上調(diào)整安全策略、申報(bào)批準(zhǔn)、開始培訓(xùn)、貫徹實(shí)施。包括計(jì)算機(jī)所有權(quán)、信息所有權(quán)、計(jì)算機(jī)使用許可以及沒有隱私的要求。 31 什么是網(wǎng)絡(luò)安全策略執(zhí)行的主要任務(wù)？ 32 網(wǎng)絡(luò)安全策略應(yīng)包含哪些內(nèi)容？ 33 什么是信息策略的目的和內(nèi)容？ 34 什么是計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全策略的目的和內(nèi)容？ 35 什么是計(jì)算機(jī)用戶策略的目的和內(nèi)容？ 習(xí)題 36 什么是 Inter使用策略的目的和內(nèi)容？ 37 什么是系統(tǒng)管理程序的作用和內(nèi)容？ 38 什么是事故響應(yīng)程序的作用和內(nèi)容？ 39 什么是災(zāi)難恢復(fù)計(jì)劃的必要性及其內(nèi)容？ 310 如何生成、部署和有效使用網(wǎng)絡(luò)安全策略？ 。安全策略應(yīng)包括用戶身份及身份鑒別、訪問控制、審計(jì)、網(wǎng)絡(luò)連接、惡意碼防止、加密等。 在審查時(shí)，應(yīng)和所有和安全有關(guān)的部門接觸，聽取他們對(duì)現(xiàn)有的安全策略的意見和建議。安全部門應(yīng)及時(shí)將新的安全策略通知給審計(jì)部門，并配合他們工作，使他們?cè)趯徲?jì)時(shí)了解這些變更。也就是說，將安全作為新系統(tǒng)和項(xiàng)目的設(shè)計(jì)的組成部分，使得安全要求在設(shè)計(jì)之初就能被識(shí)別和實(shí)施。這些管理者的介入大大有助于安全策略在各個(gè)部門的貫徹。 首先擬出一個(gè)好的綱要，可以參考一些手冊(cè)，如RFC2196場(chǎng)地安全手冊(cè)提供了各種策略的綱要。 這兩個(gè)組織的策略完全不同。 安全策略的生成分成以下幾步。對(duì)每類事件，組織的每個(gè)部門都應(yīng)參與。 災(zāi)難恢復(fù)計(jì)劃還為數(shù)據(jù)中心的主要事件提供一個(gè)程序。只有當(dāng)很多甚至全部計(jì)算機(jī)系統(tǒng)不可用，要決定該組織如何繼續(xù)運(yùn)行時(shí)，才會(huì)比較復(fù)雜。安全人員應(yīng)協(xié)助編寫測(cè)試計(jì)劃。在設(shè)計(jì)之初就要考慮和安全有關(guān)的問題，使最后完成的系統(tǒng)能和安全問題相一致。該程序的目的是確定合適的變化不會(huì)對(duì)安全事故的識(shí)別產(chǎn)生不好的影響。負(fù)責(zé)人在事故響應(yīng)程序開發(fā)時(shí)就要作出決定，而不是事故發(fā)生時(shí)決定。 在發(fā)布事故消息時(shí)，組織要控制應(yīng)發(fā)布什么樣的信息。關(guān)鍵是要在事故發(fā)生前確定組織的目標(biāo)。 一個(gè)組織應(yīng)該有一個(gè)程序歸檔說明何時(shí)網(wǎng)絡(luò)通信監(jiān)控發(fā)生。 組織的安全策略確定每個(gè)系統(tǒng)的安全要求。 該程序應(yīng)確定一個(gè)系統(tǒng)管理員多長時(shí)間檢查新的補(bǔ)丁或從廠家升級(jí)。員工原來的管理和新管理者應(yīng)確定換到新崗位上的員工已經(jīng)不需要原來的訪問或者需要新的訪問。 用戶管理程序是最容易被組織忽視的安全程序，因而提供了最大風(fēng)險(xiǎn)的可能。 如果組織要對(duì)電子郵件的某些關(guān)鍵字或附件進(jìn)行監(jiān)控，則策略應(yīng)說明這類監(jiān)控可能發(fā)生。 Inter使用策略規(guī)定了如何合理地使用 Inter，諸如和業(yè)務(wù)有關(guān)的研究、采購，或使用電子郵件通信等；確定哪些是非正當(dāng)使用，諸如訪問和業(yè)務(wù)無關(guān)的 Web站點(diǎn)、下載有版權(quán)的軟件、音樂文件的交易、發(fā)送連鎖郵件等。策略應(yīng)規(guī)定誰可以裝載授權(quán)軟件以及怎樣成為合法軟件。某些員工可能使用組織的計(jì)算機(jī)存儲(chǔ)個(gè)人信息，如果策略沒有特殊說明，則個(gè)人信息可分開存在私人目錄下，并且非公開的。 安全策略應(yīng)確定使用在組織內(nèi)的可接受的加密算法，在信息策略中指出保護(hù)敏感信息的相應(yīng)算法。安全策略應(yīng)說明這類訪問所采用的機(jī)制。對(duì)一個(gè)組織來說，應(yīng)嚴(yán)格控制允許多少個(gè)撥號(hào)訪問點(diǎn)，因此應(yīng)公平地限制身份鑒別的要求。 對(duì)每個(gè)事件應(yīng)捕獲下列信息：用戶 ID、日期和時(shí)間、進(jìn)程 ID、執(zhí)行的動(dòng)作、事件的成功或失敗。更強(qiáng)的機(jī)制對(duì)諸如 VPN或撥號(hào)訪問這些遠(yuǎn)程訪問也是適用的。系統(tǒng)和網(wǎng)絡(luò)管理員應(yīng)對(duì)安全策略的實(shí)施負(fù)主要責(zé)任。 對(duì)通過電子郵件傳送的敏感信息，安全策略應(yīng)規(guī)定對(duì)用附件方式的文件或報(bào)文頭進(jìn)行加密。 當(dāng)信息存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中，安全策略規(guī)定相應(yīng)的保護(hù)級(jí)別。這類信息對(duì)本組織員工是公開的，對(duì)某些組織外的人員需簽不擴(kuò)散協(xié)議才能得到。每個(gè)員工有責(zé)任保護(hù)所有接觸的敏感信息。安全策略的類型一個(gè)組織內(nèi)的安全策略和安全程序有很多種，本節(jié)將概述常用的、有效的安全策略和安全程序。 安全策略的功能 1. 確定安全的實(shí)施 安全策略確定實(shí)施什么樣的安全，具體內(nèi)容如下： （ 1） 安全策略確定恰當(dāng)?shù)挠?jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的配置及物理安全的措施，以及確定所使用的合理機(jī)制以保護(hù)信息和系統(tǒng)。安全策略執(zhí)行兩個(gè)主要任務(wù)。將這些目標(biāo)和對(duì)象告訴員工，就為安全工作組提供了基礎(chǔ)。策略覆蓋該組織內(nèi)的全部敏感信息。 （ 2） 再上一級(jí)的信息是不公開發(fā)表的，這些信息稱為 “ 私有 ” 、 “ 公司敏感 ” 或 “ 公司秘密 ” 。 安全策略對(duì)存儲(chǔ)在紙上或計(jì)算機(jī)系統(tǒng)中的敏感信息都應(yīng)有相應(yīng)的規(guī)定。信息策略應(yīng)對(duì)每種傳輸方法確定保護(hù)方法。這個(gè)配置也會(huì)影響用戶。如果需要更強(qiáng)的機(jī)制，安全策略應(yīng)確定相應(yīng)的安全要求。通常安全策略需對(duì)下列事件進(jìn)行審計(jì)：成功或失敗的登錄、退出系統(tǒng)、對(duì)文件或系統(tǒng)的訪問失敗、成功或失敗的遠(yuǎn)程訪問、特權(quán)操作（由管理員操作，成功或失敗）、系統(tǒng)事件（關(guān)機(jī)或重啟）。 此