【正文】 全策略的類型 信息策略 某些信息對所有組織都是敏感信息，包括工資信息、員工家庭住址和電話號碼、醫(yī)療保險信息、任何在公開以前的財務(wù)信息等。例如，一個安全策略可適用于所有計算機和網(wǎng)絡(luò)系統(tǒng)，一個信息策略可適用于所有員工。當一個安全事故發(fā)生，或系統(tǒng)出故障時，組織的安全策略和安全程序規(guī)定其應(yīng)做的事，以及在事故發(fā)生時，該組織的行動目標。第 3章 安全策略 安全策略的功能 安全策略的 類型 安全策略的使用 小結(jié) 習題 安全策略對一個組織來說是十分重要的，是一個組織的信息安全部門能做的最重要的工作之一。 2. 使員工的行動一致 對一個組織來說，確定實施什么樣的安全是重要的，然而使每個工作人員行動一致以維護組織的安全也是同樣重要的。 （ 3） 責任 責任規(guī)定誰負責該文本的實施。 值得指出的是，對一個組織來說，不是所有信息在所有時間都是敏感的。 對于非公開信息，安全策略應(yīng)將各類敏感信息清楚地加上標記。如果該敏感信息不應(yīng)被系統(tǒng)員知道，只有采取加密措施。存儲在計算機系統(tǒng)中的敏感信息，如果刪除得不合適，仍有可能恢復(fù)。 更為重要的是，安全策略應(yīng)確定對系統(tǒng)用戶或管理員的基本的鑒別機制。 （ 2） 對新文件的默認配置應(yīng)說明當新文件生成時應(yīng)如何建立許可。 對撥號連接，應(yīng)說明對這類連接技術(shù)的鑒別要求。僅僅說明設(shè)備類型并不意味著說明了相應(yīng)的保護級別。 安全策略應(yīng)確定搜索惡意代碼（如病毒、特洛伊木馬）的安全程序的存放位置。 策略應(yīng)清楚地說明所有計算機屬于本組織，并且提供給員工在組織內(nèi)用于工作相一致的用途。 有時，組織允許員工為了其他目的使用組織的計算機。 Inter使用策略經(jīng)常包括在通用計算機使用策略中。電子郵件是使組織的敏感信息毫無價值的另一種方法。也可能在外部郵件的底部指出相應(yīng)的信息必須保護。理想的狀況是新員工請求使用計算機資源，該新員工的管理者簽發(fā)批準，然后系統(tǒng)管理員將為該新員工提供合適的系統(tǒng)和文件的訪問。當人力資源部認定一個員工離職，將提前通知相應(yīng)的系統(tǒng)管理員，這樣當該員工在職的最后一天就可將其賬戶停止。通常由安全方面掃描漏洞，由系統(tǒng)管理做補丁。 來自各種系統(tǒng)的登錄應(yīng)定期檢查。根據(jù)事故的不同，事故響應(yīng)程序應(yīng)確定誰有權(quán)處理，以及應(yīng)該做什么，但無須說明如何做。 在公布事故以前，應(yīng)由系統(tǒng)管理員做某些檢查，以決定事故是否確實發(fā)生了。例如，保護系統(tǒng)和信息是目標，那么將系統(tǒng)從網(wǎng)絡(luò)中移走，并進行必要的修復(fù)。因此當開發(fā)完事故響應(yīng)程序后，應(yīng)廣泛征求意見，找出其不足之處并改進。該程序應(yīng)在變更實施前對計劃的變更進行測試。 設(shè)計方法 （ 2） 設(shè)計 在項目的設(shè)計階段，設(shè)計方法應(yīng)確保項目是安全的。在新系統(tǒng)成為產(chǎn)品以前，安全人員應(yīng)檢查系統(tǒng)的漏洞和合適的安全策略規(guī)則。對每個故障，應(yīng)在可允許的時間內(nèi)修復(fù)并恢復(fù)運行。熱備站是一種解決方案，但費錢。 災(zāi)難恢復(fù)計劃是一個十分復(fù)雜的文檔，通常不是一次寫成就立即成功，因此需要測試。 安全策略的使用 安全策略的生成 某些員工的行為是可接受的，某些卻是不可接受的，這取決于該組織的文化。 閉門生成安全策略是很少能成功的。 安全策略的生成相對來說較容易，因為只需組織少部分人介入。有時這種更改采用平滑過渡的方法更合適。應(yīng)該和系統(tǒng)管理員以及使用該系統(tǒng)的部門一起工作，使安全作相應(yīng)的變更。 即使是一個好的安全策略也不是一勞永逸的。 信息策略定義一個組織內(nèi)的敏感信息以及如何保護敏感信息。 為了切實執(zhí)行各種安全策略，還需開發(fā)各種管理程序，包括用戶管理程序、系統(tǒng)管理程序、事故響應(yīng)程序、配置管理程序、設(shè)計方法，以及災(zāi)難恢復(fù)計劃。安全策略的部署需要全體員工介入，通過宣講、培訓直到執(zhí)行。 小結(jié) 系統(tǒng)和網(wǎng)絡(luò)安全策略規(guī)定計算機系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全的技術(shù)要求，規(guī)定系統(tǒng)或網(wǎng)絡(luò)管理員應(yīng)如何配置和安全相關(guān)的系統(tǒng)。應(yīng)對大部分策略每年審查一次。應(yīng)在經(jīng)費和系統(tǒng)設(shè)計限制條件下，和系統(tǒng)管理員及有關(guān)部門密切配合，及時地完成變更。安全工作要與系統(tǒng)管理部門和其他有影響的部門密切配合，使執(zhí)行更有效。 安全策略對每個部門都有影響，必須在各部門貫徹。應(yīng)該征求組織的總顧問以及人力資源部門的建議，此外，系統(tǒng)管理員、計算機系統(tǒng)用戶以及物理安全部門的建議也是重要的。組織的文化使員工及管理者相信這樣做能很好完成他們的任務(wù)。 災(zāi)難恢復(fù)計劃的測試可能十分昂貴且有破壞作用。 場地破壞事件是災(zāi)難恢復(fù)計劃通常需要考慮的一類事件。 不論什么樣的解決方案，災(zāi)難恢復(fù)計劃必須能修復(fù)故障，使系統(tǒng)繼續(xù)運行。然而，很多組織卻沒有，因為他們認為災(zāi)難恢復(fù)計劃要花很多錢，需要建立一個熱備站，配置場地和必要的設(shè)備，以便隨時接替運行。在設(shè)計中對不能滿足安全要求之處應(yīng)特別指出，并予以妥善解決。在變更以后，應(yīng)更新系統(tǒng)配置以反映系統(tǒng)的新的狀態(tài)。這些測試可事先公布，也可不公布。 事故響應(yīng)的一個重要部分是決定事故響應(yīng)組的負責人，授權(quán)采取行動，包括確定系統(tǒng)是否要離線，以及和客戶、新聞機構(gòu)、律師部門聯(lián)系等。而某些不是顯而易見的事故，管理員應(yīng)確定