【正文】 707:313/27/2023 7:31:17 AM1以我獨(dú)沈久，愧君相 見(jiàn)頻 。包括計(jì)算機(jī)所有權(quán)、信息所有權(quán)、計(jì)算機(jī)使用許可以及沒(méi)有隱私的要求。在此基礎(chǔ)上調(diào)整安全策略、申報(bào)批準(zhǔn)、開(kāi)始培訓(xùn)、貫徹實(shí)施。安全部門(mén)應(yīng)向?qū)徲?jì)部門(mén)解釋安全策略如何開(kāi)發(fā)以及期望達(dá)到什么樣的目標(biāo)；審計(jì)部門(mén)應(yīng)向安全部門(mén)解釋審計(jì)如何進(jìn)行以及審計(jì)的目標(biāo)。 安全策略的有效使用單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式當(dāng)一個(gè)新的安全策略被批準(zhǔn)后，應(yīng)該檢查每個(gè)已有的系統(tǒng)，看其是否和新的安全策略相符合。 安全策略的部署單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式因?yàn)榘踩呗詫?duì)組織的全體員工都有影響，所以安全專業(yè)人員必須負(fù)責(zé)對(duì)員工進(jìn)行安全教育，人力資源部門(mén)和培訓(xùn)部門(mén)要協(xié)助進(jìn)行。在草擬過(guò)程中，還要不斷聽(tīng)取上述有關(guān)人員的意見(jiàn)和建議。對(duì)安全專業(yè)人員來(lái)說(shuō)應(yīng)該知道不是所有策略對(duì)所有組織都是適用的。這取決于該組織的業(yè)務(wù)性質(zhì)。如果是一個(gè)電子商務(wù)站點(diǎn)，則最關(guān)鍵的系統(tǒng)可能是計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)。其中必須解決的一個(gè)問(wèn)題是有可能丟失設(shè)備，災(zāi)難恢復(fù)計(jì)劃應(yīng)包括如何得到備用的設(shè)備。 災(zāi)難恢復(fù)計(jì)劃單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式單個(gè)系統(tǒng)或設(shè)備故障包括盤(pán)、主板、網(wǎng)絡(luò)接口卡、元件的故障。（ 4） 實(shí)施項(xiàng)目實(shí)施階段同樣有安全要求。設(shè)計(jì)方法應(yīng)指出組織的安全策略和信息策略的要求。對(duì)于一個(gè)新的系統(tǒng)，它的狀態(tài)應(yīng)有文檔，包括操作系統(tǒng)及其版本、補(bǔ)丁水平、應(yīng)用程序及其版本。有兩個(gè)好處，其一是有助于事故過(guò)后了解所發(fā)生的事件全過(guò)程；其二是如果要起訴，則有助于法律實(shí)施，對(duì)事故響應(yīng)組也可作為一本參考手冊(cè)，有助于他們處理事故。信息發(fā)布的方式、方法也應(yīng)考慮對(duì)組織的正面效應(yīng)。某些事故是顯而易見(jiàn)的，如 Web 站點(diǎn)的外貌被損壞。無(wú)論如何，總應(yīng)進(jìn)行監(jiān)控，且歸檔。在審計(jì)時(shí)，安全應(yīng)和系統(tǒng)管理一起工作以檢查系統(tǒng)的一致。最后，當(dāng)這樣的升級(jí)發(fā)生時(shí)（通常在維護(hù)窗口）該程序應(yīng)做文檔，當(dāng)升級(jí)失敗時(shí)放棄程序。最重要的用戶管理程序是將離職的員工從系統(tǒng)中除去。應(yīng)為新員工提供一個(gè)正確訪問(wèn)計(jì)算機(jī)資源的程序。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式電子郵件可能包含一些敏感信息。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式有些組織為電子郵件的使用開(kāi)發(fā)了專門(mén)的策略。這對(duì)員工是十分重要的，他們應(yīng)了解任何信息有可能被管理員檢查，包括電子郵件。但這不總是一個(gè)很好的假定。安全策略還應(yīng)說(shuō)明密鑰管理需要的過(guò)程。因?yàn)樵L問(wèn)來(lái)自外部，應(yīng)確定一個(gè)強(qiáng)的身份鑒別機(jī)制。安全策略應(yīng)確定用于這些連接的安全設(shè)備類型。如有可能，安全策略還應(yīng)確定如何檢查審計(jì)記錄以及檢查的時(shí)間間隔。這個(gè)機(jī)制應(yīng)和身份鑒別機(jī)制一起工作，以確保只有授權(quán)用戶能訪問(wèn)文件。 系統(tǒng)和網(wǎng)絡(luò)安全策略單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式安全策略應(yīng)確定如何識(shí)別用戶。對(duì)傳真方式的傳送，發(fā)送者需要用電話事先通知接收者等候在傳真機(jī)旁。極端情況需要加密措施。（ 3） 第三類信息稱為 “限制 ”或 “保護(hù) ”。敏感信息有可能包括經(jīng)營(yíng)業(yè)務(wù)記錄、產(chǎn)品設(shè)計(jì)、專利信息、公司電話簿等。（ 2） 范圍一個(gè)安全策略和安全程序應(yīng)該有一個(gè)適用的范圍。（ 3） 安全策略還規(guī)定當(dāng)非期望的事情發(fā)生時(shí)，組織應(yīng)如何反應(yīng)。它只涉及很少的技術(shù)知識(shí)，因而很多有專業(yè)技能的人似乎對(duì)其并不太重視，事實(shí)上，安全策略對(duì)他們也是非常重要的。安全策略為一個(gè)組織的員工規(guī)定一起工作的框架。不管誰(shuí)負(fù)有責(zé)任，都必須經(jīng)過(guò)很好的培訓(xùn)，明白文本的各項(xiàng)要求。必須根據(jù)安全策略和安全程序很小心地確定什么是敏感信息。如果以紙張的形式出現(xiàn)，應(yīng)在每頁(yè)的頂部和底部加標(biāo)記，用字處理的頁(yè)首、頁(yè)腳來(lái)實(shí)現(xiàn)。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式信息策略必須確定如何傳輸敏感信息。某些商業(yè)程序已有更安全的方法，將敏感信息從介質(zhì)中擦去。如果機(jī)制是口令，則安全策略還應(yīng)規(guī)定最小的口令字長(zhǎng)、最長(zhǎng)和最短的口令生存期以及口令內(nèi)容的要求。這部分安全策略應(yīng)對(duì)給出的系統(tǒng)中的文件確定讀、寫(xiě)、執(zhí)行的許可。該要求應(yīng)指回到策略的身份鑒別這一部分。安全策略應(yīng)定義一個(gè)設(shè)備的基本網(wǎng)絡(luò)訪問(wèn)控制策略以及請(qǐng)求和得到訪問(wèn)的過(guò)程。合適的位置包括文件服務(wù)器、桌面系統(tǒng)以及電子郵件服務(wù)器等。策略也可能禁止使用非組織的計(jì)算機(jī)用于組織的經(jīng)營(yíng)業(yè)務(wù)。如果是這樣，應(yīng)在策略中清楚說(shuō)明。然而，由于 Inter的特殊性，有時(shí)將它作為單獨(dú)的策略。當(dāng)一個(gè)組織選擇定義電子郵件策略時(shí)，應(yīng)考慮到內(nèi)外兩方面的問(wèn)題。郵件策略還應(yīng)識(shí)別進(jìn)入的電子郵件問(wèn)題。這個(gè)程序也應(yīng)用于新的顧問(wèn)和臨時(shí)員工，并標(biāo)明相應(yīng)的有效期。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式系統(tǒng)管理程序是確定安全和系統(tǒng)管理如何配合工作以使組織的系統(tǒng)安全。已有一些商業(yè)的和免費(fèi)使用的掃描工具?？梢院桶踩珕T一起以自動(dòng)方式檢查這些登錄。后者將留給處理事故的人決定。這部分程序能確定某些事件是顯而易見(jiàn)的事故。另一種情況可能是保持系統(tǒng)在網(wǎng)上的在線狀態(tài)以及繼續(xù)服務(wù)或允許入侵者再回來(lái)，這樣可對(duì)入侵者跟蹤并設(shè)置陷阱。事故響應(yīng)程序還需在現(xiàn)實(shí)世界中測(cè)試，可以做一些模擬攻擊，并觀察其響應(yīng)效果。當(dāng)提出變更請(qǐng)求時(shí)，應(yīng)將變更前后的程序存檔。安全人員應(yīng)成為設(shè)計(jì)組成員或作為項(xiàng)目設(shè)計(jì)審查人員。單擊此處編輯母版標(biāo)題樣式? 單擊此處編輯母版副標(biāo)題樣式每個(gè)組織都應(yīng)有一個(gè)災(zāi)難恢復(fù)計(jì)劃。 “可允許的時(shí)間 ”是根據(jù)對(duì)系統(tǒng)的關(guān)鍵程度以及解決方案所花的費(fèi)用而定。如果沒(méi)有熱備站，災(zāi)難恢復(fù)計(jì)劃應(yīng)確定其他可能的場(chǎng)地，重新建造計(jì)算機(jī)系統(tǒng)。測(cè)試的必要性不僅在于檢驗(yàn)其正確性，而且在于檢查其是否處于備用狀態(tài)。例如 ,某些組織允許所有員工在 Inter上沖浪，而沒(méi)有任何限制。安全專業(yè)人員在制定策略時(shí)應(yīng)尋求組織的其他部門(mén)的幫助。但要有效地部署和實(shí)施，需要全體人員介入。有時(shí)安全環(huán)境的突然改變會(huì)產(chǎn)生相反的效果，所以采取很好的計(jì)劃和平滑過(guò)渡會(huì)更好。這可能需要做一些開(kāi)發(fā)工作，不能立即改變，會(huì)有一定的延遲。應(yīng)定期對(duì)每個(gè)策略進(jìn)行審查，看其是否仍然適合于該組織。包括敏感信息識(shí)別、信息分類、敏感信息標(biāo)記、敏感信息存儲(chǔ)、敏感信息傳輸以及敏感信息銷(xiāo)毀。要生成安全策略，需要確定什么是重要的策略，什么是員工可接受的行為，經(jīng)過(guò)調(diào)研最后完成。 三月 21三月 2107:31:1707:31:17March 27, 20231他 鄉(xiāng) 生白 發(fā) ，舊國(guó) 見(jiàn) 青山。 07:31:1707:31:1707:31Saturday, March 27, 20231不知香 積 寺，數(shù)里入云峰。 三月 2107:31:1707:31Mar2127Mar211越是無(wú)能的人，越喜 歡 挑剔 別 人的 錯(cuò)