【正文】 計算機用戶策略規(guī)定了誰可以使用計算機系統(tǒng)以及使用計算機系統(tǒng)的規(guī)則。一般來說，這個變更應(yīng)是雙向的。這遠(yuǎn)比最高層領(lǐng)導(dǎo)強調(diào)安全策略的重要性、強調(diào)應(yīng)予以貫徹更有效。事實上，第一個組織決定根本無須實施 Inter使用策略。第一步是識別必須重建的關(guān)鍵能力，以使該組織繼續(xù)生存。 一個恰當(dāng)?shù)臑?zāi)難恢復(fù)計劃應(yīng)考慮各種故障的級別：單個系統(tǒng)、數(shù)據(jù)中心、整個系統(tǒng)。設(shè)計過程中，與安全相關(guān)的步驟如下： （ 1） 需求定義 在任何一個項目的需求定義階段，應(yīng)將安全需求列入。 事故響應(yīng)程序應(yīng)該規(guī)定事故響應(yīng)組建立其行動檔案。 事故響應(yīng)程序 識別一個事故或許是事故響應(yīng)中最困難的一部分。定期的外部或內(nèi)部審計用來檢查是否和策略一致。相應(yīng)的系統(tǒng)管理員依此進(jìn)行變更。策略還應(yīng)對員工說明不能期望在電子郵件中有隱私。 計算機用戶策略中最重要的部分或許是規(guī)定在任何組織的計算機存儲、讀出、接收的信息都沒有隱私。安全策略不限制僅僅選擇一種算法。 一個組織的固定網(wǎng)絡(luò)連接是由某些類型的固定通信線路接入的。 安全策略應(yīng)確定對電子文件的訪問控制的標(biāo)準(zhǔn)要求，具體如下： （ 1） 在確定機制時，對計算機上的每個文件，用戶定義的訪問控制的某些方式應(yīng)是可用的。對硬拷貝信息的傳送，需要簽收收據(jù)的方式。如果這些信息被公開或被競爭者得到，就有損于該組織。在安全策略中，一般包含 3個方面： （ 1） 目的 一個安全策略和安全程序應(yīng)該有一個很好定義的目的，其文本應(yīng)明確說明為什么要制定該策略和程序，及其對該組織有什么好處。 安全策略提供一系列規(guī)則，管理和控制系統(tǒng)如何配置，組織的員工應(yīng)如何在正常的環(huán)境下行動，而當(dāng)發(fā)生環(huán)境不正常時，應(yīng)如何反應(yīng)。 信息策略定義一個組織內(nèi)的敏感信息以及如何保護(hù)敏感信息。通常用醒目的大寫或斜體字標(biāo)記。 安全策略規(guī)定計算機系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全的技術(shù)要求，規(guī)定系統(tǒng)或網(wǎng)絡(luò)管理員應(yīng)如何配置與安全相關(guān)的系統(tǒng)。 安全策略的審計部分應(yīng)確定所有系統(tǒng)上需要審計的事件類型。這些在標(biāo)準(zhǔn)的配置中是沒有的。例如，員工希望在家里做某些工作，組織將為其提供計算機，但只有組織提供的計算機可通過遠(yuǎn)程訪問系統(tǒng)接到組織內(nèi)部的計算機系統(tǒng)。 Inter的接入可以提高員工的工作效率。例如，很多組織測試進(jìn)入的文件附件是否有病毒。系統(tǒng)管理程序應(yīng)確定各種和安全相關(guān)的系統(tǒng)管理如何完成。 如采用自動工具，程序應(yīng)規(guī)定工具的配置以及希望它如何處理。而某些不是顯而易見的事故，管理員應(yīng)確定檢查的步驟。這些測試可事先公布，也可不公布。在設(shè)計中對不能滿足安全要求之處應(yīng)特別指出，并予以妥善解決。 不論什么樣的解決方案，災(zāi)難恢復(fù)計劃必須能修復(fù)故障，使系統(tǒng)繼續(xù)運行。 災(zāi)難恢復(fù)計劃的測試可能十分昂貴且有破壞作用。應(yīng)該征求組織的總顧問以及人力資源部門的建議，此外，系統(tǒng)管理員、計算機系統(tǒng)用戶以及物理安全部門的建議也是重要的。安全工作要與系統(tǒng)管理部門和其他有影響的部門密切配合，使執(zhí)行更有效。應(yīng)對大部分策略每年審查一次。安全策略的部署需要全體員工介入，通過宣講、培訓(xùn)直到執(zhí)行。 信息策略定義一個組織內(nèi)的敏感信息以及如何保護(hù)敏感信息。應(yīng)該和系統(tǒng)管理員以及使用該系統(tǒng)的部門一起工作，使安全作相應(yīng)的變更。 安全策略的生成相對來說較容易，因為只需組織少部分人介入。 安全策略的使用 安全策略的生成 某些員工的行為是可接受的，某些卻是不可接受的，這取決于該組織的文化。熱備站是一種解決方案，但費錢。在新系統(tǒng)成為產(chǎn)品以前，安全人員應(yīng)檢查系統(tǒng)的漏洞和合適的安全策略規(guī)則。該程序應(yīng)在變更實施前對計劃的變更進(jìn)行測試。例如，保護(hù)系統(tǒng)和信息是目標(biāo)，那么將系統(tǒng)從網(wǎng)絡(luò)中移走，并進(jìn)行必要的修復(fù)。根據(jù)事故的不同，事故響應(yīng)程序應(yīng)確定誰有權(quán)處理，以及應(yīng)該做什么，但無須說明如何做。通常由安全方面掃描漏洞，由系統(tǒng)管理做補丁。理想的狀況是新員工請求使用計算機資源，該新員工的管理者簽發(fā)批準(zhǔn)，然后系統(tǒng)管理員將為該新員工提供合適的系統(tǒng)和文件的訪問。電子郵件是使組織的敏感信息毫無價值的另一種方法。 有時，組織允許員工為了其他目的使用組織的計算機。 安全策略應(yīng)確定搜索惡意代碼（如病毒、特洛伊木馬）的安全程序的存放位置。 對撥號連接，應(yīng)說明對這類連接技術(shù)的鑒別要求。 更為重要的是，安全策略應(yīng)確定對系統(tǒng)用戶或管理員的基本的鑒別機制。如果該敏感信息不應(yīng)被系統(tǒng)員知道，只有采取加密措施。 值得指出的是，對一個組織來說，不是所有信息在所有時間都是敏感的。 2. 使員工的行動一致 對一個組織來說，確定實施什么樣的安全是重要的，然而使每個工作人員行動一致以維護(hù)組織的安全也是同樣重要的。當(dāng)一個安全事故發(fā)生，或系統(tǒng)出故障時，組織的安全策略和安全程序規(guī)定其應(yīng)做的事，以及在事故發(fā)生時，該組織的行動目標(biāo)。 安全策略的類型 信息策略 某些信息對所有組織都是敏感信息，包括工資信息、員工家庭住址和電話號碼、醫(yī)療保險信息、任何在公開以前的財務(wù)信息等。應(yīng)該記住，系統(tǒng)管理員能看到計算機系統(tǒng)中的所有文本。通常安全策略應(yīng)規(guī)定用于用戶 ID的標(biāo)準(zhǔn)或定義標(biāo)準(zhǔn)的系統(tǒng)管理過程。 對每一種接到組織網(wǎng)絡(luò)的連接形式，安全