【正文】 策略應(yīng)說(shuō)明連接的規(guī)則以及保護(hù)機(jī)制。 安全策略還應(yīng)對(duì)允許員工得到這類訪問(wèn)的授權(quán)建立一個(gè)正確的過(guò)程。因此在策略中要明確說(shuō)明。電子郵件正越來(lái)越多地用于組織的業(yè)務(wù)處理。應(yīng)該由人力資源部門和系統(tǒng)管理員協(xié)同工作。 系統(tǒng)管理程序 每個(gè)組織應(yīng)開(kāi)發(fā)一個(gè)識(shí)別計(jì)算機(jī)系統(tǒng)漏洞的程序。 當(dāng)計(jì)算機(jī)事故發(fā)生時(shí)，事故響應(yīng)程序確定該組織將如何作出反應(yīng)。 一個(gè)組織對(duì)事故流的響應(yīng)直接取決于事故響應(yīng)程序的目標(biāo)。 當(dāng)系統(tǒng)變更時(shí)，應(yīng)執(zhí)行配置控制程序。實(shí)施組應(yīng)使用合適的配置管理程序。 假如數(shù)據(jù)中心不能用了，但仍有一些設(shè)備完好，災(zāi)難恢復(fù)計(jì)劃應(yīng)考慮如何添加新的設(shè)備以及如何重建通信線路。 安全人員應(yīng)該識(shí)別什么是最重要的安全策略，并與系統(tǒng)管理員、人力資源部門、咨詢辦公室協(xié)作，以確定哪些策略是最重要的。 在策略文檔完成后，提交管理部門批準(zhǔn)和實(shí)施。如果不符合，確定是否可采取措施來(lái)遵守新的策略。 網(wǎng)絡(luò)安全策略執(zhí)行兩個(gè)主要任務(wù)，其一是確定在一個(gè)組織內(nèi)實(shí)施什么樣的安全；其二是讓組織內(nèi)的員工行動(dòng)一致，確定組織需要什么樣的安全。安全策略的有效使用需要將安全策略和系統(tǒng)設(shè)計(jì)同步進(jìn)行，還需要定期審計(jì)和審查。對(duì)某些程序，如事故響應(yīng)程序或?yàn)?zāi)難恢復(fù)計(jì)劃，可能需要更加頻繁的審查。 一個(gè)新的系統(tǒng)及項(xiàng)目啟動(dòng)時(shí)，就應(yīng)同時(shí)進(jìn)行安全策略的程序設(shè)計(jì)。 一般來(lái)講，凡是與實(shí)施策略有影響的人都應(yīng)參與策略的制定過(guò)程，這樣他們將了解什么是所期望的。所以一個(gè)組織通常指定一些關(guān)鍵員工定期地對(duì)災(zāi)難恢復(fù)計(jì)劃進(jìn)行巡視，而且每年進(jìn)行一次全面的測(cè)試。災(zāi)難恢復(fù)計(jì)劃必須和組織的運(yùn)行部門結(jié)合，使他們知道應(yīng)采取什么步驟恢復(fù)系統(tǒng)運(yùn)行。 （ 3） 測(cè)試 當(dāng)項(xiàng)目進(jìn)入測(cè)試階段，應(yīng)同時(shí)進(jìn)行安全測(cè)試。 配置管理程序規(guī)定修改組織的計(jì)算機(jī)系統(tǒng)狀態(tài)的步驟。 在得到?jīng)Q定事故的更多信息后，應(yīng)組織一個(gè)事故響應(yīng)組，應(yīng)包括以下部門：安全、系統(tǒng)管理、法律、人力資源、公共關(guān)系等。如采用手動(dòng)方式，程序應(yīng)規(guī)定多長(zhǎng)間隔檢查登錄文件以及事件類型等。當(dāng)談及系統(tǒng)管理員監(jiān)控網(wǎng)絡(luò)的能力時(shí)，該程序應(yīng)由計(jì)算機(jī)用戶策略確定，并反映組織期望系統(tǒng)如何管理。該策略應(yīng)指向組織的安全策略關(guān)于相應(yīng)的病毒配置問(wèn)題。但 Inter也給員工提供了一個(gè)濫用計(jì)算機(jī)資源的機(jī)會(huì)。 計(jì)算機(jī)用戶策略 策略應(yīng)規(guī)定所有存儲(chǔ)并用于組織內(nèi)的計(jì)算機(jī)的信息屬于組織所有。 對(duì)內(nèi)部系統(tǒng)的遠(yuǎn)程訪問(wèn)是組織允許員工在外出時(shí)從外部訪問(wèn)內(nèi)部系統(tǒng)。通常安全策略需對(duì)下列事件進(jìn)行審計(jì)：成功或失敗的登錄、退出系統(tǒng)、對(duì)文件或系統(tǒng)的訪問(wèn)失敗、成功或失敗的遠(yuǎn)程訪問(wèn)、特權(quán)操作（由管理員操作，成功或失?。⑾到y(tǒng)事件（關(guān)機(jī)或重啟）。這個(gè)配置也會(huì)影響用戶。 安全策略對(duì)存儲(chǔ)在紙上或計(jì)算機(jī)系統(tǒng)中的敏感信息都應(yīng)有相應(yīng)的規(guī)定。策略覆蓋該組織內(nèi)的全部敏感信息。安全策略執(zhí)行兩個(gè)主要任務(wù)。安全策略的類型一個(gè)組織內(nèi)的安全策略和安全程序有很多種，本節(jié)將概述常用的、有效的安全策略和安全程序。這類信息對(duì)本組織員工是公開(kāi)的，對(duì)某些組織外的人員需簽不擴(kuò)散協(xié)議才能得到。 對(duì)通過(guò)電子郵件傳送的敏感信息，安全策略應(yīng)規(guī)定對(duì)用附件方式的文件或報(bào)文頭進(jìn)行加密。更強(qiáng)的機(jī)制對(duì)諸如 VPN或撥號(hào)訪問(wèn)這些遠(yuǎn)程訪問(wèn)也是適用的。對(duì)一個(gè)組織來(lái)說(shuō)，應(yīng)嚴(yán)格控制允許多少個(gè)撥號(hào)訪問(wèn)點(diǎn)，因此應(yīng)公平地限制身份鑒別的要求。 安全策略應(yīng)確定使用在組織內(nèi)的可接受的加密算法，在信息策略中指出保護(hù)敏感信息的相應(yīng)算法。策略應(yīng)規(guī)定誰(shuí)可以裝載授權(quán)軟件以及怎樣成為合法軟件。 如果組織要對(duì)電子郵件的某些關(guān)鍵字或附件進(jìn)行監(jiān)控，則策略應(yīng)說(shuō)明這類監(jiān)控可能發(fā)生。員工原來(lái)的管理和新管理者應(yīng)確定換到新崗位上的員工已經(jīng)不需要原來(lái)的訪問(wèn)或者需要新的訪問(wèn)。 組織的安全策略確定每個(gè)系統(tǒng)的安全要求。關(guān)鍵是要在事故發(fā)生前確定組織的目標(biāo)。負(fù)責(zé)人在事故響應(yīng)程序開(kāi)發(fā)時(shí)就要作出決定，而不是事故發(fā)生時(shí)決定。在設(shè)計(jì)之初就要考慮和安全有關(guān)的問(wèn)題，使最后完成的系統(tǒng)能和安全問(wèn)題相一致。只有當(dāng)很多甚至全部計(jì)算機(jī)系統(tǒng)不可用，要決定該組織如何繼續(xù)運(yùn)行時(shí)，才會(huì)比較復(fù)雜。對(duì)每類事件，組織的每個(gè)部門都應(yīng)參與。 這兩個(gè)組織的策略完全不同。這些管理者的介入大大有助于安全策略在各個(gè)部門的貫徹。安全部門應(yīng)及時(shí)將新的安全策略通知給審計(jì)部門，并配合他們工作，使他們?cè)趯徲?jì)時(shí)了解這些變更。安全策略應(yīng)包括用戶身份及身份鑒別、訪問(wèn)控制、審計(jì)、網(wǎng)絡(luò)連接、惡意碼防止、加密等。包括計(jì)算機(jī)所有權(quán)、信息所有權(quán)、計(jì)算機(jī)使用許可以及沒(méi)有隱私的要求。安全部門應(yīng)向?qū)徲?jì)部門解釋安全策略如何開(kāi)發(fā)以及期望達(dá)到什么樣的目標(biāo)；審計(jì)部門應(yīng)向安全部門解釋審計(jì)如何進(jìn)行以及審計(jì)的目標(biāo)。 安全策略的部署 因?yàn)榘踩呗詫?duì)組織的全體員工都有影響，所以安全專業(yè)人員必須負(fù)責(zé)對(duì)員工進(jìn)行安全教育，人力資源部門和培訓(xùn)部門要協(xié)助進(jìn)行。對(duì)安全專業(yè)人員來(lái)說(shuō)應(yīng)該知道不是所有策略對(duì)所有組織都是適用的。如果是一個(gè)電子商務(wù)站點(diǎn)，則最關(guān)鍵的系統(tǒng)可能是計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)。 災(zāi)難恢復(fù)計(jì)劃 單個(gè)系統(tǒng)或設(shè)備故障包括盤、主板、網(wǎng)絡(luò)接口卡、元件的故障。設(shè)計(jì)方法應(yīng)指出組織的安全策略和信息策略的要求。有兩個(gè)好處，其一是有助于事故過(guò)后了解所發(fā)生的事件全過(guò)程；其二是如果要起訴，則有助于法