【正文】 31 什么是網(wǎng)絡(luò)安全策略執(zhí)行的主要任務？ 32 網(wǎng)絡(luò)安全策略應包含哪些內(nèi)容？ 33 什么是信息策略的目的和內(nèi)容？ 34 什么是計算機系統(tǒng)和網(wǎng)絡(luò)安全策略的目的和內(nèi)容？ 35 什么是計算機用戶策略的目的和內(nèi)容？ 習題 36 什么是 Inter使用策略的目的和內(nèi)容？ 37 什么是系統(tǒng)管理程序的作用和內(nèi)容？ 38 什么是事故響應程序的作用和內(nèi)容？ 39 什么是災難恢復計劃的必要性及其內(nèi)容？ 310 如何生成、部署和有效使用網(wǎng)絡(luò)安全策略？ 。安全策略的部署需要全體員工介入，通過宣講、培訓直到執(zhí)行。 為了切實執(zhí)行各種安全策略，還需開發(fā)各種管理程序，包括用戶管理程序、系統(tǒng)管理程序、事故響應程序、配置管理程序、設(shè)計方法，以及災難恢復計劃。包括計算機所有權(quán)、信息所有權(quán)、計算機使用許可以及沒有隱私的要求。安全策略應包括用戶身份及身份鑒別、訪問控制、審計、網(wǎng)絡(luò)連接、惡意碼防止、加密等。 小結(jié) 系統(tǒng)和網(wǎng)絡(luò)安全策略規(guī)定計算機系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全的技術(shù)要求，規(guī)定系統(tǒng)或網(wǎng)絡(luò)管理員應如何配置和安全相關(guān)的系統(tǒng)。 信息策略定義一個組織內(nèi)的敏感信息以及如何保護敏感信息。在此基礎(chǔ)上調(diào)整安全策略、申報批準、開始培訓、貫徹實施。 在審查時，應和所有和安全有關(guān)的部門接觸，聽取他們對現(xiàn)有的安全策略的意見和建議。應對大部分策略每年審查一次。 即使是一個好的安全策略也不是一勞永逸的。安全部門應向?qū)徲嫴块T解釋安全策略如何開發(fā)以及期望達到什么樣的目標；審計部門應向安全部門解釋審計如何進行以及審計的目標。安全部門應及時將新的安全策略通知給審計部門，并配合他們工作，使他們在審計時了解這些變更。應在經(jīng)費和系統(tǒng)設(shè)計限制條件下，和系統(tǒng)管理員及有關(guān)部門密切配合，及時地完成變更。應該和系統(tǒng)管理員以及使用該系統(tǒng)的部門一起工作，使安全作相應的變更。 安全策略的有效使用 當一個新的安全策略被批準后，應該檢查每個已有的系統(tǒng)，看其是否和新的安全策略相符合。也就是說，將安全作為新系統(tǒng)和項目的設(shè)計的組成部分，使得安全要求在設(shè)計之初就能被識別和實施。安全工作要與系統(tǒng)管理部門和其他有影響的部門密切配合，使執(zhí)行更有效。有時這種更改采用平滑過渡的方法更合適。 安全策略的部署 因為安全策略對組織的全體員工都有影響，所以安全專業(yè)人員必須負責對員工進行安全教育，人力資源部門和培訓部門要協(xié)助進行。這些管理者的介入大大有助于安全策略在各個部門的貫徹。 安全策略對每個部門都有影響，必須在各部門貫徹。 安全策略的生成相對來說較容易，因為只需組織少部分人介入。在草擬過程中，還要不斷聽取上述有關(guān)人員的意見和建議。 首先擬出一個好的綱要，可以參考一些手冊，如RFC2196場地安全手冊提供了各種策略的綱要。應該征求組織的總顧問以及人力資源部門的建議，此外，系統(tǒng)管理員、計算機系統(tǒng)用戶以及物理安全部門的建議也是重要的。 閉門生成安全策略是很少能成功的。對安全專業(yè)人員來說應該知道不是所有策略對所有組織都是適用的。 這兩個組織的策略完全不同。組織的文化使員工及管理者相信這樣做能很好完成他們的任務。 安全策略的使用 安全策略的生成 某些員工的行為是可接受的，某些卻是不可接受的，這取決于該組織的文化。這取決于該組織的業(yè)務性質(zhì)。 安全策略的生成分成以下幾步。 災難恢復計劃的測試可能十分昂貴且有破壞作用。 災難恢復計劃是一個十分復雜的文檔，通常不是一次寫成就立即成功，因此需要測試。如果是一個電子商務站點，則最關(guān)鍵的系統(tǒng)可能是計算機系統(tǒng)和網(wǎng)絡(luò)。對每類事件，組織的每個部門都應參與。 場地破壞事件是災難恢復計劃通常需要考慮的一類事件。熱備站是一種解決方案，但費錢。其中必須解決的一個問題是有可能丟失設(shè)備，災難恢復計劃應包括如何得到備用的設(shè)備。 災難恢復計劃還為數(shù)據(jù)中心的主要事件提供一個程序。 不論什么樣的解決方案，災難恢復計劃必須能修復故障，使系統(tǒng)繼續(xù)運行。對每個故障，應在可允許的時間內(nèi)修復并恢復運行。 災難恢復計劃 單個系統(tǒng)或設(shè)備故障包括盤、主板、網(wǎng)絡(luò)接口卡、元件的故障。只有當很多甚至全部計算機系統(tǒng)不可用，要決定該組織如何繼續(xù)運行時，才會比較復雜。然而，很多組織卻沒有，因為他們認為災難恢復計劃要花很多錢，需要建立一個熱備站，配置場地和必要的設(shè)備，以便隨時接替運行。在新系統(tǒng)成為產(chǎn)品以前，安全人員應檢查系統(tǒng)的漏洞和合適的安全策略規(guī)則。 （ 4） 實施 項目實施階段同樣有安全要求。安全人員應協(xié)助編寫測試計劃。在設(shè)計中對不能滿足安全要求之處應特別指出，并予以妥善解決。 設(shè)計方法 （ 2） 設(shè)計 在項目的設(shè)計階段，設(shè)計方法應確保項目是安全的。設(shè)計方法應指出組織的安全策略和信息策略的要求。在設(shè)計之初就要考慮和安全有關(guān)的問題，使最后完成的系統(tǒng)能和安全問題相一致。在變更以后，應更新系統(tǒng)配置以反映系統(tǒng)的新的狀態(tài)。該程序應在變更實施前對計劃的變更進行測試。 對于一個新的系統(tǒng)，它的狀態(tài)應有文檔，包括操作系統(tǒng)及其版本、補丁水平、應用程