第3章安全策略3.1安全策略的功能3.2安全策略的類型3.3安全策略的使用小結習題第3章安全策略3.1安全策略的功能安全策略對一個組織來說是十分重要的，是一個組織的信息安全部門能做的最重要的工作之一。它只涉及很少的技術知識，因而很多有專業技能的人似乎對其并不太重視，事實上，安全策略對他們也是非常重要的。安全策略提供一系列規則，管理和控制系統如何配置，組織的員工應如何在正常的環境下行動，而當發生環境不正常時，應如何反應。安全策略執行兩個主要任務。3.1安全策略的功能安全策略對一個組織來說是十分重要的，是一個組織的信息安全部門1.確定安全的實施安全策略確定實施什么樣的安全，具體內容如下：（1）安全策略確定恰當的計算機系統和網絡的配置及物理安全的措施，以及確定所使用的合理機制以保護信息和系統。（2）安全策略不僅確定安全的技術方面，還規定員工應該執行某些和安全相關的責任（例如用戶管理），以及員工在使用計算機系統時所要求的行為。（3）安全策略還規定當非期望的事情發生時，組織應如何反應。當一個安全事故發生，或系統出故障時，組織的安全策略和安全程序規定其應做的事，以及在事故發生時，該組織的行動目標。1.確定安全的實施2.使員工的行動一致對一個組織來說，確定實施什么樣的安全是重要的，然而使每個工作人員行動一致以維護組織的安全也是同樣重要的。安全策略為一個組織的員工規定一起工作的框架。組織的安全策略和安全過程規定了安全程序的目標和對象。將這些目標和對象告訴員工，就為安全工作組提供了基礎。安全策略的類型一個組織內的安全策略和安全程序有很多種，本節將概述常用的、有效的安全策略和安全程序。在安全策略中，一般包含3個方面：2.使員工的行動一致（1）目的一個安全策略和安全程序應該有一個很好定義的目的，其文本應明確說明為什么要制定該策略和程序，及其對該組織有什么好處。（2）范圍一個安全策略和安全程序應該有一個適用的范圍。例如，一個安全策略可適用于所有計算機和網絡系統，一個信息策略可適用于所有員工。（3）責任責任規定誰負責該文本的實施。不管誰負有責任，都必須經過很好的培訓，明白文本的各項要求。（1）目的信息策略定義一個組織內的敏感信息以及如何保護敏感信息。策略覆蓋該組織內的全部敏感信息。每個員工有責任保護所有接觸的敏感信息。識別敏感信息根據該組織的業務，考慮哪些是敏感信息。敏感信息有可能包括經營業務記錄、產品設計、專利信息、公司電話簿等。3.2安全策略的類型

3.2.1信息策略信息策略定義一個組織內的敏感信息以及如何保護敏感信息。策略覆某些信息對所有組織都是敏感信息，包括工資信息、員工家庭住址和電話號碼、醫療保險信息、任何在公開以前的財務信息等。值得指出的是，對一個組織來說，不是所有信息在所有時間都是敏感的。必須根據安全策略和安全程序很小心地確定什么是敏感信息。2.信息分類對大部分組織而言，通常將信息分成二或三級已足夠了，具體如下：（1）最低級別的信息應該是公開的，也就是說，這些信息已為人所知，或能公開發表。某些信息對所有組織都是敏感信息，包括工資信息、員工家庭住址和（2）再上一級的信息是不公開發表的，這些信息稱為“私有”、“公司敏感”或“公司秘密”。這類信息對本組織員工是公開的，對某些組織外的人員需簽不擴散協議才能得到。如果這些信息被公開或被競爭者得到，就有損于該組織。（3）第三類信息稱為“限制”或“保護”。這類信息被嚴格限制在一個組織內的很有限的員工范圍內，不能向組織內的全體員工發布，更不能被組織外的人得到。3.敏感信息標記對于非公開信息，安全策略應將各類敏感信息清楚地加上標記。如果以紙張的形式出現，應在每頁的頂部和底部加標記，用字處理的頁首、頁腳來實現。通常用醒目的大寫或斜體字標記。（2）再上一級的信息是不公開發表的，這些信息稱為“私有”、4.敏感信息存儲安全策略對存儲在紙上或計算機系統中的敏感信息都應有相應的規定。當信息存儲在計算機系統中，安全策略規定相應的保護級別。可以是文件的訪問控制，或對某些類型文件用合適的口令保護。極端情況需要加密措施。應該記住，系統管理員能看到計算機系統中的所有文本。如果該敏感信息不應被系統員知道，只有采取加密措施。4.敏感信息存儲5.敏感信息傳輸信息策略必須確定如何傳輸敏感信息。可以用不同方法傳輸信息，如電子郵件、通過郵局郵寄、傳真等。信息策略應對每種傳輸方法確定保護方法。對通過電子郵件傳送的敏感信息，安全策略應規定對用附件方式的文件或報文頭進行加密。對硬拷貝信息的傳送，需要簽收收據的方式。對傳真方式的傳送，發送者需要用電話事先通知接收者等候在傳真機旁。5.敏感信息傳輸6.敏感信息銷毀留在紙上的敏感信息必須有相應的銷毀方法。存儲在計算機系統中的敏感信息，如果刪除得不合適，仍有可能恢復。某些商業程序已有更安全的方法，將敏感信息從介質中擦去。6.敏感信息銷毀安全策略規定計算機系統和網絡設備安全的技術要求，規定系統或網絡管理員應如何配置與安全相關的系統。這個配置也會影響用戶。系統和網絡管理員應對安全策略的實施負主要責任。安全策略應定義每個系統實施時的要求，然而它不應規定對不同操作系統的專門配置，這屬于專門配置的過程。3.2.2系統和網絡安全策略安全策略規定計算機系統和網絡設備安全的技術要求，規定系統或網1.用戶身份及身份鑒別安全策略應確定如何識別用戶。通常安全策略應規定用于用戶ID的標準或定義標準的系統管理過程。更為重要的是，安全策略應確定對系統用戶或管理員的基本的鑒別機制。如果機制是口令，則安全策略還應規定最小的口令字長、最長和最短的口令生存期以及口令內容的要求。當開發安全策略時，每個組織還應決定是對管理員采用相同的機制，還是更強的機制。如果需要更強的機制，安全策略應確定相應的安全要求。更強的機制對諸如VPN或撥號訪問這些遠程訪問也是適用的。1.用戶身份及身份鑒別2.訪問控制安全策略應確定對電子文件的訪問控制的標準要求，具體如下：（1）在確定機制時，對計算機上的每個文件，用戶定義的訪問控制的某些方式應是可用的。這個機制應和身份鑒別機制一起工作，以確保只有授權用戶能訪問文件。該機制至少應能確定什么樣的用戶有讀、寫、執行文件的許可。（2）對新文件的默認配置應說明當新文件生成時應如何建立許可。這部分安全策略應對給出的系統中的文件確定讀、寫、執行的許可。2.訪問控制3.審計安全策略的審計部分應確定所有系統上需要審計的事件類型。通常安全策略需對下列事件進行審計：成功或失敗的登錄、退出系統、對文件或系統的訪問失敗、成功或失敗的遠程訪問、特權操作（由管理員操作，成功或失敗）、系統事件（關機或重啟）。對每個事件應捕獲下列信息：用戶ID、日期和時間、進程ID、執行的動作、事件的成功或失敗。安全策略應說明審計記錄應保存多久以及如何存放。如有可能，安全策略還應確定如何檢查審計記錄以及檢查的時間間隔。3.審計4.網絡連接對每一種接到組織網絡的連接形式，安全策略應說明連接的規則以及保護機制。對撥號連接，應說明對這類連接技術的鑒別要求。該要求應指回到策略的身份鑒別這一部分。也可能描述一個比通常使用的更強的身份鑒別。此外，安全策略應確定開始得到撥號訪問的身份鑒別要求。對一個組織來說，應嚴格控制允許多少個撥號訪問點，因此應公平地限制身份鑒別的要求。4.網絡連接一個組織的固定網絡連接是由某些類型的固定通信線路接入的。安全策略應確定用于這些連接的安全設備類型。通常防火墻是合適的設備。僅僅說明設備類型并不意味著說明了相應的保護級別。安全策略應定義一個設備的基本網絡訪問控制策略以及請求和得到訪問的過程。這些在標準的配置中是沒有的。對內部系統的遠程訪問是組織允許員工在外出時從外部訪問內部系統。安全策略應說明這類訪問所采用的機制。對這類訪問，所有的通信應加密保護，并在加密部分說明密碼類型。因為訪問來自外部，應確定一個強的身份鑒別機制。安全策略還應對允許員工得到這類訪問的授權建立一個正確的過程。一個組織的固定網絡連接是由某些類型的固定通信線路接入的。安全5.惡意代碼安全策略應確定搜索惡意代碼（如病毒、特洛伊木馬）的安全程序的存放位置。合適的位置包括文件服務器、桌面系統以及電子郵件服務器等。安全策略應說明這些安全程序的要求，包括檢查專門的文件系統的安全程序要求以及當這些文件打開時檢查這些文件。策略還應要求對安全程序周期地更新簽名。5.惡意代碼6.加密安全策略應確定使用在組織內的可接受的加密算法，在信息策略中指出保護敏感信息的相應算法。安全策略不限制僅僅選擇一種算法。安全策略還應說明密鑰管理需要的過程。6.加密計算機用戶策略規定了誰可以使用計算機系統以及使用計算機系統的規則。1.計算機所有權策略應清楚地說明所有計算機屬于本組織，并且提供給員工在組織內用于工作相一致的用途。策略也可能禁止使用非組織的計算機用于組織的經營業務。例如，員工希望在家里做某些工作，組織將為其提供計算機，但只有組織提供的計算機可通過遠程訪問系統接到組織內部的計算機系統。3.2.3計算機用戶策略計算機用戶策略規定了誰可以使用計算機系統以及使用計算機系統的2.信息所有權策略應規定所有存儲并用于組織內的計算機的信息屬于組織所有。某些員工可能使用組織的計算機存儲個人信息，如果策略沒有特殊說明，則個人信息可分開存在私人目錄下，并且非公開的。3.計算機的使用許可大部分組織期望員工只使用組織提供的計算機，用于和工作有關的目的。但這不總是一個很好的假定。因此在策略中要明確說明。有時，組織允許員工為了其他目的使用組織的計算機。如果是這樣，應在策略中清楚說明。使用組織提供的計算機還影響到什么軟件加載到系統。規定非授權軟件不允許裝入系統。策略應規定誰可以裝載授權軟件以及怎樣成為合法軟件。2.信息所有權4.沒有私隱的要求計算機用戶策略中最重要的部分或許是規定在任何組織的計算機存儲、讀出、接收的信息都沒有隱私。這對員工是十分重要的，他們應了解任何信息有可能被管理員檢查，包括電子郵件。也就是說，使員工了解管理員或安全職員可能監視所有和計算機相關的動作，包括監視Web站點。4.沒有私隱的要求Internet使用策略經常包括在通用計算機使用策略中。然而，由于Internet的特殊性，有時將它作為單獨的策略。Internet的接入可以提高員工的工作效率。但Internet也給員工提供了一個濫用計算機資源的機會。Internet使用策略規定了如何合理地使用Internet，諸如和業務有關的研究、采購，或使用電子郵件通信等；確定哪些是非正當使用，諸如訪問和業務無關的Web站點、下載有版權的軟件、音樂文件的交易、發送連鎖郵件等。3.2.4Internet使用策略Internet使用策略經常包括在通用計算機使用策略中。然而假如該策略是從計算機用戶策略分離出來的，它應說明組織有可能監視員工對Internet的使用，當員工使用Internet時，沒有隱私的問題。假如該策略是從計算機用戶策略分離出來的，它應說明組織有可能監有些組織為電子郵件的使用開發了專門的策略。電子郵件正越來越多地用于組織的業務處理。電子郵件是使組織的敏感信息毫無價值的另一種方法。當一個組織選擇定義電子郵件策略時，應考慮到內外兩方面的問題。3.2.5郵件策略有些組織為電子郵件的使用開發了專門的策略。電子郵件正越來越多1.內部郵件問題電子郵件策略不應和其他的人力資源策略相沖突。例如，電子郵件策略應規定禁止利用電子郵件進行性騷擾；又如，規定在電子郵件中不用非正式用語和同伴通信。如果組織要對電子郵件的某些關鍵字或附件進行監控，則策略應說明這類監控可能發生。策略還應對員工說明不能期望在電子郵件中有隱私。1.內部郵件問題2.外部郵件問題電子郵件可能包含一些敏感信息。郵件策略說明在什么條件下是可以接受的，并且在信息策略中指出該類信息應如何保護。也可能在外部郵件的底部指出相應的信息必須保護。郵件策略還應識別進入的電子郵件問題。例如，很多組織測試進入的文件附件是否有病毒。該策略應指向組織的安全策略關于相應的病毒配置問題。2.外部郵件問題用戶管理程序是最容易被組織忽視的安全程序，因而提供了最大風險的可能。保護系統不被非授權者使用的安全機制是一個很好的事情，但是如計算機系統的使用沒有合適的管理也將使其完全無用。1.新員工程序應為新員工提供一個正確訪問計算機資源的程序。應該由人力資源部門和系統管理員協同工作。理想的狀況是新員工請求使用計算機資源，該新員工的管理者簽發批準，然后系統管理員將為該新員工提供合適的系統和文件的訪問。這個程序也應用于新的顧問和臨時員工，并標明相應的有效期。3.2.6用戶管理程序用戶管理程序是最容易被組織忽視的安全程序，因而提供了最大風險2.工作調動的員工程序對工作調動的員工也應開發一個專門的程序。這個程序的開發由人力資源和系統管理部門協助。員工原來的管理和新管理者應確定換到新崗位上的員工已經不需要原來的訪問或者需要新的訪問。相應的系統管理員依此進行變更。3.離職員工的程序最重要的用戶管理程序是將離職的員工從系統中除去。該程序也需人力資源和系統管理部門協助。當人力資源部認定一個員工離職，將提前通知相應的系統管理員，這樣當該員工在職的最后一天就可將其賬戶停止。2.工作調動的員工程序系統管理程序是確定安全和系統管理如何配合工作以使組織的系統安全。系統管理程序應確定各種和安全相關的系統管理如何完成。當談及系統管理員監控網絡的能力時，該程序應由計算機用戶策略確定，并反映組織期望系統如何管理。1.軟件更新該程序應確定一個系統管理員多長時間檢查新的補丁或從廠家升級。希望這些新的補丁不是當出現時剛剛安裝，這樣在補丁安裝之前就規定測試。最后，當這樣的升級發生時（通常在維護窗口）該程序應做文檔，當升級失敗時放棄程序。3.2.7系統管理程序系統管理程序是確定安全和系統管理如何配合工作以使組織的系統安2.漏洞掃描每個組織應開發一個識別計算機系統漏洞的程序。通常由安全方面掃描漏洞，由系統管理做補丁。已有一些商業的和免費使用的掃描工具。程序應確定多長間隔需進行掃描。掃描的結果應傳給系統管理來糾錯和執行。3.策略檢查組織的安全策略確定每個系統的安全要求。定期的外部或內部審計用來檢查是否和策略一致。在審計時，安全應和系統管理一起工作以檢查系統的一致。可以用自動的工具，也可以用手動進行。2.漏洞掃描4.登錄檢查來自各種系統的登錄應定期檢查。可以和安全員一起以自動方式檢查這些登錄。如采用自動工具，程序應規定工具的配置以及希望它如何處理。如采用手動方式，程序應規定多長間隔檢查登錄文件以及事件類型等。5.常規監控一個組織應該有一個程序歸檔說明何時網絡通信監控發生。有些組織可能選擇連續執行這種類型的監控，有些則選擇隨機監控。無論如何，總應進行監控，且歸檔。4.登錄檢查當計算機事故發生時，事故響應程序確定該組織將如何作出反應。根據事故的不同，事故響應程序應確定誰有權處理，以及應該做什么，但無須說明如何做。后者將留給處理事故的人決定。1.事故處理目標當處理事故時，事故響應程序應確定該組織的目標，包括保護組織的系統、保護組織的信息、恢復運行、起訴肇事者、減少壞的宣傳等。這些目標不是惟一的，可以有多個目標。關鍵是要在事故發生前確定組織的目標。3.2.8事故響應程序當計算機事故發生時，事故響應程序確定該組織將如何作出反應。根2.事件識別識別一個事故或許是事故響應中最困難的一部分。某些事故是顯而易見的，如Web站點的外貌被損壞。有些事故可能是由于入侵攻擊或用戶的誤操作，如數據文件的丟失。在公布事故以前，應由系統管理員做某些檢查，以決定事故是否確實發生了。這部分程序能確定某些事件是顯而易見的事故。而某些不是顯而易見的事故，管理員應確定檢查的步驟。在得到決定事故的更多信息后，應組織一個事故響應組，應包括以下部門：安全、系統管理、法律、人力資源、公共關系等。2.事件識別3.信息控制在發布事故消息時，組織要控制應發布什么樣的信息。有多少信息需發布取決于該事故對組織及其客戶的影響程度。信息發布的方式、方法也應考慮對組織的正面效應。4.響應一個組織對事故流的響應直接取決于事故響應程序的目標。例如，保護系統和信息是目標，那么將系統從網絡中移走，并進行必要的修復。另一種情況可能是保持系統在網上的在線狀態以及繼續服務或允許入侵者再回來，這樣可對入侵者跟蹤并設置陷阱。3.信息控制5.授權事故響應的一個重要部分是決定事故響應組的負責人，授權采取行動，包括確定系統是否要離線，以及和客戶、新聞機構、律師部門聯系等。通常選擇一個組織的官員來擔任，他可以是事故響應組的成員，也可以是顧問。負責人在事故響應程序開發時就要作出決定，而不是事故發生時決定。6.文檔事故響應程序應該規定事故響應組建立其行動檔案。有兩個好處，其一是有助于事故過后了解所發生的事件全過程；其二是如果要起訴，則有助于法律實施，對事故響應組也可作為一本參考手冊，有助于他們處理事故。5.授權7.程序的測試事故響應是很實際的，不能期望第一次使用事故響應程序，每一件事都很完美。因此當開發完事故響應程序后，應廣泛征求意見，找出其不足之處并改進。事故響應程序還需在現實世界中測試，可以做一些模擬攻擊，并觀察其響應效果。這些測試可事先公布，也可不公布。7.程序的測試配置管理程序規定修改組織的計算機系統狀態的步驟。該程序的目的是確定合適的變化不會對安全事故的識別產生不好的影響。因此新的配置要從安全的角度予以檢查。1.系統的初始狀態對于一個新的系統，它的狀態應有文檔，包括操作系統及其版本、補丁水平、應用程序及其版本。2.變更的控制程序當系統變更時，應執行配置控制程序。該程序應在變更實施前對計劃的變更進行測試。當提出變更請求時，應將變更前后的程序存檔。在變更以后，應更新系統配置以反映系統的新的狀態。3.2.9配置管理程序配置管理程序規定修改組織的計算機系統狀態的步驟。該程序的目的對生成新系統或能力的項目應有一個設計方法，以提供該組織生成新的系統的步驟。在設計之初就要考慮和安全有關的問題，使最后完成的系統能和安全問題相一致。設計過程中，與安全相關的步驟如下：（1）需求定義在任何一個項目的需求定義階段，應將安全需求列入。設計方法應指出組織的安全策略和信息策略的要求。特別是要確定敏感信息和關鍵信息的要求。3.2.10設計方法對生成新系統或能力的項目應有一個設計方法，以提供該組織生成新（2）設計在項目的設計階段，設計方法應確保項目是安全的。安全人員應成為設計組成員或作為項目設計審查人員。在設計中對不能滿足安全要求之處應特別指出，并予以妥善解決。（3）測試當項目進入測試階段，應同時進行安全測試。安全人員應協助編寫測試計劃。安全要求有可能難以測試，例如，難以測試以確定入侵者不可能看到敏感信息。（4）實施項目實施階段同樣有安全要求。實施組應使用合適的配置管理程序。在新系統成為產品以前，安全人員應檢查系統的漏洞和合適的安全策略規則。（2）設計每個組織都應有一個災難恢復計劃。然而，很多組織卻沒有，因為他們認為災難恢復計劃要花很多錢，需要建立一個熱備站，配置場地和必要的設備，以便隨時接替運行。事實上，災難恢復計劃并不一定需要這樣的熱備站，可以是很簡單的一些措施。只有當很多甚至全部計算機系統不可用，要決定該組織如何繼續運行時，才會比較復雜。一個恰當的災難恢復計劃應考慮各種故障的級別：單個系統、數據中心、整個系統。3.2.11災難恢復計劃每個組織都應有一個災難恢復計劃。然而，很多組織卻沒有，因為他1.單個系統或設備故障單個系統或設備故障包括盤、主板、網絡接口卡、元件的故障。作為災難恢復計劃的一部分，應該檢查組織的環境以識別任何單個系統或設備故障的影響。對每個故障，應在可允許的時間內修復并恢復運行。“可允許的時間”是根據對系統的關鍵程度以及解決方案所花的費用而定。不論什么樣的解決方案，災難恢復計劃必須能修復故障，使系統繼續運行。災難恢復計劃必須和組織的運行部門結合，使他們知道應采取什么步驟恢復系統運行。1.單個系統或設備故障2.數據中心事件災難恢復計劃還為數據中心的主要事件提供一個程序。例如，發生火災，數據中心不能使用，應采取什么步驟重新恢復其能力。其中必須解決的一個問題是有可能丟失設備，災難恢復計劃應包括如何得到備用的設備。假如數據中心不能用了，但仍有一些設備完好，災難恢復計劃應考慮如何添加新的設備以及如何重建通信線路。熱備站是一種解決方案，但費錢。如果沒有熱備站，災難恢復計劃應確定其他可能的場地，重新建造計算機系統。2.數據中心事件3.場地破壞事件場地破壞事件是災難恢復計劃通常需要考慮的一類事件。雖然這類事件發生的概率較小，但對一個組織的危害極大。對每類事件，組織的每個部門都應參與。第一步是識別必須重建的關鍵能力，以使該組織繼續生存。如果是一個電子商務站點，則最關鍵的系統可能是計算機系統和網絡。如果是生產產品的工廠，則制造部門是關鍵，它的優先度高于計算機系統。3.場地破壞事件4.災難恢復計劃的測試災難恢復計劃是一個十分復雜的文檔，通常不是一次寫成就立即成功，因此需要測試。測試的必要性不僅在于檢驗其正確性，而且在于檢查其是否處于備用狀態。災難恢復計劃的測試可能十分昂貴且有破壞作用。所以一個組織通常指定一些關鍵員工定期地對災難恢復計劃進行巡視，而且每年進行一次全面的測試。4.災難恢復計劃的測試安全策略的生成分成以下幾步。1.確定重要的策略對一個組織而言，并非需要所有有關安全的策略，而應確定哪些安全策略對該組織是重要的。這取決于該組織的業務性質。安全人員應該識別什么是最重要的安全策略，并與系統管理員、人力資源部門、咨詢辦公室協作，以確定哪些策略是最重要的。3.3安全策略的使用

3.3.1安全策略的生成安全策略的生成分成以下幾步。3.3安全策略的使用

3.2.確定可接受的行為某些員工的行為是可接受的，某些卻是不可接受的，這取決于該組織的文化。例如,某些組織允許所有員工在Internet上沖浪，而沒有任何限制。組織的文化使員工及管理者相信這樣做能很好完成他們的任務。而另一個組織卻對員工訪問Internet有嚴格的限制，甚至限制從某些不可接受的Web站點下載軟件。這兩個組織的策略完全不同。事實上，第一個組織決定根本無須實施Internet使用策略。對安全專業人員來說應該知道不是所有策略對所有組織都是適用的。安全專業人員在為一個組織草擬安全策略以前應花一些時間去了解該組織的文化以及員工的期望。2.確定可接受的行為3.征求建議閉門生成安全策略是很少能成功的。安全專業人員在制定策略時應尋求組織的其他部門的幫助。應該征求組織的總顧問以及人力資源部門的建議，此外，系統管理員、計算機系統用戶以及物理安全部門的建議也是重要的。一般來講，凡是與實施策略有影響的人都應參與策略的制定過程，這樣他們將了解什么是所期望的。3.征求建議4.策略的開發首先擬出一個好的綱要，可以參考一些手冊，如RFC2196場地安全手冊提供了各種策略的綱要。根據綱要逐節草擬策略文檔。在草擬過程中，還要不斷聽取上述有關人員的意見和建議。在策略文檔完成后，提交管理部門批準和實施。4.策略的開發安全策略的生成相對來說較容易，因為只需組織少部分人介入。但要有效地部署和實施，需要全體人員介入。1.貫徹安全策略對每個部門都有影響，必須在各部門貫徹。由于在策略生成時，已征得各部門管理者的意見。這些管理者的介入大大有助于安全策略在各個部門的貫徹。這遠比最高層領導強調安全策略的重要性、強調應予以貫徹更有效。3.3.2安全策略的部署安全策略的生成相對來說較容易，因為只需組織少部分人介入。但要2.培訓教育因為安全策略對組織的全體員工都有影響，所以安全專業人員必須負責對員工進行安全教育，人力資源部門和培訓部門要協助進行。特別重要的是，當某些安全策略改變時會影響到全體員工，例如，如需更改口令，必須事先告知全體員工，否則會造成一時混亂。有時這種更改采用平滑過渡的方法更合適。3.執行有時安全環境的突然改變會產生相反的效果，所以采取很好的計劃和平滑過渡會更好。安全工作要與系統管理部門和其他有影響的部門密切配合，使執行更有效。2.培訓教育1.新的系統及項目一個新的系統及項目啟動時，就應同時進行安全策略的程序設計。也就是說，將安全作為新系統和項目的設計的組成部分，使得安全要求在設計之初就能被識別和實施。如果新系統不能滿足安全要求，該組織就要知道存在的風險，并提供某些機制來管理存在的風險。3.3.3安全策略的有效使用1.新的系統及項目3.3.3安全策略的有效使用2.已有的系統及項目當一個新的安全策略被批準后，應該檢查每個已有的系統，看其是否和新的安全策略相符合。如果不符合，確定是否可采取措施來遵守新的策略。應該和系統管理員以及使用該系統的部門一起工作，使安全作相應的變更。這可能需要做一些開發工作，不能立即改變，會有一定的延遲。應在經費和系統設計限制條件下，和系統管理員及有關部門密切配合，及時地完成變更。2.已有的系統及項目3.審計很多組織內部的審計部門，定期地審計系統看其是否遵守安全策略。安全部門應及時將新的安全策略通知給審計部門，并配合他們工作，使他們在審計時了解這些變更。一般來說，這個變更應是雙向的。安全部門應向審計部門解釋安全策略如何開發以及期望達到什么樣的目標；審計部門應向安全部門解釋審計如何進行以及審計的目標。他們之間應有某種約定，一種類型的系統應考慮相應類型的安全策略。3.審計4.安全策略的審查即使是一個好的安全策略也不是一勞永逸的。應定期對每個策略進行審查，看其是否仍然適合于該組織。應對大部分策略每年審查一次。對某些程序，如事故響應程序或災難恢復計劃，可能需要更加頻繁的審查。在審查時，應和所有和安全有關的部門接觸，聽取他們對現有的安全策略的意見和建議。對重要的問題還可召開專門的調研會。在此基礎上調整安全策略、申報批準、開始培訓、貫徹實施。4.安全策略的審查網絡安全策略執行兩個主要任務，其一是確定在一個組織內實施什么樣的安全；其二是讓組織內的員工行動一致，確定組織需要什么樣的安全。信息策略定義一個組織內的敏感信息以及如何保護敏感信息。包括敏感信息識別、信息分類、敏感信息標記、敏感信息存儲、敏感信息傳輸以及敏感信息銷毀。小結網絡安全策略執行兩個主要任務，其一是確定在一個組織內實施什么系統和網絡安全策略規定計算機系統和網絡設備安全的技術要求，規定系統或網絡管理員應如何配置和安全相關的系統。系統和網絡管理員應對安全策略的實施負主要責任。安全策略應包括用戶身份及身份鑒別、訪問控制、審計、網絡連接、惡意碼防止、加密等。計算機用戶策略規定了誰可以使用計算機系統以及使用計算機系統的規則。包括計算機所有權、信息所有權、計算機使用許可以及沒有隱私的要求。Internet使用策略規定了如何合理地使用Internet，確定哪些是Internet的非正當使用。系統和網絡安全策略規定計算機系統和網絡設備安全的技術要求，規為了切實執行各種安全策略，還需開發各種管理程序，包括用戶管理程序、系統管理程序、事故響應程序、配置管理程序、設計方法，以及災難恢復計劃。要生成安全策略，需要確定什么是重要的策略，什么是員工可接受的行為，經過調研最后完成。安全策略的部署需要全體員工介入，通過宣講、培訓直到執行。安全策略的有效使用需要將安全策略和系統設計同步進行，還需要定期審計和審查。為了切實執行各種安全策略，還需開發各種管理程序，包括用戶管理3-1什么是網絡安全策略執行的主要任務？3-2網絡安全策略應包含哪些內容？3-3什么是信息策略的目的和內容？3-4什么是計算機系統和網絡安全策略的目的和內容？3-5什么是計算機用戶策略的目的和內容？習題3-1什么是網絡安全策略執行的主要任務？習題3-6什么是Internet使用策略的目的和內容？3-7什么是系統管理程序的作用和內容？3-8什么是事故響應程序的作用和內容？3-9什么是災難恢復計劃的必要性及其內容？3-10如何生成、部署和有效使用網絡安全策略？3-6什么是Internet使用策略的目的和內容？第3章安全策略3.1安全策略的功能3.2安全策略的類型3.3安全策略的使用小結習題第3章安全策略3.1安全策略的功能安全策略對一個組織來說是十分重要的，是一個組織的信息安全部門能做的最重要的工作之一。它只涉及很少的技術知識，因而很多有專業技能的人似乎對其并不太重視，事實上，安全策略對他們也是非常重要的。安全策略提供一系列規則，管理和控制系統如何配置，組織的員工應如何在正常的環境下行動，而當發生環境不正常時，應如何反應。安全策略執行兩個主要任務。3.1安全策略的功能安全策略對一個組織來說是十分重要的，是一個組織的信息安全部門1.確定安全的實施安全策略確定實施什么樣的安全，具體內容如下：（1）安全策略確定恰當的計算機系統和網絡的配置及物理安全的措施，以及確定所使用的合理機制以保護信息和系統。（2）安全策略不僅確定安全的技術方面，還規定員工應該執行某些和安全相關的責任（例如用戶管理），以及員工在使用計算機系統時所要求的行為。（3）安全策略還規定當非期望的事情發生時，組織應如何反應。當一個安全事故發生，或系統出故障時，組織的安全策略和安全程序規定其應做的事，以及在事故發生時，該組織的行動目標。1.確定安全的實施2.使員工的行動一致對一個組織來說，確定實施什么樣的安全是重要的，然而使每個工作人員行動一致以維護組織的安全也是同樣重要的。安全策略為一個組織的員工規定一起工作的框架。組織的安全策略和安全過程規定了安全程序的目標和對象。將這些目標和對象告訴員工，就為安全工作組提供了基礎。安全策略的類型一個組織內的安全策略和安全程序有很多種，本節將概述常用的、有效的安全策略和安全程序。在安全策略中，一般包含3個方面：2.使員工的行動一致（1）目的一個安全策略和安全程序應該有一個很好定義的目的，其文本應明確說明為什么要制定該策略和程序，及其對該組織有什么好處。（2）范圍一個安全策略和安全程序應該有一個適用的范圍。例如，一個安全策略可適用于所有計算機和網絡系統，一個信息策略可適用于所有員工。（3）責任責任規定誰負責該文本的實施。不管誰負有責任，都必須經過很好的培訓，明白文本的各項要求。（1）目的信息策略定義一個組織內的敏感信息以及如何保護敏感信息。策略覆蓋該組織內的全部敏感信息。每個員工有責任保護所有接觸的敏感信息。識別敏感信息根據該組織的業務，考慮哪些是敏感信息。敏感信息有可能包括經營業務記錄、產品設計、專利信息、公司電話簿等。3.2安全策略的類型

3.2.1信息策略信息策略定義一個組織內的敏感信息以及如何保護敏感信息。策略覆某些信息對所有組織都是敏感信息，包括工資信息、員工家庭住址和電話號碼、醫療保險信息、任何在公開以前的財務信息等。值得指出的是，對一個組織來說，不是所有信息在所有時間都是敏感的。必須根據安全策略和安全程序很小心地確定什么是敏感信息。2.信息分類對大部分組織而言，通常將信息分成二或三級已足夠了，具體如下：（1）最低級別的信息應該是公開的，也就是說，這些信息已為人所知，或能公開發表。某些信息對所有組織都是敏感信息，包括工資信息、員工家庭住址和（2）再上一級的信息是不公開發表的，這些信息稱為“私有”、“公司敏感”或“公司秘密”。這類信息對本組織員工是公開的，對某些組織外的人員需簽不擴散協議才能得到。如果這些信息被公開或被競爭者得到，就有損于該組織。（3）第三類信息稱為“限制”或“保護”。這類信息被嚴格限制在一個組織內的很有限的員工范圍內，不能向組織內的全體員工發布，更不能被組織外的人得到。3.敏感信息標記對于非公開信息，安全策略應將各類敏感信息清楚地加上標記。如果以紙張的形式出現，應在每頁的頂部和底部加標記，用字處理的頁首、頁腳來實現。通常用醒目的大寫或斜體字標記。（2）再上一級的信息是不公開發表的，這些信息稱為“私有”、4.敏感信息存儲安全策略對存儲在紙上或計算機系統中的敏感信息都應有相應的規定。當信息存儲在計算機系統中，安全策略規定相應的保護級別。可以是文件的訪問控制，或對某些類型文件用合適的口令保護。極端情況需要加密措施。應該記住，系統管理員能看到計算機系統中的所有文本。如果該敏感信息不應被系統員知道，只有采取加密措施。4.敏感信息存儲5.敏感信息傳輸信息策略必須確定如何傳輸敏感信息。可以用不同方法傳輸信息，如電子郵件、通過郵局郵寄、傳真等。信息策略應對每種傳輸方法確定保護方法。對通過電子郵件傳送的敏感信息，安全策略應規定對用附件方式的文件或報文頭進行加密。對硬拷貝信息的傳送，需要簽收收據的方式。對傳真方式的傳送，發送者需要用電話事先通知接收者等候在傳真機旁。5.敏感信息傳輸6.敏感信息銷毀留在紙上的敏感信息必須有相應的銷毀方法。存儲在計算機系統中的敏感信息，如果刪除得不合適，仍有可能恢復。某些商業程序已有更安全的方法，將敏感信息從介質中擦去。6.敏感信息銷毀安全策略規定計算機系統和網絡設備安全的技術要求，規定系統或網絡管理員應如何配置與安全相關的系統。這個配置也會影響用戶。系統和網絡管理員應對安全策略的實施負主要責任。安全策略應定義每個系統實施時的要求，然而它不應規定對不同操作系統的專門配置，這屬于專門配置的過程。3.2.2系統和網絡安全策略安全策略規定計算機系統和網絡設備安全的技術要求，規定系統或網1.用戶身份及身份鑒別安全策略應確定如何識別用戶。通常安全策略應規定用于用戶ID的標準或定義標準的系統管理過程。更為重要的是，安全策略應確定對系統用戶或管理員的基本的鑒別機制。如果機制是口令，則安全策略還應規定最小的口令字長、最長和最短的口令生存期以及口令內容的要求。當開發安全策略時，每個組織還應決定是對管理員采用相同的機制，還是更強的機制。如果需要更強的機制，安全策略應確定相應的安全要求。更強的機制對諸如VPN或撥號訪問這些遠程訪問也是適用的。1.用戶身份及身份鑒別2.訪問控制安全策略應確定對電子文件的訪問控制的標準要求，具體如下：（1）在確定機制時，對計算機上的每個文件，用戶定義的訪問控制的某些方式應是可用的。這個機制應和身份鑒別機制一起工作，以確保只有授權用戶能訪問文件。該機制至少應能確定什么樣的用戶有讀、寫、執行文件的許可。（2）對新文件的默認配置應說明當新文件生成時應如何建立許可。這部分安全策略應對給出的系統中的文件確定讀、寫、執行的許可。2.訪問控制3.審計安全策略的審計部分應確定所有系統上需要審計的事件類型。通常安全策略需對下列事件進行審計：成功或失敗的登錄、退出系統、對文件或系統的訪問失敗、成功或失敗的遠程訪問、特權操作（由管理員操作，成功或失敗）、系統事件（關機或重啟）。對每個事件應捕獲下列信息：用戶ID、日期和時間、進程ID、執行的動作、事件的成功或失敗。安全策略應說明審計記錄應保存多久以及如何存放。如有可能，安全策略還應確定如何檢查審計記錄以及檢查的時間間隔。3.審計4.網絡連接對每一種接到組織網絡的連接形式，安全策略應說明連接的規則以及保護機制。對撥號連接，應說明對這類連接技術的鑒別要求。該要求應指回到策略的身份鑒別這一部分。也可能描述一個比通常使用的更強的身份鑒別。此外，安全策略應確定開始得到撥號訪問的身份鑒別要求。對一個組織來說，應嚴格控制允許多少個撥號訪問點，因此應公平地限制身份鑒別的要求。4.網絡連接一個組織的固定網絡連接是由某些類型的固定通信線路接入的。安全策略應確定用于這些連接的安全設備類型。通常防火墻是合適的設備。僅僅說明設備類型并不意味著說明了相應的保護級別。安全策略應定義一個設備的基本網絡訪問控制策略以及請求和得到訪問的過程。這些在標準的配置中是沒有的。對內部系統的遠程訪問是組織允許員工在外出時從外部訪問內部系統。安全策略應說明這類訪問所采用的機制。對這類訪問，所有的通信應加密保護，并在加密部分說明密碼類型。因為訪問來自外部，應確定一個強的身份鑒別機制。安全策略還應對允許員工得到這類訪問的授權建立一個正確的過程。一個組織的固定網絡連接是由某些類型的固定通信線路接入的。安全5.惡意代碼安全策略應確定搜索惡意代碼（如病毒、特洛伊木馬）的安全程序的存放位置。合適的位置包括文件服務器、桌面系統以及電子郵件服務器等。安全策略應說明這些安全程序的要求，包括檢查專門的文件系統的安全程序要求以及當這些文件打開時檢查這些文件。策略還應要求對安全程序周期地更新簽名。5.惡意代碼6.加密安全策略應確定使用在組織內的可接受的加密算法，在信息策略中指出保護敏感信息的相應算法。安全策略不限制僅僅選擇一種算法。安全策略還應說明密鑰管理需要的過程。6.加密計算機用戶策略規定了誰可以使用計算機系統以及使用計算機系統的規則。1.計算機所有權策略應清楚地說明所有計算機屬于本組織，并且提供給員工在組織內用于工作相一致的用途。策略也可能禁止使用非組織的計算機用于組織的經營業務。例如，員工希望在家里做某些工作，組織將為其提供計算機，但只有組織提供的計算機可通過遠程訪問系統接到組織內部的計算機系統。3.2.3計算機用戶策略計算機用戶策略規定了誰可以使用計算機系統以及使用計算機系統的2.信息所有權策略應規定所有存儲并用于組織內的計算機的信息屬于組織所有。某些員工可能使用組織的計算機存儲個人信息，如果策略沒有特殊說明，則個人信息可分開存在私人目錄下，并且非公開的。3.計算機的使用許可大部分組織期望員工只使用組織提供的計算機，用于和工作有關的目的。但這不總是一個很好的假定。因此在策略中要明確說明。有時，組織允許員工為了其他目的使用組織的計算機。如果是這樣，應在策略中清楚說明。使用組織提供的計算機還影響到什么軟件加載到系統。規定非授權軟件不允許裝入系統。策略應規定誰可以裝載授權軟件以及怎樣成為合法軟件。2.信息所有權4.沒有私隱的要求計算機用戶策略中最重要的部分或許是規定在任何組織的計算機存儲、讀出、接收的信息都沒有隱私。這對員工是十分重要的，他們應了解任何信息有可能被管理員檢查，包括電子郵件。也就是說，使員工了解管理員或安全職員可能監視所有和計算機相關的動作，包括監視Web站點。4.沒有私隱的要求Internet使用策略經常包括在通用計算機使用策略中。然而，由于Internet的特殊性，有時將它作為單獨的策略。Internet的接入可以提高員工的工作效率。但Internet也給員工提供了一個濫用計算機資源的機會。Internet使用策略規定了如何合理地使用Internet，諸如和業務有關的研究、采購，或使用電子郵件通信等；確定哪些是非正當使用，諸如訪問和業務無關的Web站點、下載有版權的軟件、音樂文件的交易、發送連鎖郵件等。3.2.4Internet使用策略Internet使用策略經常包括在通用計算機使用策略中。然而假如該策略是從計算機用戶策略分離出來的，它應說明組織有可能監視員工對Internet的使用，當員工使用Internet時，沒有隱私的問題。假如該策略是從計算機用戶策略分離出來的，它應說明組織有可能監有些組織為電子郵件的使用開發了專門的策略。電子郵件正越來越多地用于組織的業務處理。電子郵件是使組織的敏感信息毫無價值的另一種方法。當一個組織選擇定義電子郵件策略時，應考慮到內外兩方面的問題。3.2.5郵件策略有些組織為電子郵件的使用開發了專門的策略。電子郵件正越來越多1.內部郵件問題電子郵件策略不應和其他的人力資源策略相沖突。例如，電子郵件策略應規定禁止利用電子郵件進行性騷擾；又如，規定在電子郵件中不用非正式用語和同伴通信。如果組織要對電子郵件的某些關鍵字或附件進行監控，則策略應說明這類監控可能發生。策略還應對員工說明不能期望在電子郵件中有隱私。1.內部郵件問題2.外部郵件問題電子郵件可能包含一些敏感信息。郵件策略說明在什么條件下是可以接受的，并且在信息策略中指出該類信息應如何保護。也可能在外部郵件的底部指出相應的信息必須保護。郵件策略還應識別進入的電子郵件問題。例如，很多組織測試進入的文件附件是否有病毒。該策略應指向組織的安全策略關于相應的病毒配置問題。2.外部郵件問題用戶管理程序是最容易被組織忽視的安全程序，因而提供了最大風險的可能。保護系統不被非授權者使用的安全機制是一個很好的事情，但是如計算機系統的使用沒有合適的管理也將使其完全無用。1.新員工程序應為新員工提供一個正確訪問計算機資源的程序。應該由人力資源部門和系統管理員協同工作。理想的狀況是新員工請求使用計算機資源，該新員工的管理者簽發批準，然后系統管理員將為該新員工提供合適的系統和文件的訪問。這個程序也應用于新的顧問和臨時員工，并標明相應的有效期。3.2.6用戶管理程序用戶管理程序是最容易被組織忽視的安全程序，因而提供了最大風險2.工作調動的員工程序對工作調動的員工也應開發一個專門的程序。這個程序的開發由人力資源和系統管理部門協助。員工原來的管理和新管理者應確定換到新崗位上的員工已經不需要原來的訪問或者需要新的訪問。相應的系統管理員依此進行變更。3.離職員工的程序最重要的用戶管理程序是將離職的員工從系統中除去。該程序也需人力資源和系統管理部門協助。當人力資源部認定一個員工離職，將提前通知相應的系統管理員，這樣當該員工在職的最后一天就可將其賬戶停止。2.工作調動的員工程序系統管理程序是確定安全和系統管理如何配合工作以使組織的系統安全。系統管理程序應確定各種和安全相關的系統管理如何完成。當談及系統管理員監控網絡的能力時，該程序應由計算機用戶策略確定，并反映組織期望系統如何管理。1.軟件更新該程序應確定一個系統管理員多長時間檢查新的補丁或從廠家升級。希望這些新的補丁不是當出現時剛剛安裝，這樣在補丁安裝之前就規定測試。最后，當這樣的升級發生時（通常在維護窗口）該程序應做文檔，當升級失敗時放棄程序。3.2.7系統管理程序系統管理程序是確定安全和系統管理如何配合工作以使組織的系統安2.漏洞掃描每個組織應開發一個識別計算機系統漏洞的程序。通常由安全方面掃描漏洞，由系統管理做補丁。已有一些商業的和免費使用的掃描工具。程序應確定多長間隔需進行掃描。掃描的結果應傳給系統管理來糾錯和執行。3.策略檢查組織的安全策略確定每個系統的安全要求。定期的外部或內部審計用來檢查是否和策略一致。在審計時，安全應和系統管理一起工作以檢查系統的一致。可以用自動的工具，也可以用手動進行。2.漏洞掃描4.登錄檢查來自各種系統的登錄應定期檢查。可以和安全員一起以自動方式檢查這些登錄。如采用自動工具，程序應規定工具的配置以及希望它如何處理。如采用手動方式，程序應規定多長間隔檢查登錄文件以及事件類型等。5.常規監控一個組織應該有一個程序歸檔說明何時網絡通信監控發生。有些組織可能選擇連續執行這種類型的監控，有些則選擇隨機監控。無論如何，總應進行監控，且歸檔。4.登錄檢查當計算機事故發生時，事故響應程序確定該組織將如何作出反應。根據事故的不同，事故響應程序應確定誰有權處理，以及應該做什么，但無須說明如何做。后者將留給處理事故的人決定。1.事故處理目標當處理事故時，事故響應程序應確定該組織的目標，包括保護組織的系統、保護組織的信息、恢復運行、起訴肇事者、減少壞的宣傳等。這些目標不是惟一的，可以有多個目標。關鍵是要在事故發生前確定組織的目標。3.2.8事故響應程序當計算機事故發生時，事故響應程序確定該組織將如何作出反應。根2.事件識別識別一個事故或許是事故響應中最困難的一部分。某些事故是顯而易見的，如Web站點的外貌被損壞。有些事故可能是由于入侵攻擊或用戶的誤操作，如數據文件的丟失。在公布事故以前，應由系統管理員做某些檢查，以決定事故是否確實發生了。這部分程序能確定某些事件是顯而易見的事故。而某些不是顯而易見的事故，管理員應確定檢查的步驟。在得到決定事故的更多信息后，應組織一個事故響應組，應包括以下部門：安全、系統管理、法律、人力資源、公共關系等。2.事件識別3.信息控制在發布事故消息時，組織要控制應發布什么樣的信息。有多少信息需發布取決于該事故對組織及其客戶的影響程度。信息發布的方式、方法也應考慮對組織的正面效應。4.響應一個組織對事故流的響應直接取決于事故響應程序的目標。例如，保護系統和信息是目標，那么將系統從網絡中移走，并進行必要的修復。另一種情況可能是保持系統在網上的在線狀態以及繼續服務或允許入侵者再回來，這樣可對入侵者跟蹤并設置陷阱。3.信息控制5.授權事故響應的一個重要部分是決定事故響應組的負責人，授權采取行動，包括確定系統是否要離線，以及和客戶、新聞機構、律師部門聯系等。通常選擇一個組織的官員來擔任，他可以是事故響應組的成員，也可以是顧問。負責人在事故響應程序開發時就要作出決定，而不是事故發生時決定。6.文檔事故響應程序應該規定事故響應組建立其行動檔案。有兩個好處，其一是有助于事故過后了解所發生的事件全過程；其二是如果要起訴，則有助于法律實施，對事故響應組也可作為一本參考手冊，有助于他們處理事故。5.授權7.程序的測試事故響應是很實際的，不能期望第一次使用事故響應程序，每一件事都很完美。因此當開發完事故響應程序后，應廣泛征求意見，找出其不足之處并改進。事故響應程序還需在現實世界中測試，可以做一些模擬攻擊，并觀察其響應效果。這些測試可事先公布，也可不公布。7.程序的測試配置管理程序規定修改組織的計算機系統狀態的步驟。該程序的目的是確定合適的變化不會對安全事故的識別產生不好的影響。因此新的配置要從安全的角度予以檢查。1.系統的初始狀態對于一個新的系統，它的狀態應有文檔，包括操作系統及其版本、補丁水平、應用程序及其版本。2.變更的控制程序當系統變更時，應執行配置控制程序。該程序應在變更實施前對計劃的變更進行測試。當提出變更請求時，應將變更前后的程序存檔。在變更以后，應更新系統配置以反映系統的新的狀態。3.2.9配置管理程序配置管理程序規定修改組織的計算機系統狀態的步驟。該程序的目的對生成新系統或能力的項目應有一個設計方法，以提供該組織生成新的系統的步驟。在設計之初就要考慮和安全有關的問題，使最后完成的系統能和安全問題相一致。設計過程中，與安全相關的步驟如下：（1）需求定義在任何一個項目的需求定義階段，應將安全需求列入。設計方法應指出組織的安全策略和信息策略的要求。特別是要確定敏感信息和關鍵信息的要求。3.2.10設計方法對生成新系統或能力的項目應有一個設計方法，以提供該組織生成新（2）設計在項目的設計階段，設計方法應確保項目是安全的。安全人員應成為設計組成員或作為項目設計審查人員。在設計中對不能滿足安全要求之處應特別指出，并予以妥善解決。（3）測試當項目進入測試階段，應同時進行安全測試。安全人員應協助編寫測試計劃。安全要求有可能難以測試，例如，難以測試以確定入侵者不可能看到敏感信息。（4）實施項目實施階段同樣有安全要求。實施組應使用合適的配置管理程序。在新系統成為產品以前，安全人員應檢查系統的漏洞和合適的安全策略規則。（2）設計每個組織都應有一個災難恢復計劃。然而，很多組織卻沒有，因為他們認為災難恢復計劃要花很多錢，需要建立一個熱備站，配置場地和必要的設備，以便隨時接替運行。事實上，災難恢復計劃并不一定需要這樣的熱備站，可以是很簡單的一些措施。只有當很多甚至全部計算機系統不可用，要決定該組織如何繼續運行時，才會比較復雜。一個恰當的災難恢復計劃應考慮各種故障的級別：單個系統、數據中心、整個系統。3.2.11災難恢復計劃每個組織都應有一個災難恢復計劃。然而，很多組織卻沒有，因為他1.單個系統或設備故障單個系統或設備故障包括盤、主板、網絡接口卡、元件的故障。作為災難恢復計劃的一部分，應該檢查組織的環境以識別任何單個系統或設備故障的影響。對每個故障，應在可允許的時間內修復并恢復運行。“可允許的時間”是根據對系統的關鍵程度以及解決方案所花的費用而定。不論什么樣的解決方案，災難恢復計劃必須能修復故障，使系統繼續運行。災難恢復計劃必須和組織的運行部門結合，使他們知道應采取什么步驟恢復系統運行。1.單個系統或設備故障2.數據中心事件災難恢復計劃還為數據中心的主要事件提供一個程序。例如，發生火災，數據中心不能使用，應采取什么步驟重新恢復其能力。其中必須解決的一個問題是有可能丟失設備，災難恢復計劃應包括如何得到備用的設備。假如數據中心不能用了，但仍有一些設備完好，災難恢復計劃應考慮如何添加新的設備以及如何重建通信線路。熱備站是一種解決方案，但費錢。如果沒有熱備站，災難恢復計劃應確定其他可能的場地，重新建造計算機系統。2.數據中心事件3.場地破壞事件場地破壞事件是災難恢復計劃通常需要考慮的一類事件。雖然這類事件發生的概率較小，但對一個組織的危害極大。對每類事件，組織的每個部門都應參與。第一步是識別必須重建的關鍵能力，以使該組織繼續生存。如果是一個電子商務站點，則最關鍵的系統可能是計算機系統和網絡。如果是生產產品的工廠，則制造部門是關鍵，它的優先度高于計算機系統。3.場地破壞事件4.災難恢復計劃的測試災難恢復計劃是一個十分復雜的文檔，通常不是一次寫成就立即成功，因此需要測試。測試的必要性不僅在于檢驗其正確性，而且在于檢查其是否處于備用狀態。災難恢復計劃的測試可能十分昂貴且有破壞作用。所以一個組織通常指定一些關鍵員工定期地對災難恢復計劃進行巡視，而且每年進行一次全面的測試。4.災難恢復計劃的測試安全策略的生成分成以下幾步。1.確定重要的策略對一個組織而言，并非需要所有有關安全的策略，而應確定哪些安全策略對該組織是重要的。這取決于該組織的業務性質。安全人員應該識別什么是最重要的安全策略，并與系統管理員、人力資源部門、咨詢辦公室協作，以確定哪些策略是最重要的。3.3安全策略的使用

3.3.1安全策略的生成安全策略的生成分成以下幾步。3.3安全策略的使用

3.2.確定可接受的行為某些員工的行為是可接受的，某些卻是不可接受的，這取決于該組織的文化。例如,某些組織允許所有員工在Internet上沖浪，而沒有任何限制。組織的文化使員工及管理者相信這樣做能很好完成他們的任務。而另一個組織卻對員工訪問Internet有嚴格的限制，甚至限制從某些不可接受的Web站點下載軟件。這兩個組織的策略完全不同。事實上，第一個組織決定根本無須實施Internet使用策略。對安全專業人員來說應該知道不是所有策略對所有組織都是適用的。安全專業人員在為一個組織草擬安全策略以前應花一些時間去了解該組織的文化以及員工的期望。