必須指出的是:如果不知道要保護什麼,那麼根本無法保證系統的安全。必須要有一個安全策略,基於這樣的一個策略決定哪些東西允許別人訪問,哪些不允許。制定一個安全策略完全依賴於對於安全的定義。下面的這些問題提供一些一般性的指導方針:
你怎麼定義保密的和敏感的信息?
你想重點防範哪些人?
遠程用戶有必要訪問你的系統嗎?
系統中有保密的或敏感的信息嗎?
如果這些信息被泄露給你的競爭者和外面的人會有什麼後果?
口令和加密能夠提供足夠的保護嗎?
你想訪問 Internet嗎?
你允許系統在 Internet上有多大的訪問量?
如果發現系統被******了,下一步該怎麼做?
這個列表很短,真正的安全策略可能包含比這多得多的內容。可能要做的第一件事是:評
估一下自己的“偏執”程度。任何一個安全策略多少都有一定程度的“偏執”,也就是確定到底
在多大程度上相信別人,包括內部的人和外部的人。安全策略必須在允許用戶合理地使用可以
完成工作所必須的信息和完全禁止用戶使用信息之間找到平衡點。這個平衡點是由系統策略決
定的。