必须指出的是:如果不知道要保护什么,那么根本无法保证系统的安全。必须要有一个安全策略,基于这样的一个策略决定哪些东西允许别人访问,哪些不允许。制定一个安全策略完全依赖于对于安全的定义。下面的这些问题提供一些一般性的指导方针:
你怎么定义保密的和敏感的信息?
你想重点防范哪些人?
远程用户有必要访问你的系统吗?
系统中有保密的或敏感的信息吗?
如果这些信息被泄露给你的竞争者和外面的人会有什么后果?
口令和加密能够提供足够的保护吗?
你想访问 Internet吗?
你允许系统在 Internet上有多大的访问量?
如果发现系统被******了,下一步该怎么做?
这个列表很短,真正的安全策略可能包含比这多得多的内容。可能要做的第一件事是:评
估一下自己的“偏执”程度。任何一个安全策略多少都有一定程度的“偏执”,也就是确定到底
在多大程度上相信别人,包括内部的人和外部的人。安全策略必须在允许用户合理地使用可以
完成工作所必须的信息和完全禁止用户使用信息之间找到平衡点。这个平衡点是由系统策略决
定的。