通常安全策略的制定应考虑哪几方面的内容

通常安全策略的制定应考虑以下几方面的内容：

• 网络：这个系统正常运行需要多少网络访问量？用户需要对系统进行远程访问吗？这个访问是源自于网络可信的部分还是不可信的部分？组织会支持取消所有未加密的访问服务吗？来自这个系统的文件需要和别的系统共享吗？这个系统能进行远程管理吗？防火墙或数据包过滤设备会保护网络访问吗？如果不能，能在平台上实现数据包过滤吗？如果能，防火墙能够支持预期的系统吞吐量吗？

• 系统软件：该系统在最近是否发布了标准软件版本或补丁？这些软件版本是否符合供应商推荐的安全补丁等级？有没有不再使用并可以卸载的主要内部软件包？是否使用了基于菜单或GUI的管理程序？关键的软件组件是否存有正确的日志？这些日志是循环的还是会归档？是否使用标准的图像来建立新的系统以保持一致？

• 文件系统：文件系统是本地的，还是有远程的装入卷？这些远程装入卷是否使用安全协议？本地卷是否正确划分了分区？日志是否会超出其存储空间并损坏系统？是否使用了基于操作系统的加密技术来保护文件？可执行文件是否受到合理限制？SUID（SetUserID）的功能是否受限于关键的可执行文件？系统是否正确地备份？

• 用户：哪些用户需要系统的访问权？他们是否使用了强密码？密码是否有期限要求？账户的储存和管理是本地的还是使用一个公用目录？用户账户是否被定期审核和重新验证？谁能创建账户？基于角色的账户能否执行特权功能？是否对使用进行了监控？是否设置了用户路径和权限集？

• 物理:系统是否位于安全的数据中心？它是否连接到安全的电源？是否有合适的温度调控系统？系统控制台是否置于锁好的机柜里？控制台在处于不活动状态一段时间后是否会自动退出系统？