48、网络安全基础与用户认证指南

网络安全基础与用户认证指南

一、网络安全资源与策略

在当今数字化时代，网络安全至关重要。有一些不错的网络安全资源可供我们使用。比如，系统管理、网络与安全（SANS）协会提供信息丰富的安全时事通讯，每周通过电子邮件发送，还有实用的在线阅览室，相关资源可从其网站 http://www.sans.org 获取。另外，一些漏洞利用网站也有一定价值，像 http://www.insecure.org ，它不仅提供当前漏洞利用的描述，还有大量其他有用信息。

制定网络安全策略是保障网络安全的关键一步。安全很大程度上是“人的问题”，因为执行安全程序和安全被破坏时的责任都在于人。所以，只有当人们清楚自己的责任时，网络安全才会有效。一份完善的网络安全策略应明确以下几点：
1. 网络用户的安全责任 ：策略可能要求用户定期更改密码，使用符合特定准则的密码，或者检查自己的账户是否被他人访问。无论对用户有何种期望，都必须清晰明确地定义。
2. 系统管理员的安全责任 ：可能要求每台主机使用特定的安全措施、登录横幅消息，或者进行监控和计费程序。还可能列出不允许在连接到网络的任何主机上运行的应用程序。
3. 网络资源的正确使用 ：明确谁可以使用网络资源，能做什么，不能做什么。如果组织对电子邮件、文件和计算机活动记录进行安全监控，要清楚地告知用户这一政策。
4. 检测到安全问题时的行动 ：当检测到安全问题时，应该做什么，通知谁。在危机时刻很容易忽略一些事情，所以应该有一份详细的清单，列出系统管理员或用户在检测到安全漏洞时应采取的具体步骤，比如让用