重要的是要指出,如果您尚未确定需要保护什么以及防止谁,则无法实施安全措施。您需要一项安全策略;一份列出您认为允许和不允许的事项的清单,以此作为任何有关安全决策的基础。该策略还应确定您对安全违规行为的响应。在制定安全策略时应考虑的事项将完全取决于您对安全的定义。以下问题的答案应提供一些通用指南
您如何对机密或敏感信息进行分类?
系统是否包含机密或敏感信息?
您究竟要防范谁?
远程用户真的需要访问您的系统吗?
密码或加密是否提供足够的保护?
您需要访问互联网吗?
您希望允许从互联网访问您的系统的程度有多大?
如果您发现安全漏洞,您将采取什么行动?