Ai được quyền dùng tài nguyên mạng
Ta phải liệt kê tất cả người dùng cần truy nhập tới tài nguyên mạng. Không nhất thiết liệt kê toàn bộ người dùng. Nếu phân nhóm cho người dùng thì việc liệt kê sẽ đơn giản hơn. Đồng thời ta cũng phải liệt kê một nhóm đặc biệt gọi là các người dùng bên ngoài, đó là những người truy nhập từ một trạm đơn lẻ hoặc từ một mạng khác.
Sử dụng tài nguyên thế nào cho đúng
Sau khi xác định những người dùng được phép truy nhập tài nguyên mạng, chúng ta phải tiếp tục xác định xem các tài nguyên đó sẽ được dùng như thế nào. Như vậy ta phải đề ra đường lối cho từng lớp người sử dụng như: Những nhà phát triển phần mềm, sinh viên, những người sử dụng ngoài.
Ai có quyền cấp phát truy nhập
Chính sách an ninh mạng phải xác định rõ ai có quyền cấp phát dịch vụ cho người dùng. Đồng thời cũng phải xác định những kiểu truy nhập mà người dùng có thể cấp phát lại. Nếu đã biết ai là người có quyền cấp phát truy nhập thì ta có thể biết được kiểu truy nhập đóđược cấp phát, biết được người dùng có được cấp phát quá quyền hạn không. Ta phải cân nhắc hai điều sau:
- Truy nhập dịch vụ có được cấp phát từ một điểm trung tâm không?
- Phương thức nào được dùng để tạo tài khoản mới và kết thúc truy nhập? Nếu một tổ chức lớn mà không tập trung thì tất nhiên là có nhiều điểm trung tâm để cấp phát truy nhập, mỗi điểm trung tâm phải chịu trách nhiệm cho tất cả các phần mà nó cấp phát truy nhập.
Người dùng có quyền hạn và trách nhiệm gì
Cần phải xác định rõ quyền lợi và nghĩa vụ của người sử dụng nhằm đảm bảo cho việc quản lý và hoạt động bình thường của mạng. Đảm bỏa tính minh bạch và riêng tư cho người dùng, cũngnhư người dùng phải có trách nhiệm bảo tài khoản của mình.
Người quản trị hệ thống có quyền hạn và trách nhiệm gì
Người quản trị hệ thống thường xuyên phải thu thập thông tin về các tệp trong các thư mục riêng của người dùng để tìm hiểu các vấn đề hệ thống. Ngược lại, người dùng phải giữ gìn bí mật riêng tư về thông tin của họ. Nếu an ninh có nguy cơ thì người quản trị phải có khảnăng linh hoạt để giải quyết vấn đề.
Làm gì với các thông tin quan trọng
Theo quan điểm an ninh, các dữ liệu cực kỳ quan trọng phải được hạn chế, chỉ một số ít máy và ít người có thể truy nhập. Trước khi cấp phát truy nhập cho một người dùng, phải cân nhắc xem nếu anh ta có khả năng đó thì anh ta có thể thu được các truy nhập khác không. Ngoài ra cũng phải báo cho người dùng biết là dịch vụ nào tương ứng với việc lưu trữ thông tin quan trọng của anh ta.