小型設(shè)計(jì)院的安全策略.ppt

1、1,組織的安全策略,1.組織應(yīng)該有一個(gè)完整的信息安全策略 我們可以通過下面一個(gè)例子來理解這種情況。 某設(shè)計(jì)院有工作人員25人，每人一臺(tái)計(jì)算機(jī)，Windows 98對等網(wǎng)絡(luò)通過一臺(tái)集線器連接起來，公司沒有專門的IT管理員。公司辦公室都在二樓，同一樓房內(nèi)還有多家公司，在一樓入口處趙大爺負(fù)責(zé)外來人員的登記，但是他經(jīng)常分辨不清楚是不是外來人員。設(shè)計(jì)院由市內(nèi)一家保潔公司負(fù)責(zé)樓道和辦公室的清潔工作?？偨?jīng)理陳博士是位老設(shè)計(jì)師，他經(jīng)常撥號(hào)到Internet訪問一些設(shè)計(jì)方面的信息，他的計(jì)算機(jī)上還安裝了代理軟件，其他人員可以通過這個(gè)代理軟件訪問Internet。如果該設(shè)計(jì)院的信息安全管理停留在一種放任的狀態(tài)，會(huì)發(fā)

2、生什么問題呢？下列情況都是有可能的：,2,小偷順著一樓的防護(hù)欄潛入辦公室偷走了設(shè)計(jì)院的電腦等值錢的物理設(shè)備（可在設(shè)計(jì)院的二樓裝上防護(hù)欄，防止類似事件發(fā)生） 保潔公司人員不小心弄臟了準(zhǔn)備發(fā)給客戶的設(shè)計(jì)方案；錯(cuò)把掉在地上的合同稿當(dāng)廢紙收走了；不小心碰掉了墻角的電源插銷可能會(huì)由于員工忘記將所用電腦關(guān)閉而造成公司一些有用數(shù)據(jù)的丟失（要求員工按照公司的信息安全策略注意保護(hù)好公司數(shù)據(jù)和文件的安全） 補(bǔ)：小李刪除敏感數(shù)據(jù)時(shí)，沒有使用不可恢復(fù)的刪除工具進(jìn)行刪除 ，被設(shè)計(jì)院的對手設(shè)計(jì)竊取了這些敏感數(shù)據(jù) 某設(shè)計(jì)師張先生是公司的骨干，他嫌公司提供的設(shè)計(jì)軟件版本太舊，自己安裝了盜版的新版本設(shè)計(jì)程序。盡管這個(gè)盜版程序使

3、用一段時(shí)間就會(huì)發(fā)生莫名其妙的錯(cuò)誤導(dǎo)致程序關(guān)閉，可是張先生還是喜歡新版本的設(shè)計(jì)程序，并找到一些辦法避免錯(cuò)誤發(fā)生時(shí)丟失文件。,3,后來張先生離開設(shè)計(jì)院，新員工小李使用原來張先生的計(jì)算機(jī)。小李抱怨了多次計(jì)算機(jī)不正常，沒有人理會(huì)，最后決定自己重新安裝操作系統(tǒng)和應(yīng)用程序。 小李把自己感覺重要的文件備份到陳博士的計(jì)算機(jī)上，聽朋友介紹Windows2000比較穩(wěn)定，他決定安裝Windows2000，于是他就重新給硬盤分區(qū)，成功完成了安裝。（小李應(yīng)在重新分區(qū)前，應(yīng)弄清其電腦上哪些屬于重要文件，不然就會(huì)引起不必要的麻煩，造成公司重要數(shù)據(jù)的丟失）,4,陳博士對張先生的不辭而別沒有思想準(zhǔn)備，甚至還沒來得及交接一下張

4、先生離開時(shí)正負(fù)責(zé)的幾個(gè)設(shè)計(jì)項(xiàng)目。這幾天他一閑下來就整理張先生的設(shè)計(jì)方案，可是突然一天提示登錄原來張先生的那臺(tái)計(jì)算機(jī)需要密碼了。小李并不熟悉Windows2000，只是說自己并沒有設(shè)置密碼。由于張先生未經(jīng)公司許可安裝非正式版權(quán)的軟件，并且在離職是沒有進(jìn)行完善的交接，這將會(huì)會(huì)給設(shè)計(jì)院接下來的工作帶來不便 （要求設(shè)計(jì)院員工嚴(yán)格遵守設(shè)計(jì)院的信息安全策略，如：不經(jīng)公司允許不得私自在公司電腦上安裝軟件。員工在更換崗位時(shí)，需進(jìn)行密碼口令等的完善交接）,5,盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計(jì)算機(jī)上，可是陳博士沒有找到自己需要的文件。（對重要文件公司人員應(yīng)該及時(shí)進(jìn)行備份并采取適當(dāng)?shù)募用艽胧咨票４妫?/p>

5、 大家通過陳博士的計(jì)算機(jī)訪問Internet，收集了很多有用的資料。可是最近好幾臺(tái)計(jì)算機(jī)在啟動(dòng)的時(shí)候就自動(dòng)連接上Internet，陳博士收到幾封主題不同的電子郵件，內(nèi)容竟然包括幾個(gè)還沒有提交的設(shè)計(jì)稿，可是員工都說沒有發(fā)過這樣的信。 補(bǔ)：某員工小張?jiān)诠倦娔X上使用自己U盤時(shí)，未提前查毒，結(jié)果U盤里存在的病毒使公司電腦受到感染，致使電腦癱瘓,6,設(shè)計(jì)院安全策略,總則：為了提高員工信息安全防范意識(shí)和操作技能，保障公司信息安全，根據(jù)公司信息安全管理制度的要求，特制定本策略 數(shù)據(jù)和文件安全 第一條 公司業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、重要文件、技術(shù) 文檔 等均屬于公司信息資產(chǎn)，員工應(yīng)注意保護(hù)，防止數(shù)據(jù)泄露（這樣就不

6、存在保潔公司人員弄臟設(shè)計(jì)方案或者收走合同稿類似事情的存在） 第二條 刪除敏感數(shù)據(jù)時(shí)，要求使用不可恢復(fù)的刪除工具進(jìn)行刪除。 第三條 個(gè)人所用電腦上一般不保存公司機(jī)密數(shù)據(jù)，如確需保存時(shí)，應(yīng)采取適當(dāng)?shù)募用艽胧⑼咨拼娣?，使用完后及時(shí)刪除。,7,系統(tǒng)的使用及人員管理 第四條 員工不應(yīng)使用未經(jīng)公司許可的軟件，特別 是沒有正式版權(quán)的軟件 第五條 下班時(shí)個(gè)人所用電腦應(yīng)關(guān)閉，辦公桌上敏感資料、插在電腦上的硬件密鑰等應(yīng)鎖存。 第六條 更換工作崗位時(shí)，員工應(yīng)主動(dòng)上交用戶權(quán)限、口令密碼等 第七條 員工不得將公司配備的個(gè)人工作用筆記本電腦借給他人使用。 第八條 員工不得私自在公司內(nèi)部系統(tǒng)中設(shè)立網(wǎng)站、論壇、游戲等服務(wù)

7、站點(diǎn) 網(wǎng)絡(luò)的使用 第九條 注意遠(yuǎn)程撥入用戶、遠(yuǎn)程VPN帳戶的安全保密，員工不得將撥入號(hào)碼、用戶密碼等泄露給他人。,8,病毒防范 第十條 在使用U盤、光盤、軟盤等移動(dòng)介質(zhì)前，一定要先進(jìn)行病毒檢查；在業(yè)務(wù)終端上使用的U盤等應(yīng)作到專用；盡量減少在業(yè)務(wù)終端上使用移動(dòng)介質(zhì)；不明來歷的移動(dòng)介質(zhì)應(yīng)謹(jǐn)慎使用。 第十一條 員工應(yīng)檢查確認(rèn)個(gè)人所用電腦已安裝好防病毒軟件，如未安裝應(yīng)及時(shí)聯(lián)系信息安全管理員安裝或信息安全管理員指導(dǎo)下自行安裝。 第十二條 個(gè)人所用電腦上發(fā)現(xiàn)病毒時(shí)，應(yīng)及時(shí)將情況報(bào)告信息安全管理員。業(yè)務(wù)終端上發(fā)現(xiàn)病毒時(shí)，應(yīng)立即斷開網(wǎng)絡(luò)，全面查殺并經(jīng)信息安全管理員確認(rèn)后方可再次連入網(wǎng)絡(luò)。,9,第十三條 員工個(gè)人所用電腦每周至少進(jìn)行一次病毒全面查殺，防病毒軟件一般設(shè)置為定期自動(dòng)查殺，如未設(shè)置，也可手動(dòng)進(jìn)行查殺 口令使用 第十四條 新用戶在第一次登錄時(shí)應(yīng)修改其臨時(shí)設(shè)置的口令；設(shè)置缺省口令的新用戶，用戶生效后及時(shí)登錄并修改口令。 第十五條 注意口令保密。不得將個(gè)人用戶口令泄露給他人，也不得打聽或猜測他人用戶口令。避免將口令記錄在他人可能容易獲取的地方；避免在自動(dòng)登錄過程中以不安全的方式保存口令。 第十六條 定期修改口令。業(yè)務(wù)終端登錄用戶和業(yè)務(wù)類用戶每季度至少修改一次，重要用戶根據(jù)其他制度要求增加修改頻率。普通辦公終端登錄用戶和辦公類用戶半年至少修改一次。避免重復(fù)使用舊口令。,10,其他 第十七條 關(guān)于