小型設(shè)計院的安全策略.ppt

1、1,組織的安全策略,1.組織應(yīng)該有一個完整的信息安全策略 我們可以通過下面一個例子來理解這種情況。 某設(shè)計院有工作人員25人，每人一臺計算機(jī)，Windows 98對等網(wǎng)絡(luò)通過一臺集線器連接起來，公司沒有專門的IT管理員。公司辦公室都在二樓，同一樓房內(nèi)還有多家公司，在一樓入口處趙大爺負(fù)責(zé)外來人員的登記，但是他經(jīng)常分辨不清楚是不是外來人員。設(shè)計院由市內(nèi)一家保潔公司負(fù)責(zé)樓道和辦公室的清潔工作?？偨?jīng)理陳博士是位老設(shè)計師，他經(jīng)常撥號到Internet訪問一些設(shè)計方面的信息，他的計算機(jī)上還安裝了代理軟件，其他人員可以通過這個代理軟件訪問Internet。如果該設(shè)計院的信息安全管理停留在一種放任的狀態(tài)，會發(fā)

2、生什么問題呢？下列情況都是有可能的：,2,小偷順著一樓的防護(hù)欄潛入辦公室偷走了設(shè)計院的電腦等值錢的物理設(shè)備（可在設(shè)計院的二樓裝上防護(hù)欄，防止類似事件發(fā)生） 保潔公司人員不小心弄臟了準(zhǔn)備發(fā)給客戶的設(shè)計方案；錯把掉在地上的合同稿當(dāng)廢紙收走了；不小心碰掉了墻角的電源插銷可能會由于員工忘記將所用電腦關(guān)閉而造成公司一些有用數(shù)據(jù)的丟失（要求員工按照公司的信息安全策略注意保護(hù)好公司數(shù)據(jù)和文件的安全） 補(bǔ)：小李刪除敏感數(shù)據(jù)時，沒有使用不可恢復(fù)的刪除工具進(jìn)行刪除 ，被設(shè)計院的對手設(shè)計竊取了這些敏感數(shù)據(jù) 某設(shè)計師張先生是公司的骨干，他嫌公司提供的設(shè)計軟件版本太舊，自己安裝了盜版的新版本設(shè)計程序。盡管這個盜版程序使

3、用一段時間就會發(fā)生莫名其妙的錯誤導(dǎo)致程序關(guān)閉，可是張先生還是喜歡新版本的設(shè)計程序，并找到一些辦法避免錯誤發(fā)生時丟失文件。,3,后來張先生離開設(shè)計院，新員工小李使用原來張先生的計算機(jī)。小李抱怨了多次計算機(jī)不正常，沒有人理會，最后決定自己重新安裝操作系統(tǒng)和應(yīng)用程序。 小李把自己感覺重要的文件備份到陳博士的計算機(jī)上，聽朋友介紹Windows2000比較穩(wěn)定，他決定安裝Windows2000，于是他就重新給硬盤分區(qū)，成功完成了安裝。（小李應(yīng)在重新分區(qū)前，應(yīng)弄清其電腦上哪些屬于重要文件，不然就會引起不必要的麻煩，造成公司重要數(shù)據(jù)的丟失）,4,陳博士對張先生的不辭而別沒有思想準(zhǔn)備，甚至還沒來得及交接一下張

4、先生離開時正負(fù)責(zé)的幾個設(shè)計項(xiàng)目。這幾天他一閑下來就整理張先生的設(shè)計方案，可是突然一天提示登錄原來張先生的那臺計算機(jī)需要密碼了。小李并不熟悉Windows2000，只是說自己并沒有設(shè)置密碼。由于張先生未經(jīng)公司許可安裝非正式版權(quán)的軟件，并且在離職是沒有進(jìn)行完善的交接，這將會會給設(shè)計院接下來的工作帶來不便 （要求設(shè)計院員工嚴(yán)格遵守設(shè)計院的信息安全策略，如：不經(jīng)公司允許不得私自在公司電腦上安裝軟件。員工在更換崗位時，需進(jìn)行密碼口令等的完善交接）,5,盡管小李告訴陳博士已經(jīng)把文件備份在陳博士的計算機(jī)上，可是陳博士沒有找到自己需要的文件。（對重要文件公司人員應(yīng)該及時進(jìn)行備份并采取適當(dāng)?shù)募用艽胧咨票４妫?/p>

5、 大家通過陳博士的計算機(jī)訪問Internet，收集了很多有用的資料?？墒亲罱脦着_計算機(jī)在啟動的時候就自動連接上Internet，陳博士收到幾封主題不同的電子郵件，內(nèi)容竟然包括幾個還沒有提交的設(shè)計稿，可是員工都說沒有發(fā)過這樣的信。 補(bǔ)：某員工小張?jiān)诠倦娔X上使用自己U盤時，未提前查毒，結(jié)果U盤里存在的病毒使公司電腦受到感染，致使電腦癱瘓,6,設(shè)計院安全策略,總則：為了提高員工信息安全防范意識和操作技能，保障公司信息安全，根據(jù)公司信息安全管理制度的要求，特制定本策略 數(shù)據(jù)和文件安全 第一條 公司業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、重要文件、技術(shù) 文檔 等均屬于公司信息資產(chǎn)，員工應(yīng)注意保護(hù)，防止數(shù)據(jù)泄露（這樣就不

6、存在保潔公司人員弄臟設(shè)計方案或者收走合同稿類似事情的存在） 第二條 刪除敏感數(shù)據(jù)時，要求使用不可恢復(fù)的刪除工具進(jìn)行刪除。 第三條 個人所用電腦上一般不保存公司機(jī)密數(shù)據(jù)，如確需保存時，應(yīng)采取適當(dāng)?shù)募用艽胧?，并妥善存放，使用完后及時刪除。,7,系統(tǒng)的使用及人員管理 第四條 員工不應(yīng)使用未經(jīng)公司許可的軟件，特別 是沒有正式版權(quán)的軟件 第五條 下班時個人所用電腦應(yīng)關(guān)閉，辦公桌上敏感資料、插在電腦上的硬件密鑰等應(yīng)鎖存。 第六條 更換工作崗位時，員工應(yīng)主動上交用戶權(quán)限、口令密碼等 第七條 員工不得將公司配備的個人工作用筆記本電腦借給他人使用。 第八條 員工不得私自在公司內(nèi)部系統(tǒng)中設(shè)立網(wǎng)站、論壇、游戲等服務(wù)

7、站點(diǎn) 網(wǎng)絡(luò)的使用 第九條 注意遠(yuǎn)程撥入用戶、遠(yuǎn)程VPN帳戶的安全保密，員工不得將撥入號碼、用戶密碼等泄露給他人。,8,病毒防范 第十條 在使用U盤、光盤、軟盤等移動介質(zhì)前，一定要先進(jìn)行病毒檢查；在業(yè)務(wù)終端上使用的U盤等應(yīng)作到專用；盡量減少在業(yè)務(wù)終端上使用移動介質(zhì)；不明來歷的移動介質(zhì)應(yīng)謹(jǐn)慎使用。 第十一條 員工應(yīng)檢查確認(rèn)個人所用電腦已安裝好防病毒軟件，如未安裝應(yīng)及時聯(lián)系信息安全管理員安裝或信息安全管理員指導(dǎo)下自行安裝。 第十二條 個人所用電腦上發(fā)現(xiàn)病毒時，應(yīng)及時將情況報告信息安全管理員。業(yè)務(wù)終端上發(fā)現(xiàn)病毒時，應(yīng)立即斷開網(wǎng)絡(luò)，全面查殺并經(jīng)信息安全管理員確認(rèn)后方可再次連入網(wǎng)絡(luò)。,9,第十三條 員工個人所用電腦每周至少進(jìn)行一次病毒全面查殺，防病毒軟件一般設(shè)置為定期自動查殺，如未設(shè)置，也可手動進(jìn)行查殺 口令使用 第十四條 新用戶在第一次登錄時應(yīng)修改其臨時設(shè)置的口令；設(shè)置缺省口令的新用戶，用戶生效后及時登錄并修改口令。 第十五條 注意口令保密。不得將個人用戶口令泄露給他人，也不得打聽或猜測他人用戶口令。避免將口令記錄在他人可能容易獲取的地方；避免在自動登錄過程中以不安全的方式保存口令。 第十六條 定期修改口令。業(yè)務(wù)終端登錄用戶和業(yè)務(wù)類用戶每季度至少修改一次，重要用戶根據(jù)其他制度要求增加修改頻率。普通辦公終端登錄用戶和辦公類用戶半年至少修改一次。避免重復(fù)使用舊口令。,10,其他 第十七條 關(guān)于