信息系統(tǒng)管理制度--信息安全管理(4)

1、信息系統(tǒng)管理制度（4）為了規(guī)范公司IT 各項(xiàng)工作，提高IT 系統(tǒng)的可靠性，提高IT 系統(tǒng)的總體服務(wù)水平，并使得相關(guān)工作具有持續(xù)改善性及相互協(xié)作性，特制定統(tǒng)一的IT 網(wǎng)絡(luò)、軟件安全標(biāo)準(zhǔn)，統(tǒng)一的系統(tǒng)管理維護(hù)流程以及信息安全管理的目的與責(zé)任等。根據(jù)公司計(jì)算機(jī)應(yīng)用的需要，由IT 部制定本管理制度，并負(fù)責(zé)本管理制度的具體執(zhí)行。四、信息安全管理：A、目的制定信息安全制度的目的是：確保廣東東創(chuàng)公司的網(wǎng)絡(luò)系統(tǒng)運(yùn)行在一種合理的安全狀態(tài)下，同時(shí)不影響公司員工使用網(wǎng)絡(luò)。具體目標(biāo)包括：保障數(shù)據(jù)安全和系統(tǒng)安全。1、數(shù)據(jù)安全1.1 防止未經(jīng)授權(quán)修改數(shù)據(jù)；1.2 防止未經(jīng)發(fā)覺(jué)的遺漏或重復(fù)數(shù)據(jù)；1.3 防止未經(jīng)授權(quán)泄露數(shù)據(jù)；

2、1.4 確保數(shù)據(jù)發(fā)送者的身份正確無(wú)誤；1.5 確保數(shù)據(jù)接收者的身份正確無(wú)誤；1.6 數(shù)據(jù)的發(fā)送者、接收者以及數(shù)據(jù)的交換僅對(duì)發(fā)送者與接收者是可見(jiàn)的；1.7 在取得明確的可訪(fǎng)問(wèn)系統(tǒng)的授權(quán)后，才能與該系統(tǒng)通信。2、系統(tǒng)安全2.1 防止未經(jīng)授權(quán)或越權(quán)使用系統(tǒng)；2.2 控制網(wǎng)絡(luò)流量，防止過(guò)量的訪(fǎng)問(wèn)使系統(tǒng)資源過(guò)載導(dǎo)致的系統(tǒng)崩潰。內(nèi)部網(wǎng)絡(luò)流量超負(fù)荷，保障網(wǎng)絡(luò)安全。B、適用范圍信息安全制度適用于：1、任何與廣東東創(chuàng)公司網(wǎng)絡(luò)設(shè)備相連的IP 網(wǎng)絡(luò)，所有連接到上述網(wǎng)絡(luò)上的設(shè)備；2、任何廣東東創(chuàng)公司所屬數(shù)據(jù)傳輸經(jīng)過(guò)的網(wǎng)絡(luò)，所有上述網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)；3、對(duì)數(shù)據(jù)進(jìn)行管理的人員，如果要將新的設(shè)備增加到廣東東創(chuàng)公司的網(wǎng)絡(luò)中，

3、適用于該項(xiàng)目的負(fù)責(zé)人；4、所有連接到公司網(wǎng)絡(luò)中的設(shè)備，以及廣東東創(chuàng)公司職員在該網(wǎng)絡(luò)中使用的任何設(shè)備；C、責(zé)任在信息安全制度的涉及范圍內(nèi)，每個(gè)部門(mén)的信息安全由部門(mén)負(fù)責(zé)人或由其指定專(zhuān)人來(lái)負(fù)責(zé)。D、內(nèi)容1、內(nèi)部人員的攻擊，包括有意和無(wú)意兩種。主要表現(xiàn)為：1.1 保密觀念不強(qiáng)，或不懂遵守保密守則，隨便泄漏機(jī)密；打印復(fù)制機(jī)密文件；隨便打印出系統(tǒng)保密文件或向無(wú)關(guān)人員泄露有關(guān)機(jī)密信息；1.2 由于業(yè)務(wù)不熟練、操作失誤，導(dǎo)致文件丟失或者誤發(fā)，或因未遵守操作規(guī)則而造成泄密；1.3 因規(guī)章制度不健全造成人為泄露事故，如對(duì)機(jī)密文件管理不善，各種文件存放混亂，違章操作等造成不良后果；1.4 素質(zhì)差，缺乏責(zé)任心，沒(méi)有良

4、好的工作態(tài)度，明知故犯，或有意破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備；1.5 利用竊取系統(tǒng)的磁盤(pán)、磁帶或紙帶等記錄載體或利用被廢棄的打印文件、復(fù)寫(xiě)紙來(lái)竊取系統(tǒng)用戶(hù)信息；1.6 通過(guò)非法竊取他人的用戶(hù)名和口令來(lái)進(jìn)入他人的計(jì)算機(jī)，拷貝文件或進(jìn)行破壞；1.7 使用帶有病毒的外來(lái)介質(zhì)，帶毒的磁盤(pán)、存儲(chǔ)設(shè)備；1.8 瀏覽具有惡意代碼的互聯(lián)網(wǎng)網(wǎng)頁(yè)。2、外部人員的攻擊或非法訪(fǎng)問(wèn)2.1 外來(lái)設(shè)備企圖聯(lián)入本企業(yè)的局域網(wǎng)；2.2 通過(guò)物理連接試圖竊取管理員身份、或竊取重要文件；2.3 通過(guò)發(fā)送病毒郵件、蠕蟲(chóng)攻擊；2.4 外部人員非法在本企業(yè)局域網(wǎng)中安裝、使用木馬、嗅探器等程序。3、技術(shù)故障所帶來(lái)的威脅。通常指突發(fā)事故3.1 由于硬件

5、原因造成系統(tǒng)的故障；3.2 人為刪除系統(tǒng)重要文件：BOOT.INI、NTDETECT.COM、NTLDR.SYS、IO.SYS、MSDOS.SYS、C:WINNT 或C:WINDOWS 目錄及其中的文件等；3.3 新軟件、硬件的不當(dāng)安裝引起系統(tǒng)無(wú)法正常使用；3.4 內(nèi)部人員擅自使用其他軟件或更改網(wǎng)絡(luò)配置(如IP 地址)導(dǎo)致服務(wù)器不能正常工作；3.5 由于不可抗拒的因素導(dǎo)致硬件損壞。4、數(shù)據(jù)的意外丟失4.1 由于硬件的損壞導(dǎo)致數(shù)據(jù)丟失；4.2 由于系統(tǒng)的不穩(wěn)定導(dǎo)致數(shù)據(jù)丟失；4.3 電力系統(tǒng)故障造成的數(shù)據(jù)丟失；E、解決方案1、軟件資源的安全和管理方案主要規(guī)范軟盤(pán)、光盤(pán)、移動(dòng)存儲(chǔ)設(shè)備使用、網(wǎng)絡(luò)下載、

6、使用外網(wǎng)郵件、軟件安裝和使用過(guò)程中病毒的預(yù)防及使用控制。2、數(shù)據(jù)資源的安全和管理方案數(shù)據(jù)存儲(chǔ)的安全管理2.1 存放有業(yè)務(wù)數(shù)據(jù)或程序的磁盤(pán)、磁帶或光盤(pán)，應(yīng)視同文字記錄妥善保管。必須注意防磁、防潮、防火、防盜，必須垂直放置；2.2 對(duì)硬盤(pán)上的數(shù)據(jù)，要根據(jù)安全分級(jí)建立有效的權(quán)限，并嚴(yán)格管理，對(duì)于內(nèi)部訪(fǎng)問(wèn)級(jí)和機(jī)密級(jí)的數(shù)據(jù)要進(jìn)行嚴(yán)格的NTFS 權(quán)限設(shè)置和必要的加密，以確保硬盤(pán)數(shù)據(jù)的安全；2.3 存放有業(yè)務(wù)數(shù)據(jù)或程序的磁盤(pán)、磁帶或光盤(pán)，管理必須落實(shí)到人，并分類(lèi)建立登記薄，記錄編號(hào)、名稱(chēng)、用途、規(guī)格、制作日期、有效期、使用者、批準(zhǔn)者等；2.4 對(duì)存放有重要數(shù)據(jù)的磁盤(pán)、磁帶、光盤(pán)，至少要備份兩份并分兩處妥善保

7、管；2.5 日常工作數(shù)據(jù)不存放于引導(dǎo)分區(qū)及操作系統(tǒng)所在的磁盤(pán)分區(qū)（如：我的文檔、桌面、C 盤(pán)）；2.6 打印有業(yè)務(wù)數(shù)據(jù)的打印紙，要視同檔案進(jìn)行管理；2.7 凡超過(guò)數(shù)據(jù)保存期磁盤(pán)、磁帶、光盤(pán)，必須經(jīng)過(guò)特殊的數(shù)據(jù)清除處理，否則不能視同空白磁盤(pán)、磁帶、光盤(pán)；2.8 凡不能正常記錄數(shù)據(jù)的磁盤(pán)、磁帶、光盤(pán)，須經(jīng)測(cè)試確認(rèn)后由IT 部進(jìn)行銷(xiāo)毀，并做好登記；2.9 對(duì)需要長(zhǎng)期保存的有效數(shù)據(jù)，應(yīng)在磁盤(pán)、磁帶、光盤(pán)的質(zhì)量保證期內(nèi)進(jìn)行轉(zhuǎn)儲(chǔ)，轉(zhuǎn)儲(chǔ)時(shí)應(yīng)確保內(nèi)容正確。數(shù)據(jù)的使用管理2.10 數(shù)據(jù)必須嚴(yán)格保密，未經(jīng)上級(jí)主管部門(mén)同意，一律不準(zhǔn)對(duì)外提供任何數(shù)據(jù)和程序；2.11 數(shù)據(jù)按規(guī)定進(jìn)行拷貝以外，任何人不得以任何借口和形式進(jìn)行拷貝。F、密碼安全和管理方案1、培養(yǎng)良好的安全操作習(xí)慣，在指定的計(jì)算機(jī)或終端上操作，不要把密碼寫(xiě)在記事本或電腦上，有事離開(kāi)計(jì)算機(jī)時(shí)應(yīng)將其鎖定；2、防止電腦緩存、Cookies 記錄重要密碼，特別是辦公室的電腦里；3、做到口令專(zhuān)管專(zhuān)用，定