近年來��, 隨著計算機技術和信息技術的飛速發(fā)展�,社會的需求不斷進步,企業(yè)傳統(tǒng)的手工生產模式和管理模式邁入了一個全新的時代--信息化時代����。隨著信息化程度的日益推進,企業(yè)信息的脆弱性也日益暴露�。如何規(guī)范日趨復雜的信息安全保障體系建設,如何進行信息風險評估保護企業(yè)的信息資產不受侵害,已成為當前行業(yè)實現信息化運作亟待解決的問題���。
??????? 一�、前言:企業(yè)的信息及其安全隱患��。
??????? 在我公司����,我部門對信息安全做出整體規(guī)劃:通過從外到內、從廣義到狹義��、從總體到細化�、從戰(zhàn)術到戰(zhàn)略,從公司的整體到局部的各個部門相結合一一剖析���,并針對信息安全提出解決方案�。涉及到企業(yè)安全的信息包括以下方面:
??????? A. 技術圖紙����。主要存在于技術部、項目部���、質管部��。
??????? .B. 商務信息����。主要存在于采購部、客服部��。
??????? C. 財務信息����。主要存在于財務部。
??????? D 服務器信息�。主要存在于信管部。
??????? E 密碼信息���。存在于各部門所有員工��。
??????? 針對以上涉及到安全的信息�,在企業(yè)中存在如下風險:
??????? 1 來自企業(yè)外的風險
??????? ①病毒和木馬風險���?;ヂ摼W上到處流竄著不同類型的病毒和木馬����,有些病毒在感染企業(yè)用戶電腦后,會篡改電腦系統(tǒng)文件�,使系統(tǒng)文件損壞,導致用戶電腦最終徹底崩潰����,嚴重影響員工的工作效率;有些木馬在用戶訪問網絡的時候����,不小心被植入電腦中,輕則丟失工作文件��,重則泄露機密信息�。
??????? ②不法分子等黑客風險。計算機網絡的飛速發(fā)展也導致一些不法分子利用網絡行竊�、行騙等,他們利用所學的計算機編程語言編譯有特定功能的木馬插件�����,經過層層加殼封裝技術���,用掃描工具找到互聯網上某電腦存在的漏洞����,繞過殺毒軟件的追擊和防火墻的阻撓,從漏洞進入電腦����,然后在電腦中潛伏,依照不法分子設置的特定時間運行��,開啟遠程終端等常用訪問端口�����,那么這臺就能被不法分子為所欲為而不被用戶發(fā)覺����,尤其是技術部、項目部和財務部電腦若被黑客植入后門��,留下監(jiān)視類木馬查件��,將有可能造成技術圖紙被拷貝泄露��、財務網銀密碼被竊取�����。還有些黑客純粹為顯示自己的能力以攻擊為樂����,他們在用以上方法在網絡上綁架了成千上萬的電腦,讓這些電腦成為自己傀儡���,在網絡上同時發(fā)布大量的數據包�����,前幾年流行的洪水攻擊及DDoS分布式拒絕服務攻擊都由此而來���,它會導致受攻擊方服務器資源耗盡,最終徹底崩潰���,同時整個網絡徹底癱瘓���。
??????? 2、來自企業(yè)內的風險
??????? ①? 文件的傳輸風險�。若有員工將公司重要文件以QQ、MSN發(fā)送出去�����,將會造成企業(yè)信息資源的外泄�����,甚至被競爭對手掌握,危害到企業(yè)的生存發(fā)展�����。
??????? ②?文件的打印風險��。若員工將公司技術資料或商業(yè)信息打印到紙張帶出公司�,會使企業(yè)信息資料外泄。
??????? ③?文件的傳真風險�����。若員工將紙質重要資料或技術圖紙傳真出去����,以及將其他單位傳真給公司的技術文
??????? 件和重要資料帶走,會造成企業(yè)信息的外泄�����。
??????? ④? 存儲設備的風險��。若員工通過光盤或移動硬盤等存儲介質將文件資料拷貝出公司,可能會泄露企業(yè)機
??????? 密信息��。若有動機不良的員工��,私自拆開電腦機箱��,將硬盤偷偷帶出公司����,將會造成企業(yè)信息的泄露�。
??????? ⑤? 上網行為風險。員工可能會在電腦上訪問不良網站�,會將大量的病毒和頑固性插件帶到企業(yè)網絡中來,造成電腦及企業(yè)網絡的破壞��,更甚者��,在電腦中運行一些破壞性的程序�����,導致電腦系統(tǒng)的崩潰����。
??????? ⑥?用戶密碼風險。主要包括用戶密碼和管理員密碼。若用戶的開機密碼�、業(yè)務系統(tǒng)登陸密碼被他人掌握,
??????? 可能會竊取此用戶權限內的信息資料和業(yè)務數據�����;若管理員的密碼被竊取����,可能會被不法分子破壞應用系統(tǒng)的正常運行,甚至會被竊取整個服務器數據��。
??????? ⑦?機房設備風險��。主要包括服務器��、UPS電源����、網絡交換機、電話交換機�����、光端機等��。這些風險來自防
??????? 盜、防雷��、防火��、防水�。若這些自然災害發(fā)生,可能會損壞機房設施����,造成業(yè)務中斷。
??????? ⑧?辦公/區(qū)域風險�。主要包括辦公區(qū)域敏感信息的安全����。有些員工缺乏安全意識,在辦公區(qū)域隨意堆放本
??????? 部門的重要文件或是在辦公區(qū)域毫不避嫌談論工作內容����,若不小心被其他人拿走或聽到,可能會泄露部門工作機密����,甚至是公司機密。
??????? 為了保證企業(yè)信息的安全保密���,公司所有人員必須嚴格遵守企業(yè)信息安全管理總則����,以安全總則為基礎,各部門具體細則為安全管理行為標準����,從各個層面杜絕信息安全隱患。
??????? 二����、總則:從整個公司層出發(fā),針對這些信息隱患制訂安全防范措施�����。
??????? 1.計算機設備安全管理��。
??????? 1) 公司所有人員應保持清潔���、安全��、良好的計算機設備工作環(huán)境��,禁止在計算機應用環(huán)境中放置易燃���、易爆��、強腐蝕���、強磁性等有害計算機設備安全的物品。
??????? 2) 嚴格遵守計算機設備使用��、開機����、關機等安全操作規(guī)程和正確的使用方法。任何人不允許私自拆卸計算機組件����,計算機出現故障時應及時向信息管理部報告�����,不允許私自處理和維修�。
??????? 3)發(fā)現由以下等個人原因造成硬件的損壞或丟失的,其損失由當事人如數賠償:違章作業(yè)�;保管不當;擅自安裝���、使用硬件和電氣裝置���。公司每位員工對自己的工作電腦既有使用的權利又有保護的義務���。任何的硬件損壞必須給出損壞報告,說明損壞原因��,不得擅自更換����。公司會視實際情況進行處理。
??????? 4)下班后所有不再使用的計算機���,應關閉主機電源�,以防止意外��,對于共同使用的計算機��,原則上由最后一個退出系統(tǒng)的使用人員關機��,并關閉電源�����。外人未經公司領導批準不得操作公司計算機設備。
??????? 2.部門資料安全管理�。
??????? 1) 外接存儲設備安全管理。
??????? 嚴禁所有人員以個人介質光盤�、U盤、移動硬盤等存儲設備拷貝公司的文件資料并帶出公司�。若因出差等原因需要拷貝文件資料到存儲設備中,需要向上級請示此行為��,并以公司存儲設備做文件拷貝��。為確保硬盤的安全�,嚴禁任何人私自拆開電腦機箱:①將用戶主機貼上封條標簽,除信管部人員外���,任何人不得私自拆開機箱�����,若信管部進行電腦硬件故障排查時,拆除封條標簽后�����,在故障排查結束及時更換新的封條標簽����。信管部將定期檢查��,若發(fā)現有封條拆開痕跡���,將查看視頻監(jiān)控記錄,追查相關人責任���。②給每臺電腦主機配備鎖柜����,將所有用戶主機存放在鎖柜內���,鎖柜鑰匙統(tǒng)一由信管部保管�,若需要為用戶處理電腦故障時����,信管部在打開鎖柜處理完電腦故障時,一定要鎖好主機柜����,確保主機內硬盤的安全。
??????? 2) 文件傳真安全管理���。
??????? 所有人員對外發(fā)送傳真��,必須經上級核實后����,統(tǒng)一在綜合部登記,由綜合部發(fā)送�,嚴禁個人私自在未經許可的情況下對外發(fā)送任何類型的傳真文件,一經發(fā)現����,所有后果將由個人承擔。在對內傳真文件時����,應即刻通知傳真接收人接收并取走傳真件,在傳真結束時�����,應馬上取走傳真原件��。若因傳真時沒有取走傳真件�,導致傳真件丟失��,造成本部門信息外泄,則由本人承擔一切后果�。
??????? 3) 文件打印安全管理。
??????? 所有人員不得私自將公司文件打印帶出公司���,一經發(fā)現����,嚴肅處理�。若在上班時間,打印工作文件時���,需要即刻在打印機處等候文件的打印�����,文件打印完成后馬上取走����,若因文件打印時有其他緊急事件�,應該通知本部門人員代為領取打印文件。禁止一切打印后未及時取走打印文件的行為�,一經發(fā)現,將對本人警告,若因打印后�����,文件丟失���,造成信息資料外泄�����,則由本人承擔相關責任�。
??????? 4) 文件的存儲安全管理�。
??????? 所有部門人員應每周清理計算機中的文件,清除不需要的垃圾文件�,將重要的文件和工作資料保存在特定的文件夾里,每月末應將電腦中的文件資料做一次備份�����,將文件資料備份到部門專用U盤或移動硬盤上���,確保個人工作資料的文件歸檔�����,在電腦突發(fā)性故障或硬盤損壞時����,能夠及時恢復最近的工作資料�����;電腦桌面上的文件應每周末拷貝到非系統(tǒng)盤符中或不要在桌面存放任何工作性文件資料��。若因個人原因未執(zhí)行備份����,造成數據資料丟失時,將由本人承擔相關后果�。若員工離職,在辦完離職手續(xù)后�����,所在部門負責人應聯系信管部協(xié)助將此員工工作資料拷貝到部門U盤或移動硬盤上�����,若沒有執(zhí)行此安全過程��,離職員工損失的文件資料由該部門承擔。
??????? 5) 辦公區(qū)域的安全管理�。
??????? 所有部門人員每天下班時應保證辦公桌的整潔,將部門重要文件資料存放在個人抽屜柜中��,并檢查確保辦公桌上沒有存放重要文件或其他有可能泄露本部門工作內容的信息源�����。若因資料沒有存放好�,被他人取走,造成的后果將由本人承擔���。
??????? 3.帳號密碼安全管理���。
??????? 使用者須妥善保管好自己的帳戶和密碼。嚴防被竊取而導致泄密�����。帳戶及密碼由網絡管理員設置后通知員工�����,員工不得隨意更改密碼�����。所有員工必須在所使用的計算機中設置開機密碼和屏幕保護密碼。為了保護公司的信息資產�,設置密碼時應注意:密碼至少有8個字符長;密碼必須包含以下任一部分:字母A-Z或a-z�,數字0-9,特殊字符��,例如 $ �����,-等�����。
