近年來, 隨著計算機(jī)技術(shù)和信息技術(shù)的飛速發(fā)展,社會的需求不斷進(jìn)步,企業(yè)傳統(tǒng)的手工生產(chǎn)模式和管理模式邁入了一個全新的時代--信息化時代。隨著信息化程度的日益推進(jìn),企業(yè)信息的脆弱性也日益暴露。如何規(guī)范日趨復(fù)雜的信息安全保障體系建設(shè),如何進(jìn)行信息風(fēng)險評估保護(hù)企業(yè)的信息資產(chǎn)不受侵害,已成為當(dāng)前行業(yè)實現(xiàn)信息化運作亟待解決的問題。
??????? 一、前言:企業(yè)的信息及其安全隱患。
??????? 在我公司,我部門對信息安全做出整體規(guī)劃:通過從外到內(nèi)、從廣義到狹義、從總體到細(xì)化、從戰(zhàn)術(shù)到戰(zhàn)略,從公司的整體到局部的各個部門相結(jié)合一一剖析,并針對信息安全提出解決方案。涉及到企業(yè)安全的信息包括以下方面:
??????? A. 技術(shù)圖紙。主要存在于技術(shù)部、項目部、質(zhì)管部。
??????? .B. 商務(wù)信息。主要存在于采購部、客服部。
??????? C. 財務(wù)信息。主要存在于財務(wù)部。
??????? D 服務(wù)器信息。主要存在于信管部。
??????? E 密碼信息。存在于各部門所有員工。
??????? 針對以上涉及到安全的信息,在企業(yè)中存在如下風(fēng)險:
??????? 1 來自企業(yè)外的風(fēng)險
??????? ①病毒和木馬風(fēng)險。互聯(lián)網(wǎng)上到處流竄著不同類型的病毒和木馬,有些病毒在感染企業(yè)用戶電腦后,會篡改電腦系統(tǒng)文件,使系統(tǒng)文件損壞,導(dǎo)致用戶電腦最終徹底崩潰,嚴(yán)重影響員工的工作效率;有些木馬在用戶訪問網(wǎng)絡(luò)的時候,不小心被植入電腦中,輕則丟失工作文件,重則泄露機(jī)密信息。
??????? ②不法分子等黑客風(fēng)險。計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展也導(dǎo)致一些不法分子利用網(wǎng)絡(luò)行竊、行騙等,他們利用所學(xué)的計算機(jī)編程語言編譯有特定功能的木馬插件,經(jīng)過層層加殼封裝技術(shù),用掃描工具找到互聯(lián)網(wǎng)上某電腦存在的漏洞,繞過殺毒軟件的追擊和防火墻的阻撓,從漏洞進(jìn)入電腦,然后在電腦中潛伏,依照不法分子設(shè)置的特定時間運行,開啟遠(yuǎn)程終端等常用訪問端口,那么這臺就能被不法分子為所欲為而不被用戶發(fā)覺,尤其是技術(shù)部、項目部和財務(wù)部電腦若被黑客植入后門,留下監(jiān)視類木馬查件,將有可能造成技術(shù)圖紙被拷貝泄露、財務(wù)網(wǎng)銀密碼被竊取。還有些黑客純粹為顯示自己的能力以攻擊為樂,他們在用以上方法在網(wǎng)絡(luò)上綁架了成千上萬的電腦,讓這些電腦成為自己傀儡,在網(wǎng)絡(luò)上同時發(fā)布大量的數(shù)據(jù)包,前幾年流行的洪水攻擊及DDoS分布式拒絕服務(wù)攻擊都由此而來,它會導(dǎo)致受攻擊方服務(wù)器資源耗盡,最終徹底崩潰,同時整個網(wǎng)絡(luò)徹底癱瘓。
??????? 2、來自企業(yè)內(nèi)的風(fēng)險
??????? ①? 文件的傳輸風(fēng)險。若有員工將公司重要文件以QQ、MSN發(fā)送出去,將會造成企業(yè)信息資源的外泄,甚至被競爭對手掌握,危害到企業(yè)的生存發(fā)展。
??????? ②?文件的打印風(fēng)險。若員工將公司技術(shù)資料或商業(yè)信息打印到紙張帶出公司,會使企業(yè)信息資料外泄。
??????? ③?文件的傳真風(fēng)險。若員工將紙質(zhì)重要資料或技術(shù)圖紙傳真出去,以及將其他單位傳真給公司的技術(shù)文
??????? 件和重要資料帶走,會造成企業(yè)信息的外泄。
??????? ④? 存儲設(shè)備的風(fēng)險。若員工通過光盤或移動硬盤等存儲介質(zhì)將文件資料拷貝出公司,可能會泄露企業(yè)機(jī)
??????? 密信息。若有動機(jī)不良的員工,私自拆開電腦機(jī)箱,將硬盤偷偷帶出公司,將會造成企業(yè)信息的泄露。
??????? ⑤? 上網(wǎng)行為風(fēng)險。員工可能會在電腦上訪問不良網(wǎng)站,會將大量的病毒和頑固性插件帶到企業(yè)網(wǎng)絡(luò)中來,造成電腦及企業(yè)網(wǎng)絡(luò)的破壞,更甚者,在電腦中運行一些破壞性的程序,導(dǎo)致電腦系統(tǒng)的崩潰。
??????? ⑥?用戶密碼風(fēng)險。主要包括用戶密碼和管理員密碼。若用戶的開機(jī)密碼、業(yè)務(wù)系統(tǒng)登陸密碼被他人掌握,
??????? 可能會竊取此用戶權(quán)限內(nèi)的信息資料和業(yè)務(wù)數(shù)據(jù);若管理員的密碼被竊取,可能會被不法分子破壞應(yīng)用系統(tǒng)的正常運行,甚至?xí)桓`取整個服務(wù)器數(shù)據(jù)。
??????? ⑦?機(jī)房設(shè)備風(fēng)險。主要包括服務(wù)器、UPS電源、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)、光端機(jī)等。這些風(fēng)險來自防
??????? 盜、防雷、防火、防水。若這些自然災(zāi)害發(fā)生,可能會損壞機(jī)房設(shè)施,造成業(yè)務(wù)中斷。
??????? ⑧?辦公/區(qū)域風(fēng)險。主要包括辦公區(qū)域敏感信息的安全。有些員工缺乏安全意識,在辦公區(qū)域隨意堆放本
??????? 部門的重要文件或是在辦公區(qū)域毫不避嫌談?wù)摴ぷ鲀?nèi)容,若不小心被其他人拿走或聽到,可能會泄露部門工作機(jī)密,甚至是公司機(jī)密。
??????? 為了保證企業(yè)信息的安全保密,公司所有人員必須嚴(yán)格遵守企業(yè)信息安全管理總則,以安全總則為基礎(chǔ),各部門具體細(xì)則為安全管理行為標(biāo)準(zhǔn),從各個層面杜絕信息安全隱患。
??????? 二、總則:從整個公司層出發(fā),針對這些信息隱患制訂安全防范措施。
??????? 1.計算機(jī)設(shè)備安全管理。
??????? 1) 公司所有人員應(yīng)保持清潔、安全、良好的計算機(jī)設(shè)備工作環(huán)境,禁止在計算機(jī)應(yīng)用環(huán)境中放置易燃、易爆、強(qiáng)腐蝕、強(qiáng)磁性等有害計算機(jī)設(shè)備安全的物品。
??????? 2) 嚴(yán)格遵守計算機(jī)設(shè)備使用、開機(jī)、關(guān)機(jī)等安全操作規(guī)程和正確的使用方法。任何人不允許私自拆卸計算機(jī)組件,計算機(jī)出現(xiàn)故障時應(yīng)及時向信息管理部報告,不允許私自處理和維修。
??????? 3)發(fā)現(xiàn)由以下等個人原因造成硬件的損壞或丟失的,其損失由當(dāng)事人如數(shù)賠償:違章作業(yè);保管不當(dāng);擅自安裝、使用硬件和電氣裝置。公司每位員工對自己的工作電腦既有使用的權(quán)利又有保護(hù)的義務(wù)。任何的硬件損壞必須給出損壞報告,說明損壞原因,不得擅自更換。公司會視實際情況進(jìn)行處理。
??????? 4)下班后所有不再使用的計算機(jī),應(yīng)關(guān)閉主機(jī)電源,以防止意外,對于共同使用的計算機(jī),原則上由最后一個退出系統(tǒng)的使用人員關(guān)機(jī),并關(guān)閉電源。外人未經(jīng)公司領(lǐng)導(dǎo)批準(zhǔn)不得操作公司計算機(jī)設(shè)備。
??????? 2.部門資料安全管理。
??????? 1) 外接存儲設(shè)備安全管理。
??????? 嚴(yán)禁所有人員以個人介質(zhì)光盤、U盤、移動硬盤等存儲設(shè)備拷貝公司的文件資料并帶出公司。若因出差等原因需要拷貝文件資料到存儲設(shè)備中,需要向上級請示此行為,并以公司存儲設(shè)備做文件拷貝。為確保硬盤的安全,嚴(yán)禁任何人私自拆開電腦機(jī)箱:①將用戶主機(jī)貼上封條標(biāo)簽,除信管部人員外,任何人不得私自拆開機(jī)箱,若信管部進(jìn)行電腦硬件故障排查時,拆除封條標(biāo)簽后,在故障排查結(jié)束及時更換新的封條標(biāo)簽。信管部將定期檢查,若發(fā)現(xiàn)有封條拆開痕跡,將查看視頻監(jiān)控記錄,追查相關(guān)人責(zé)任。②給每臺電腦主機(jī)配備鎖柜,將所有用戶主機(jī)存放在鎖柜內(nèi),鎖柜鑰匙統(tǒng)一由信管部保管,若需要為用戶處理電腦故障時,信管部在打開鎖柜處理完電腦故障時,一定要鎖好主機(jī)柜,確保主機(jī)內(nèi)硬盤的安全。
??????? 2) 文件傳真安全管理。
??????? 所有人員對外發(fā)送傳真,必須經(jīng)上級核實后,統(tǒng)一在綜合部登記,由綜合部發(fā)送,嚴(yán)禁個人私自在未經(jīng)許可的情況下對外發(fā)送任何類型的傳真文件,一經(jīng)發(fā)現(xiàn),所有后果將由個人承擔(dān)。在對內(nèi)傳真文件時,應(yīng)即刻通知傳真接收人接收并取走傳真件,在傳真結(jié)束時,應(yīng)馬上取走傳真原件。若因傳真時沒有取走傳真件,導(dǎo)致傳真件丟失,造成本部門信息外泄,則由本人承擔(dān)一切后果。
??????? 3) 文件打印安全管理。
??????? 所有人員不得私自將公司文件打印帶出公司,一經(jīng)發(fā)現(xiàn),嚴(yán)肅處理。若在上班時間,打印工作文件時,需要即刻在打印機(jī)處等候文件的打印,文件打印完成后馬上取走,若因文件打印時有其他緊急事件,應(yīng)該通知本部門人員代為領(lǐng)取打印文件。禁止一切打印后未及時取走打印文件的行為,一經(jīng)發(fā)現(xiàn),將對本人警告,若因打印后,文件丟失,造成信息資料外泄,則由本人承擔(dān)相關(guān)責(zé)任。
??????? 4) 文件的存儲安全管理。
??????? 所有部門人員應(yīng)每周清理計算機(jī)中的文件,清除不需要的垃圾文件,將重要的文件和工作資料保存在特定的文件夾里,每月末應(yīng)將電腦中的文件資料做一次備份,將文件資料備份到部門專用U盤或移動硬盤上,確保個人工作資料的文件歸檔,在電腦突發(fā)性故障或硬盤損壞時,能夠及時恢復(fù)最近的工作資料;電腦桌面上的文件應(yīng)每周末拷貝到非系統(tǒng)盤符中或不要在桌面存放任何工作性文件資料。若因個人原因未執(zhí)行備份,造成數(shù)據(jù)資料丟失時,將由本人承擔(dān)相關(guān)后果。若員工離職,在辦完離職手續(xù)后,所在部門負(fù)責(zé)人應(yīng)聯(lián)系信管部協(xié)助將此員工工作資料拷貝到部門U盤或移動硬盤上,若沒有執(zhí)行此安全過程,離職員工損失的文件資料由該部門承擔(dān)。
??????? 5) 辦公區(qū)域的安全管理。
??????? 所有部門人員每天下班時應(yīng)保證辦公桌的整潔,將部門重要文件資料存放在個人抽屜柜中,并檢查確保辦公桌上沒有存放重要文件或其他有可能泄露本部門工作內(nèi)容的信息源。若因資料沒有存放好,被他人取走,造成的后果將由本人承擔(dān)。
??????? 3.帳號密碼安全管理。
??????? 使用者須妥善保管好自己的帳戶和密碼。嚴(yán)防被竊取而導(dǎo)致泄密。帳戶及密碼由網(wǎng)絡(luò)管理員設(shè)置后通知員工,員工不得隨意更改密碼。所有員工必須在所使用的計算機(jī)中設(shè)置開機(jī)密碼和屏幕保護(hù)密碼。為了保護(hù)公司的信息資產(chǎn),設(shè)置密碼時應(yīng)注意:密碼至少有8個字符長;密碼必須包含以下任一部分:字母A-Z或a-z,數(shù)字0-9,特殊字符,例如 $ ,-等。