小型设计院的安全策略.ppt

1、1,组织的安全策略,1.组织应该有一个完整的信息安全策略 我们可以通过下面一个例子来理解这种情况。 某设计院有工作人员25人，每人一台计算机，Windows 98对等网络通过一台集线器连接起来，公司没有专门的IT管理员。公司办公室都在二楼，同一楼房内还有多家公司，在一楼入口处赵大爷负责外来人员的登记，但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师，他经常拨号到Internet访问一些设计方面的信息，他的计算机上还安装了代理软件，其他人员可以通过这个代理软件访问Internet。如果该设计院的信息安全管理停留在一种放任的状态，会发

2、生什么问题呢？下列情况都是有可能的：,2,小偷顺着一楼的防护栏潜入办公室偷走了设计院的电脑等值钱的物理设备（可在设计院的二楼装上防护栏，防止类似事件发生） 保洁公司人员不小心弄脏了准备发给客户的设计方案；错把掉在地上的合同稿当废纸收走了；不小心碰掉了墙角的电源插销可能会由于员工忘记将所用电脑关闭而造成公司一些有用数据的丢失（要求员工按照公司的信息安全策略注意保护好公司数据和文件的安全） 补：小李删除敏感数据时，没有使用不可恢复的删除工具进行删除 ，被设计院的对手设计窃取了这些敏感数据 某设计师张先生是公司的骨干，他嫌公司提供的设计软件版本太旧，自己安装了盗版的新版本设计程序。尽管这个盗版程序使

3、用一段时间就会发生莫名其妙的错误导致程序关闭，可是张先生还是喜欢新版本的设计程序，并找到一些办法避免错误发生时丢失文件。,3,后来张先生离开设计院，新员工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常，没有人理会，最后决定自己重新安装操作系统和应用程序。 小李把自己感觉重要的文件备份到陈博士的计算机上，听朋友介绍Windows2000比较稳定，他决定安装Windows2000，于是他就重新给硬盘分区，成功完成了安装。（小李应在重新分区前，应弄清其电脑上哪些属于重要文件，不然就会引起不必要的麻烦，造成公司重要数据的丢失）,4,陈博士对张先生的不辞而别没有思想准备，甚至还没来得及交接一下张

4、先生离开时正负责的几个设计项目。这几天他一闲下来就整理张先生的设计方案，可是突然一天提示登录原来张先生的那台计算机需要密码了。小李并不熟悉Windows2000，只是说自己并没有设置密码。由于张先生未经公司许可安装非正式版权的软件，并且在离职是没有进行完善的交接，这将会会给设计院接下来的工作带来不便 （要求设计院员工严格遵守设计院的信息安全策略，如：不经公司允许不得私自在公司电脑上安装软件。员工在更换岗位时，需进行密码口令等的完善交接）,5,尽管小李告诉陈博士已经把文件备份在陈博士的计算机上，可是陈博士没有找到自己需要的文件。（对重要文件公司人员应该及时进行备份并采取适当的加密措施，妥善保存）

5、 大家通过陈博士的计算机访问Internet，收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet，陈博士收到几封主题不同的电子邮件，内容竟然包括几个还没有提交的设计稿，可是员工都说没有发过这样的信。 补：某员工小张在公司电脑上使用自己U盘时，未提前查毒，结果U盘里存在的病毒使公司电脑受到感染，致使电脑瘫痪,6,设计院安全策略,总则：为了提高员工信息安全防范意识和操作技能，保障公司信息安全，根据公司信息安全管理制度的要求，特制定本策略 数据和文件安全 第一条 公司业务数据、客户数据、重要文件、技术 文档 等均属于公司信息资产，员工应注意保护，防止数据泄露（这样就不

6、存在保洁公司人员弄脏设计方案或者收走合同稿类似事情的存在） 第二条 删除敏感数据时，要求使用不可恢复的删除工具进行删除。 第三条 个人所用电脑上一般不保存公司机密数据，如确需保存时，应采取适当的加密措施，并妥善存放，使用完后及时删除。,7,系统的使用及人员管理 第四条 员工不应使用未经公司许可的软件，特别 是没有正式版权的软件 第五条 下班时个人所用电脑应关闭，办公桌上敏感资料、插在电脑上的硬件密钥等应锁存。 第六条 更换工作岗位时，员工应主动上交用户权限、口令密码等 第七条 员工不得将公司配备的个人工作用笔记本电脑借给他人使用。 第八条 员工不得私自在公司内部系统中设立网站、论坛、游戏等服务

7、站点 网络的使用 第九条 注意远程拨入用户、远程VPN帐户的安全保密，员工不得将拨入号码、用户密码等泄露给他人。,8,病毒防范 第十条 在使用U盘、光盘、软盘等移动介质前，一定要先进行病毒检查；在业务终端上使用的U盘等应作到专用；尽量减少在业务终端上使用移动介质；不明来历的移动介质应谨慎使用。 第十一条 员工应检查确认个人所用电脑已安装好防病毒软件，如未安装应及时联系信息安全管理员安装或信息安全管理员指导下自行安装。 第十二条 个人所用电脑上发现病毒时，应及时将情况报告信息安全管理员。业务终端上发现病毒时，应立即断开网络，全面查杀并经信息安全管理员确认后方可再次连入网络。,9,第十三条 员工个人所用电脑每周至少进行一次病毒全面查杀，防病毒软件一般设置为定期自动查杀，如未设置，也可手动进行查杀 口令使用 第十四条 新用户在第一次登录时应修改其临时设置的口令；设置缺省口令的新用户，用户生效后及时登录并修改口令。 第十五条 注意口令保密。不得将个人用户口令泄露给他人，也不得打听或猜测他人用户口令。避免将口令记录在他人可能容易获取的地方；避免在自动登录过程中以不安全的方式保存口令。 第十六条 定期修改口令。业务终端登录用户和业务类用户每季度至少修改一次，重要用户根据其他制度要求增加修改频率。普通办公终端登录用户和办公类用户半年至少修改一次。避免重复使用旧口令。,10,其他 第十七条 关于