公司技術(shù)部IT運(yùn)維信息安全管理

公司技術(shù)部IT運(yùn)維信息安全管理

1、制定信息安全制度的目的是：確保公司的系統(tǒng)運(yùn)行在一種合

理的安全狀態(tài)下，同時(shí)不影響公司員工使用網(wǎng)絡(luò)，具體目標(biāo)包括：保

障數(shù)據(jù)安全和系統(tǒng)安全；

2、數(shù)據(jù)安全：

2.1、防止未經(jīng)授權(quán)修改數(shù)據(jù)；

2.2、防止未經(jīng)發(fā)覺(jué)的遺漏或重復(fù)數(shù)據(jù)；

2.3、防止未經(jīng)授權(quán)泄露數(shù)據(jù)；

2.4、確保數(shù)據(jù)發(fā)送者的身份正確無(wú)誤；

2.5、確保數(shù)據(jù)接受者的身份正確無(wú)誤；

2.6、數(shù)據(jù)的發(fā)送者、接受者以及數(shù)據(jù)的交換僅對(duì)發(fā)送者與接受者

是可見(jiàn)的；

2.7、在取得明確的可訪問(wèn)系統(tǒng)的授權(quán)后，才能與該系統(tǒng)通信。

3、系統(tǒng)安全：

3.1、防止未經(jīng)授權(quán)或越權(quán)使用系統(tǒng)；

3.2、控制網(wǎng)絡(luò)流量，防止過(guò)量的訪問(wèn)使系統(tǒng)資源過(guò)載導(dǎo)致的系統(tǒng)

崩潰（防止內(nèi)部網(wǎng)絡(luò)流量超負(fù)荷，保障外網(wǎng)服務(wù)antemet）、內(nèi)網(wǎng)郵件

服務(wù)的安全）。

4、信息安全制度適用于：

4.1、任何與公司網(wǎng)絡(luò)設(shè)備相連的IP網(wǎng)絡(luò)，所有連接到上述網(wǎng)絡(luò)

上的設(shè)備；

4.2、任何公司所屬數(shù)據(jù)傳輸經(jīng)過(guò)的網(wǎng)絡(luò)，所有上述網(wǎng)絡(luò)上傳輸?shù)?/p>

數(shù)據(jù)；

4.3、對(duì)數(shù)據(jù)進(jìn)行管理的人員，如果要將新的設(shè)備增加到公司的網(wǎng)

絡(luò)中，適用于該項(xiàng)目的負(fù)責(zé)人；

4.4、所有連接到公司網(wǎng)絡(luò)中的設(shè)備，以及公司取員在該網(wǎng)絡(luò)中使

用的任何設(shè)備。

5、在信息安全制度的涉及范圍內(nèi)，每個(gè)部門(mén)的信息安全由部門(mén)

負(fù)責(zé)人或由其指定專人來(lái)負(fù)責(zé)。

6、內(nèi)容

1、內(nèi)部人員的攻擊，包括有意和無(wú)意兩種，主要表現(xiàn)為：

①、保密觀念不強(qiáng)，或不懂遵守保密守則，隨便泄漏機(jī)密；

②、打印復(fù)制機(jī)密文件；

③、隨便打印出系統(tǒng)保密字或向無(wú)關(guān)人員泄露有關(guān)機(jī)密信息；

④、由于業(yè)務(wù)不熟練、操作失誤，導(dǎo)致文件丟失或者誤發(fā)，或因

未遵守操作規(guī)則而造成泄密；

⑤、因規(guī)章制度不健全造成人為泄露事故，如對(duì)機(jī)密文件管理不

善，各種文件存放混亂，違章操作等造成不良后果；

⑥、素質(zhì)差，缺乏責(zé)任心，沒(méi)有良好的工作態(tài)度，明知故犯，或

有意破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備；

⑦、利用竊取系統(tǒng)的磁盤(pán)、磁帶或紙帶等記錄載體或利用被廢棄

的打印文件、復(fù)寫(xiě)紙來(lái)竊取系統(tǒng)用戶信息；

⑧、通過(guò)非法竊取他人的用戶名和口令來(lái)進(jìn)入他人的計(jì)算機(jī)，拷

貝文件或進(jìn)行破壞;

⑨、使用帶有病毒的外來(lái)介質(zhì)，帶毒的磁盤(pán)、存儲(chǔ)設(shè)備；

⑩、瀏覽具有惡意代碼的互聯(lián)網(wǎng)網(wǎng)頁(yè)。

2、外部人員的攻擊或非法訪問(wèn)：

①、外來(lái)設(shè)備企圖聯(lián)入本企業(yè)的局域網(wǎng)；

②、通過(guò)物理連接試圖竊取管理員身份、或竊取重要文件；

③、通過(guò)發(fā)送病毒郵件、蠕蟲(chóng)攻擊；

④、外部人員非法在本企業(yè)局域網(wǎng)中安裝、使用木馬、嗅探器等

程序。

3、技術(shù)故障所帶來(lái)的威脅。通常指突發(fā)事故：

①、由于硬件原因造成系統(tǒng)的故障；

②、人為刪除服務(wù)器系統(tǒng)上重要文件目錄及其中的文件等；

③、新軟件、硬件的不當(dāng)安裝引起系統(tǒng)無(wú)法正常使用；

④、內(nèi)部人員擅自使用其他軟件或更改網(wǎng)絡(luò)配置（如1P地址）導(dǎo)致

服務(wù)器不能正常工作；

⑤、由于不可抗拒的因素導(dǎo)致硬件損壞。

4、數(shù)據(jù)的意外丟失：

①、由于硬件的損壞導(dǎo)致數(shù)據(jù)丟失；

②、由于系統(tǒng)的不穩(wěn)定導(dǎo)致數(shù)據(jù)丟失；

③、電力系統(tǒng)故障造成的數(shù)據(jù)丟失。

7、解決方案

7.1、軟件資源的安全和管理方案，主要規(guī)范軟盤(pán)、光盤(pán)、移動(dòng)存

儲(chǔ)設(shè)備使用、網(wǎng)絡(luò)下載、使用外網(wǎng)郵件、軟件安裝和使用過(guò)程中病毒

的預(yù)防及使用控制；

7.2、數(shù)據(jù)資源的安全和管理方案：

①、數(shù)據(jù)存儲(chǔ)的安全管理：

1）、存放有業(yè)務(wù)數(shù)據(jù)或程序的磁盤(pán)、磁帶或光盤(pán)，應(yīng)視同文字記

錄妥善保管，必須注意放磁、防潮、防火、防盜，必須垂直放置；

2）、對(duì)硬盤(pán)上的數(shù)據(jù)，要根據(jù)安全分級(jí)建立有效的權(quán)限，并嚴(yán)格

管理，對(duì)于內(nèi)部訪問(wèn)級(jí)和機(jī)密級(jí)的數(shù)據(jù)要進(jìn)行嚴(yán)格的NTFS權(quán)限設(shè)置

和必要的加密，以確保硬盤(pán)數(shù)據(jù)的安全；

3）、存放有業(yè)務(wù)數(shù)據(jù)或程序的磁盤(pán)、磁帶或光盤(pán)，管理必須落實(shí)

到人，并分類建立登記簿，記錄編號(hào)、名稱、用途、規(guī)格、制作日期、

有效期、使用者、批準(zhǔn)者等；

4）、對(duì)存放有重要數(shù)據(jù)的磁盤(pán)、磁帶、光盤(pán)，至少要備份兩份并

分兩處妥善保管；

5）、日常工作數(shù)據(jù)不存放于引導(dǎo)分區(qū)及操作系統(tǒng)所在的磁盤(pán)分區(qū)

（如：我的文檔、桌面、C盤(pán)）；

6）、打印有業(yè)務(wù)數(shù)據(jù)的打印紙，要視同檔案進(jìn)行管理；

7）、凡超過(guò)數(shù)據(jù)保存期磁盤(pán)、磁帶、光盤(pán)，必須經(jīng)過(guò)特殊的數(shù)據(jù)

清除處理，否則不能視同空白磁盤(pán)、磁帶、光盤(pán)；

8）、凡不能正常記錄數(shù)據(jù)的磁盤(pán)、磁帶、光盤(pán)，須經(jīng)測(cè)試確認(rèn)后

由技術(shù)部進(jìn)行銷毀，并做好登記；

9）、對(duì)需要長(zhǎng)期保存的有效數(shù)據(jù)，應(yīng)在磁盤(pán)、磁帶、光盤(pán)的質(zhì)量

保證期內(nèi)進(jìn)行轉(zhuǎn)儲(chǔ)，轉(zhuǎn)儲(chǔ)時(shí)應(yīng)確保內(nèi)容正確。

②、數(shù)據(jù)的使用管理：

1）、數(shù)據(jù)必須嚴(yán)格保密，未經(jīng)上級(jí)主管部門(mén)同意，一律不準(zhǔn)對(duì)外

提供任何數(shù)據(jù)和程序；

2）、數(shù)據(jù)按規(guī)定進(jìn)行拷貝以外，任何人不得以任何借口和形式進(jìn)

行拷貝。

8、密碼安全和管理方案：

8.1、培養(yǎng)良好的安全操作習(xí)慣，在指定的計(jì)算機(jī)或終端上操作，

不要把密碼寫(xiě)在記事本或電腦上，有事離開(kāi)計(jì)算機(jī)時(shí)應(yīng)將其鎖定；

8.2、防止電腦緩存、Cookies記錄重要密碼，特別是辦公室