IT终端用户安全手册－中文版.doc

IT终端用户安全手册公司的电脑和内部相关系统是公司资产的一部分，公司所有的用户有义务来确保系统和信息的安全性。在这篇文档中，将对如何使用内部系统给予指导，并着重对使用系统过程当中的限制作出了定义。索 引n对计算机及相关系统硬件的保护2n终端用户对个人帐号的安全保护3n终端用户进入系统后对系统内个人工作信息的保护4n对终端用户使用个人电脑的定义5n终端用户使用外来介质的定义6n终端用户使用公司邮件系统的定义7n终端用户接入INTERNET的定义8n终端用户对网络硬盘的使用9n终端用户对备份系统的使用10n终端用户对病毒防护系统的使用11n漫游用户对VPN的使用12 第 12 页 n 对计算机及相关系统硬件的保护计算机及相关系统的硬件是公司商业值息及内部系统运作的载体，这主要包括以下几个部分：服务器，路由器及交换机等关键网络设备。分布到名办公室的网络线缆，用户工作站，用户手提电脑等。这些硬件设备构成了公司内部系统信息储存和流通的路径，对这些硬件的保护是系统能正常和安全运作的最重要工作，以下将分类予以说明：A对于服务器，路由器及交换机等关键网络设备： 这些设备都被安装在公司的机房，它们的安全检查和保护工作由IT来负责，而不对公司终端用户做要求。B对于分布到各办公室的网络线缆： 这些线缆负责终端用户之间的互连以及终端用户和公司内部系统之间的互联，所以我们要终端用户在任何情况下都不能挤压或者切断这些线缆，更不能尝试自己去修理线缆，当终端用户怀疑这些线缆有问题时可以和IT联系，由IT来处理。C用户工作站： 用户工作站是指在办公室固定办公的终端用户使用的计算机设备，这些工作站存放的是终端用户工作相关的部分商业数据，更是终端用户工作的平台。所以我们要求终端用户在任何情况之下都不得人为破坏这些硬件，更不能尝试打开机箱做任何操作，当终端用户怀疑个人的工作站有问题时，请联系IT处理。D对于手提电脑； 手提电脑是公司为经常出差和移动办公的终端用户配置的办公工具，它除了价值非常的昂贵以外还存储了终端串户的商业资料，所以就更要求我们这些使用手提电脑的用户在旅行和移动办公的过程中不得碰撞和丢失，也不能尝试打开手提电脑的内部，有任何问题请联系IT。总之，终端用户涉及的所有内部系统相关硬件都是公司财产，终端用户只有使用的权利，不得破坏和尝试修理，它们的维护工作由IT负责。n 终端用户对个人帐号的安全保护各个系统的终端用户都有自己的个人安全信息，这可能包括了帐号和密码，这些信息是终端用户进入相关系统的验证信息，系统将对这些帐号做验证并记录帐号在登陆后的主要工作。IT也会定期检查这些日志，分析用户对系统的使用情况和有可能对系统存在的破坏性所以我们要求终端用户注意以下几个方面：A在任何情况之下都不得将自己的系统帐号信息透露给其他人，如需要其他人以自己身份在系统中工作，请联系系统管理员以其他途径解决；一个帐号在系统中造成不良后果由帐号的持有人负全责；B当有事必须离开工作的电脑时，请将电脑锁定，以防止其他人在你离开期间使用你的帐号进入系统；C系统每月将强制用户更改个人密码，逾期不更改的用户将无法进入系统，同时我们对密码的复杂性要求至少6位，以保证密码在一定程度上的安全性；D如果因各种原因导致终端用户丢失密码，请联系系统管理员，当密码被重新初始化后请终端用户立即修改，以确保只有本人知道此密码；n 终端用户进入系统后对系统内个人工作信息的保护终端用户登陆进入各个系统后，系统将对用户的权限做严格划分，同时也确定了用户在系统内的个人工作内容，特别是如：ERP，CRM，HRP等对权限有特别严格的审查和划分，这也就要求系统的使用者在信息内容方面必须遵守以下几点：A使用者必须对自己在系统内输入内容的正确和完整性负责；B在任何情况之下不得将自己在系统内的工作信息以任何方式告知与此内容无关的人员。更不得将信息告知公司外部人员和公司竞争对手。n 对终端用户使用个人电脑的定义终端用户的办公个人电脑，包括工作站和手提电脑，是终端用户日常工作的平台，同时也是终端用户进入内部各系统的终端工具，所以对个人电脑的使用我们做以下定义：A个人电脑只能处理自己工作相关的内容，不得用于个人事务的处理和工作无关内容的处理；B除特殊用户外，IT已经严格界定了终端用户在个人电脑上的使用权限，权限为Power User；终端用户不得以任何方式突破自己在个人电脑上的权限，也不得以任何工具尝试解除管理员在个人电脑上已经锁定的内容；C终端用户的个人电脑已经由IT安装工作所需要的软件，在任何情况下终端用户的个人电脑不得安装和工作内容无关的软件；如果因工作需要安装软件，终端用户必须以email方式取得管理员授权，或者联系管理员进行安装；D终端用户个人电脑的任何内容都是公司资产，公司可以在不取得终端用户的许可下对内容做相关处置；E对于手提电脑的终端用户，不得以任何连接方式（有线，无线）接入任何未经我公司审核确认的内部网络，这包括各酒店等机构提供的内部宽带网等；手提电脑的用户在外部办公时我们只允许以有线或无线的拨号方式进入Internet，然后在取得VPN的验证后进入公司内部系统；n 终端用户使用外来介质的定义在工作中终端用户如果需要使用本公司以外的机构提供的介质，必须严格遵守以下几个方面：A这些介质包括软盘，光盘，USB接口的介质以及以各种接口可接入终端用户电脑的外来存储设备；B这些介质必须来自可信任机构和个人；C.介质的提供者必须可以明确的提供介质所包含的内容；D在使用这些介质前，必须使用终端用户电脑已经安装的病毒防御系统的客户端对介质进行扫描，如包含病毒，必须联系管理员处理或退回给介质的提供者；E在使用外来介质时电脑出现异常情况，请立即通知管理员处理；n 终端用户使用公司邮件系统的定义邮件系统是公司内部用户进行联系和外部进行商业流程处理的主要途径，作为使用邮件系统的内部用户必须注意以下事项：A不得使用公司邮件系统处理任何和工作无关的内容，这包括私人朋友的联系，内部用户之间发送工作无关信息等；B不得在任何工作无关的网站和论坛上将公司的邮件地址登记；C及时清理自己的个人邮箱，终端用户的邮箱容量限定为50M，以防止邮箱空间阻塞，无法继续接收邮件；D当用户因工作需要，发送邮件需要带附件时，我们推荐用户将需要发送的附件使用压缩软件压缩后再发送，这样既可以减小邮件的大小，也可以减少因直接发送文件而被对方误认为病毒的机会；系统中附件的大小已经被限制为5M；E除了像HR，IT等部门发送多用户的官方通知的情况外，其他用户应尽且少使用邮件的群发功能，以减轻系统的负担；F公司对邮件系统的客户端接入软件有统一的要求邮件系统只支持Microsoft outlook和Microsoft IE，其他客户端的接入软件将被禁止；G邮件是病毒传播的一个最主要的路径，虽然我们系统有完善的病毒防御体系，我们还是要求用户，当收到未知发送者发送的邮件时不要打开，特别是带有附件的邮件，请将这些邮件直接删除；H漫游用户在使用邮件系统前必须经过VPN的验证，否则将无法连接到邮件服务器；n 终端用户接入INTERNET的定义Internet是我们内部用户查找资料的主要途径所以终端用户在通过代理服务器和防火墙后可以接入Internet但是在接入Internet时我们做了如下限定：A用户端的接入软件被限制为IE，用户被限制安装和使用其他浏览器；B用户的浏览内容在到达用户前会被内部防火墙及病毒防护系统做过滤；C客户端IE的一些设置会被管理员锁定，以确保设置的正确性，在任何情况之下客户端都不得尝试解除这些锁定；D客户端的浏览内容不能有成人，犯罪等非法内容，公司原则上不对这些内容做过滤，但是浏览的记录会在日志中存在；E客户端在Internet上的下载已经被限定，各种声音，影像，可执行文件和可能携带病毒等一系列的文件的下载已经被屏蔽终端用户在下载这些文件时会得到明确的拒绝信息；同时其他文档性资料的下载也已经被限制大小为1M。超过此大小的文件的下载也会被拒绝；因工作需要的下载请联系管理员；F用户不得在浏览Internet时安装外部网站提供的软件，这有可能造成系统的不稳定性和与内部系统的冲突；G使用手提的漫游用户在外地出差是可以通过拨号的方式连入Internet, 但是没有防火墙和过滤系统的保护，客户端感染病毒和受到攻击的几率将大大提高，所以我们推荐漫游用户尽量减少直接接入Internet机会；n 终端用户对网络硬盘的使用为保护终端用户的重要资料，每个终端用户在当地站点的服务器中都有一个容量为100M的网络硬盘。客户网络硬盘的连接是在客户端登陆网络时建立的，公司要求客户将个人工作相关的重要资料放置于这个硬盘，我们的备份系统将每天对这些内容做备份并存档，以防止在各种情况引起的灾难和数据丢失中的可恢复性，对于网络硬盘的使用，我们做如下限定：A.网络硬盘放置的数据必须为工作相关数据；B.因公司资源配置限制，网络硬盘的容量被限制为l00m，如果没有非常特殊的情况，对终端客户的容量不会增加；C.对网络硬盘的备份数据只保留一个月的内容；n 终端用户对备份系统的使用公司的备份系统会定期备份公司内部系统的重要数据，以确保在各种灾难发生后系统的可恢复性，备份系统对客户端开放的部分包括放置于文件服务器上的资料的备份的恢复，网络硬盘的资料恢复，邮件的恢复；在终端客户要求恢复数据以前请注意如下事项：A.恢复的内容必须是工作相关；B.必须通过email取得直接上司的授权；C.只可恢复一个月内的信息。n 终端用户对病毒防护系统的使用公司的病毒防护系统包括三个部分，分别为邮件的病毒过滤。WEB浏览的病毒过滤，文件类型病毒的过滤；对于用户而言，邮件及web的过滤是不可见的，这两部分工作由我们内部的专用服务器执行，客户端可见的是安装于所有客户端个人电脑上的文件病毒防护的客户端软件；对于文件病毒客户端软件的使用需要注意以下几个方面：A任何发入和发出系统的邮件在被检测有病毒存在后，都将被删除，同时邮件的发送者和接收者将收到来自VirusA的病毒警告信，在警告信中将列明受感染邮件的病毒信息等内容，但在病毒的爆发时期，我们可能会取消病毒的警告信，以减轻系统的负担；如果终端用户浏览的WEB内容有病毒存在，终端客户和受感染WEB之间的连接将被中断；B对客户端可操作只有安装于个人电脑上的文件病毒防护的客户端，客户端病毒码的升级和定期的扫描由内部的病毒控制服务器统一