隨著信息技術(shù)的飛速發(fā)展��,企業(yè)信息化應(yīng)用遍布生產(chǎn)過(guò)程中的每個(gè)環(huán)節(jié),企業(yè)經(jīng)營(yíng)信息的獲取也變得唾手可得����。當(dāng)信息的訪問(wèn)變得如此便捷時(shí),信息安全的威脅也變得無(wú)處不在��。
年初的華潤(rùn)零售集團(tuán)行動(dòng)方案分享會(huì)上�,湯洪濤副總裁專門強(qiáng)調(diào)了對(duì)行動(dòng)方案內(nèi)容的保密要求。最近�,公司CEO、COO在各自的辦公會(huì)議上����,要求各地重視公司經(jīng)營(yíng)數(shù)據(jù)的安全保密工作。這意味著公司對(duì)信息安全的重視程度上升到了一個(gè)前所未有的高度���。那么���,我們的廣大員工同事們,是否都對(duì)信息安全有著同樣的認(rèn)識(shí)呢?你們是否知道自己身邊存在哪些信息安全隱患?你們的哪些動(dòng)作可能會(huì)引發(fā)信息安全事故?
前幾天��,在跟業(yè)務(wù)部門的部分同事溝通全國(guó)VSS系統(tǒng)合并項(xiàng)目工作���,在談到供應(yīng)商的權(quán)限管理時(shí)�,我們提出要重視供應(yīng)商用戶權(quán)限維護(hù)的觀點(diǎn),業(yè)務(wù)同事表示:已經(jīng)跟供應(yīng)商簽了協(xié)議�,供應(yīng)商自己要管理好自己的用戶、口令����,否則供應(yīng)商要承擔(dān)相應(yīng)的責(zé)任。
這個(gè)案例反映出我們的部分同事在信息安全方面的意識(shí)還是比較淡薄的:VSS系統(tǒng)中的數(shù)據(jù)���,首先是我們公司的經(jīng)營(yíng)數(shù)據(jù)�,其次才能看作是供應(yīng)商的個(gè)體數(shù)據(jù)���。我們有權(quán)利���、有責(zé)任也有必要約束供應(yīng)商�����,要求供應(yīng)商管理好用戶�����、口令�,確保數(shù)據(jù)不外泄。
信息安全就同消防安全一樣,預(yù)防為主�、撲救為輔。技術(shù)手段可以幫助提升信息安全的預(yù)防能力�����,但技術(shù)手段畢竟是有限的��,在如今信息技術(shù)高度發(fā)達(dá)�、新技術(shù)層出不窮的世界中,誰(shuí)也說(shuō)不準(zhǔn)“魔”和“道”兩者誰(shuí)會(huì)更高一尺誰(shuí)又會(huì)更高一丈��。因此����,預(yù)防信息安全事故發(fā)生的關(guān)鍵是完善公司的信息安全管理制度,提高全員的信息安全防范意識(shí)���,信息安全的意識(shí)必須自高層領(lǐng)導(dǎo)到基層普通員工��,逐級(jí)灌輸�����、全員普及�����。
在這里���,我不準(zhǔn)備跟大家探討信息安全的技術(shù)問(wèn)題�����,也不討論如何建立信息安全管理制度以及如何培養(yǎng)信息安全意識(shí)的問(wèn)題����,只想和大家一起來(lái)溫習(xí)一下我們身邊有那些可能存在信息安全隱患的行為���、場(chǎng)景�,以及應(yīng)該注意的問(wèn)題��。
黑客攻擊�、木馬/盜號(hào)
1. 慎重點(diǎn)擊你不熟悉的網(wǎng)頁(yè)鏈接�。
2. 慎重安裝你不清楚的軟件或插件。
3. 慎重接收陌生人傳給你的任何文件�����。
4. 不要隨意共享文件。
5. 維護(hù)好你機(jī)器上的防病毒軟件和防火墻����,及時(shí)更新病毒庫(kù)。
6. 登錄系統(tǒng)完成操作后����,記住及時(shí)退出系統(tǒng)。
7. 發(fā)現(xiàn)自己的機(jī)器中病毒后�����,第一件事情是拔掉網(wǎng)線����。
密碼管理
1. 你是不是把所有系統(tǒng)的口令都設(shè)成一樣的?
2. 你的密碼長(zhǎng)度有多長(zhǎng)?為空嗎?或者只有1位、2位���、3位數(shù)字?
3. 你的密碼是否簡(jiǎn)單的很方便他人記憶和猜測(cè)?如使用工號(hào)���、生日、電話號(hào)碼……
4. 你上一次修改密碼是在幾年前?
5. 在某知情員工調(diào)崗或離職后���,你有沒(méi)有及時(shí)修改公共用戶的密碼?
6. 因?yàn)槟撤N非常非常特殊而且合理的原因��,把自己的密碼告訴他人后��,你有沒(méi)有及時(shí)修改?
授權(quán)管理
1. 你是否有將自己的系統(tǒng)口令告知下屬�����,讓下屬代替自己完成系統(tǒng)操作?
2. 有意或錯(cuò)誤將系統(tǒng)權(quán)限授予不該擁有該等權(quán)限的人�。
3. 員工離職后有沒(méi)有及時(shí)凍結(jié)或刪除其相應(yīng)的系統(tǒng)權(quán)限?
4. 所有的授權(quán)都是需要管理的,有管理就會(huì)產(chǎn)生麻煩���,你會(huì)因?yàn)槁闊┒鲆暟踩刂茊?
打印/數(shù)據(jù)導(dǎo)出
1. 無(wú)處不在的打印功能����。誰(shuí)都可以使用打印功能嗎?
2. 無(wú)處不在的Excel或文本導(dǎo)出功能���。誰(shuí)都可以要求增加數(shù)據(jù)導(dǎo)出的權(quán)限嗎?
文件傳輸
1. 誰(shuí)有權(quán)限對(duì)外傳輸含公司商業(yè)數(shù)據(jù)的文件?
2. 誰(shuí)要求(授權(quán))你給他人傳輸含公司商業(yè)數(shù)據(jù)的文件?
3. 你把含公司商業(yè)數(shù)據(jù)的文件都傳給了誰(shuí)?
4. 對(duì)外傳輸含公司商業(yè)數(shù)據(jù)的文件是否經(jīng)過(guò)了公司的審批流程?
機(jī)器設(shè)備安全
1. 你的電腦主機(jī)的上面或者旁邊�����,是否有一個(gè)小魚缸����、一瓶綠色植物?
2. 你的茶杯離你的電腦主機(jī)有多遠(yuǎn)?
3. 你的電腦主機(jī)放在地上還是桌子上?
……
您不經(jīng)意的一個(gè)小動(dòng)作��,就有可能形成信息安全隱患��,保護(hù)好身邊的信息數(shù)據(jù)!
�。ɡ顒x)
