安防制度的组成,以下内容是安防制度里的几个重要组成部分:
计算机上机管理制度
计算机上机管理制度讨论和定义了公司计算机资源的正确使用办法。应该要求用户在开设账户时阅读和签署这份协议。用户有责任保护保存在其里的信息资料、这一点必须在协议里写清楚。用户的个人电子邮件的使用级别也要在协议里写清楚。这项制度要回答以下几个问题:
·用户能否查阅和复制自己有访问权仍不属于他们的文件;
·用户能否修改自己有写权限但不属于他们的文件;
·用户能否复制系统配置文件(如etc/passwd和SAM)供个人使用或复制给其他人;
·用户能否使用.rhosts文件。可以设置使用哪几个数据项;
·用户能否共享帐户;
·用户能否复制版权机软件。
用户账户管理制度
用户账户管理制度给出的是申请和保有系统账户的要求。大公司里的计算机用户经常会在好几个系统上有账户,所以这个制度对它们来说非常重要。批阅读和签署这份协议做为申请开设账户的一项手续是个比较好的办法。用户账户管理制度需要问答以下几个问题:
·谁有权批准开设帐户的申请;
·谁(员工、配偶、儿童、公司访客等)被允许使用公司的计算机资源;
·用户能否在一个系统上开设多个账户;
·用户能否共享账户;
·用户都有哪些权利和义务;
·账户都会在什么时候被禁用和归档;
远程访问管理制度
远程访问管理制度规定了公司内部网络的远程连接办法。这个制度对今天的企业有很重要的意义,因为用户和网络可能分布在广大的地域上。这个制度应该把允许使用的远程访问内部资源的手段都包括进来,比如拨号(SLIP、PPP)、ISDN/帧中继、经过因特网的Telnet访问、有线电视调制解调器/DSL,等等。这项制度需要回答以下几个问题:
·哪些人有权使用远程访问服务?
·公司支持哪几种连接方法(比如只支持宽带调制解调器/DSL或拨号);
·内部网络上是否允许使用向外拨号的调制解调器;
·远程系统上有没有额外的使用要求—比如强制性的杀毒软件和安防软件;
·员工家庭里的其他成员能否使用公司的网络;
·对被远程访问的数据是否有限制。
信息保护管理制度
化息保护管理制度规定了用户在处理、保存和传输敏感数据时的正确做法.这个制度的主要目的是要确保受保护信息不会被在非授权的情况下被修改和公开。公司的现有员工都必须签署这份协议,新员工在岗位培训时必须学习这项制度、信息保护管理制度需要问答以下几个问题:
·信息的敏感级别是如何设定的;
·哪些人可以访问到敏感的信息;
·敏感信息是如何保存和传输的;
·哪个级别敏感信息允许在公共打印机上打印出来;
·如何从存储介质上删除敏感信息(碎纸机、硬盘整理、软盘消磁等)。
防火墙管理制度
防火墙管理制度规定了防火墙硬件和防火墙软件的管理办法,规定了改变防火墙配置、的时的审批手续这项制度需要问答以下几个问题:
·哪些人有防火墙系统的访问权;
·如果需要改变防火墙的配署情况,需要向谁提出申请;
·如果需要改变防火墙的配置情况,申请将由谁来批准;
·哪此人可以看到防火墙的配置规则和它的访问清单;
·防火墙配置情况的检查周期是多长时间。
特殊访问权限管理制度
特殊访问权限管理制度规定了系统特殊账户(根用户账户、系统管理员账户等)的申请和使用办法。这项制度需要回答以下几个问题:
·特殊访问权限需要向谁提出申请;
·特殊访问权限需要由谁来批准;
·特殊访问权限的口令字规则是什么;
·多长时间改变一次口令;
·什么理由或情况会导致用户的特殊访问权限被取消。
网络连接设备管理制度
网络连接设备管理制度规定了给网络增加新设备的要求,它需要回答以下几个问题:
·哪些人有权在网络上安装设备;
·安装新设备需要由谁来批准;
·安装新设备时应该通知哪些人;
·网络设备的增减情况由谁来记录;
·对网络上新增加的设备有没有安防要求。
商业伙伴管理制度
商业伙伴管理制度规定了企业的商业伙计公司都应该具备什么样的安防条件。随着电子商务的发展,公司内部网络对商业伙伴、顾客、供应商的开放程度越来越大,商业伙伴管理制度也就越来越重要。这方面的规定在每一份商业伙伴协议里都会有很大的变化,但它至少需要回答以下几个重要的问题:
·是否要求每一个商业伙伴公司都必须有一份书面的安防制度;
·是否要求每一个商件伙伴公司都必须有个防火墙或其他网络边界安防设备;
·通信交流是如何进行的(因特网上的VPN虚拟专用网、租用专线、等等);
·如果想访问商业伙伴的信息资源,应该如何提出申清。
其他重要规定
你可能还需要制定其他几项规章制度,比如说:
·无线网络管理制度—帮助加强无线网络的安全防护措施,内容包括哪些设备可以无线接入、需要采取哪此安防措施,等等;
·实验室管理制度—如果企业里有一个测试实验室,就要用这项制度来保护内部网络免受其影响而降低安全性。最好是让测试实验室另外使用一条完全独立的同特网连接,使它与公司内部的业务网络没有什么连接通路。
·个人数字助理(PDA)管理制度—这项制度明确了是否允许PDA设备连接到公司的内部网络、怎样建立连接、是否允许把PDA软件安装在公司的系统上等问题。这些设备会给你的技术支持部门带来许多支持和混用方面的问题。
顾客管理制度
有此公司还向顾客、潜在顾客、和商业伙伴们提供其安全防护体系的概括性讨论报告。这有助于展示企业对安防环境的重视和经验。
