【正文】 質(zhì)的密碼，并定期修改，建議每季度修改一次。不同用途的郵箱設(shè)置不同的密碼。 ?第二十八條 防范電子郵件傳播病毒的基本要求： ? 1) 在收發(fā)電子郵件前，應(yīng)確認(rèn)防病毒軟件實時監(jiān)控功能已開啟； ? 2) 對每次收到的電子郵件，使用前均檢查病毒； ? 3) 在收到來自公司內(nèi)部員工發(fā)來的含有病毒的郵件，除自己進(jìn)行殺毒外，還應(yīng)及時通知對方殺毒； ? 4) 不打開可疑郵件、垃圾郵件、不明來源郵件等提供的附件或網(wǎng)址，對這類郵件直接刪除； 安全策略實例 ?第二十九條 防范垃圾郵件的基本要求： ? 1) 經(jīng)常使用的郵箱，尤其是公司內(nèi)部郵箱，應(yīng)盡量避免在互聯(lián)網(wǎng)上公開。例如：網(wǎng)上調(diào)查表填寫、網(wǎng)站用戶注冊、 BBS論壇中。 ? 2) 不要回復(fù)可疑郵件、垃圾郵件、不明來源郵件。 ?第三十條 防范數(shù)據(jù)泄露的基本要求： ? 1) 收發(fā)公司業(yè)務(wù)相關(guān)的郵件時，必須使用公司內(nèi)部郵箱，并盡量要求對方使用對方公司內(nèi)部郵箱。 ? 2) 發(fā)送敏感數(shù)據(jù)時，應(yīng)采用加密郵件方式發(fā)送。 ? 3) 不要在免費郵箱上保存敏感數(shù)據(jù)。 信息安全策略模板 目 錄 ? 1. 目的和范圍 ? 2. 術(shù)語和定義 ? 3. 引用文件 ? 4. 職責(zé)和權(quán)限 ? 5. 信息安全策略 ? . 信息系統(tǒng)安全組織 ? . 資產(chǎn)管理 ? . 人員信息安全管理 ? . 物理和環(huán)境安全 ? . 通信和操作管理 ? . 信息系統(tǒng)訪問控制 ? . 信息系統(tǒng)的獲取、開發(fā)和維護(hù)安全 ? . 信息安全事故處理 ? . 業(yè)務(wù)連續(xù)性管理 ? . 符合性要求 ? 1 附件 ?網(wǎng)絡(luò)與信息系統(tǒng)總體結(jié)構(gòu)初步分析 ?信息安全需求分析 ?信息安全體系結(jié)構(gòu)的設(shè)計目標(biāo)、指導(dǎo)思想與設(shè)計原則 ?安全策略的制定與實施 信息安全體系結(jié)構(gòu)規(guī)劃與設(shè)計 網(wǎng)絡(luò)與信息系統(tǒng)總體結(jié)構(gòu)初步分析 ?校園網(wǎng)絡(luò)的建設(shè) 特點：由于用戶規(guī)模的限制，這些網(wǎng)絡(luò)屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主。 ?2網(wǎng)絡(luò)結(jié)構(gòu)圖： 信息安全需求分析 ?貫穿在信息安全體系結(jié)構(gòu)設(shè)計與實施的整個過程中，因此需求是非常之重要的一個環(huán)節(jié)。 ?需求分析涉及的層面： 物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全和安全管理 。 信息安全需求分析 ?什么是信息安全需求？ ?信息安全需求來源 ?信息安全需求分析 什么是信息安全需求？ ? 信息安全需求是對抗和消除安全風(fēng)險的必要方法和措施，安全需求是制定和實施安全策略的依據(jù)。 ? 通過安全需求分析明確需要保護(hù)哪些信息資產(chǎn) ?需要投入多大力度 ?應(yīng)該達(dá)到怎樣的保護(hù)程度 ? 2 信息安全 信息安全需求分析 來源 ? 法律法規(guī)、合同條約的要求 ? 組織自身的信息安全要求 ? 風(fēng)險評估的結(jié)果 風(fēng)險評估是獲得信息安全需求的主要來源。 安全需求 信息安全需求分析 系 ? 把風(fēng)險降低到可以接受的程度； ? 威脅和 /或攻擊信息系統(tǒng)（如非法獲取或修改數(shù)據(jù)）所花的代價大于入侵信息系統(tǒng)后所獲得的現(xiàn)實的和潛在的信息系統(tǒng)資源的價值。 1. 信息系統(tǒng)的脆弱性是安全風(fēng)險產(chǎn)生的內(nèi)因，威脅和攻擊是安全風(fēng)險產(chǎn)生的外因。 2. 人們對安全風(fēng)險有一個認(rèn)識過程，一般地，安全需求總是滯后于安全風(fēng)險的發(fā)生。 3. 零風(fēng)險永遠(yuǎn)是追求的極限目標(biāo)，所以信息系統(tǒng)安全體系的成功標(biāo)志是風(fēng)險的最小化、收斂性和可控性，而不是零風(fēng)險。 3 信息安 信息安全需求分析 求分析 ? 物理安全 ? 系統(tǒng)安全 ? 網(wǎng)絡(luò)安全 ? 數(shù)據(jù)安全 ? 應(yīng)用安全 ? 安全管理 物理安全（基礎(chǔ)） ?意義：從外界環(huán)境、基礎(chǔ)設(shè)施、運行硬件、介質(zhì)等方面為信息系統(tǒng)安全運行提供基本的底層支撐和保障。 ?：保障存放計算機(jī)與網(wǎng)絡(luò)設(shè)備的機(jī)房、信息系統(tǒng)設(shè)備和數(shù)據(jù)存儲介質(zhì)等免受物理環(huán)境、自然災(zāi)害以及人為操作失誤和惡意操作等各種所產(chǎn)生的攻擊。 物理安全 物理安全需求 描 述 物理位置選擇 考慮周圍的外部環(huán)境以及所選物理位置能否為信息系統(tǒng)正常運行提供物理上的基本保障。 物理訪問控制 控制內(nèi)部授權(quán)用戶和臨時外部人員進(jìn)出系統(tǒng)物理環(huán)境。 防盜竊和破壞 考慮機(jī)房內(nèi)的設(shè)備、介質(zhì)和通信線纜等的安全性，如設(shè)置監(jiān)控報警裝置。 防雷電 考慮雷電對設(shè)備造成的不利影響。 防靜電 考慮靜電對設(shè)備和人員造成的傷害。 防火災(zāi) 考慮防范火災(zāi)的措施。 溫度和濕度控制 保證各種設(shè)備正常運行的溫度和濕度范圍。 電力供應(yīng) 防止電源故障、電力波動范圍過大的措施。 電磁防護(hù) 防止電磁輻射可能造成的信息泄漏或被竊取的措施。 2. 系統(tǒng)安全（中堅力量） ?含義：又稱主機(jī)系統(tǒng)安全，主要是提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)，以實現(xiàn)操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全運行。 ?系統(tǒng)安全是保障信息系統(tǒng)安全的中堅力量。 系統(tǒng)安全 系統(tǒng)安全需求 描 述 操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器的安全需求 根據(jù)信息系統(tǒng)的定級要求，選擇滿足相應(yīng)級別的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和服務(wù)器。 基于主機(jī)的入侵檢測 檢測針對主機(jī)的未授權(quán)使用、誤用和濫用的情況。 基于主機(jī)的漏洞掃描 周期性運行以檢測主機(jī)的脆弱性并評估其安全性的防御方法。 基于主機(jī)的惡意代碼檢測與防范 檢測主機(jī)中的惡意代碼并進(jìn)行刪除、報警等處理。 基于主機(jī)的文件完整性檢查 周期性運行以檢驗文件的完整性以及文件更改的時間。 容災(zāi)、備份與恢復(fù) 確保系統(tǒng)對災(zāi)害、攻擊和破壞具有一定的抵抗能力。 3. 網(wǎng)絡(luò)安全 ?作用：為信息系統(tǒng)提供安全的網(wǎng)絡(luò)運行環(huán)境。表現(xiàn)在兩個方面：一是，確保網(wǎng)絡(luò)系統(tǒng)安全運行，提供有效地網(wǎng)絡(luò)服務(wù)；二是，確保在網(wǎng)上傳輸數(shù)據(jù)的機(jī)密性、完整性和可用性。 ?安全需求：傳輸、網(wǎng)絡(luò)邊界防護(hù)、網(wǎng)絡(luò)上的檢查與響應(yīng)安全需求 3. 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全需求 描 述 傳輸安全 考慮傳輸線路上的信息泄露、搭線竊聽、篡改和破壞等安全需求。 網(wǎng)絡(luò)邊界防護(hù)安全 限制外部非授權(quán)用戶對內(nèi)部網(wǎng)絡(luò)的訪問。 基于網(wǎng)絡(luò)的入侵檢測 檢測針對網(wǎng)絡(luò)的未授權(quán)使用、誤用和濫用的情況。 基于網(wǎng)絡(luò)的惡意代碼檢測和防范 檢測網(wǎng)絡(luò)中的惡意代碼并進(jìn)行刪除、報警等處理。 網(wǎng)絡(luò)漏洞掃描 周期性運行以檢測網(wǎng)絡(luò)的脆弱性并評估其安全性的防御方法。 數(shù)據(jù)安全 ?關(guān)注對象：信息系統(tǒng)中存儲、傳輸和處理等過程中的數(shù)據(jù)安全。 ?安全需求 ? 數(shù)據(jù)機(jī)密性 ? 數(shù)據(jù)完整性 ? 數(shù)據(jù)可控性 ? 數(shù)據(jù)的不可否認(rèn)性 ? 數(shù)據(jù)備份和恢復(fù) 應(yīng)用安全 ?意義：主要保障信息系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運行。 ?安全需求 :主要涉及口令機(jī)制和關(guān)鍵業(yè)務(wù)系統(tǒng)的對外接口 。 ? 對外接口包括：電子郵件、文件傳輸、語音通信、視屏點播、 Web網(wǎng)站等 ?相關(guān)技術(shù)：加密、數(shù)字簽名、訪問控制、認(rèn)證、密鑰恢復(fù)、網(wǎng)絡(luò)監(jiān)控管理和行政管理 應(yīng)用安全 ?典型業(yè)務(wù)應(yīng)用程序的安全需求 ? 電子郵件 ? 文件傳輸 ? 語音通信 ? 視屏?xí)h與視屏點播 ? Web網(wǎng)站 安全管理 ? 信息系統(tǒng)的生命周期主要包括五個階段：初級階段、采購 /開發(fā)階段、實施階段、運行維護(hù)階段、廢棄階段。 ?安全管理主要基于三個原則 : ? 多人負(fù)責(zé)原則 。 ? 任期有限原則 。 ? 職責(zé)分離原則 。 ? 安全管理的安全需求 ? 1）、安全管理制度 ? 2）、安全管理機(jī)構(gòu) ? 3）、人員安全管理 ? 4）、系統(tǒng)建設(shè)管理 ? 5）、系統(tǒng)維護(hù)管理 信息安全體系結(jié)構(gòu)的設(shè)計目標(biāo)、指導(dǎo)思想與設(shè)計原則 ?設(shè)計目標(biāo) ?指導(dǎo)思想 ?設(shè)計原則 設(shè)計目標(biāo) ?針對所要保護(hù)的信息系統(tǒng)資源，假設(shè)資源攻擊者及其攻擊的目的、技術(shù)手段和造成的后果，分析系統(tǒng)所受到的已知的、可能的各種威脅，進(jìn)行信息系統(tǒng)的安全風(fēng)險分析，并形成信息系統(tǒng)的安全需求。 ?安全需求和據(jù)此制定的安全策略應(yīng)盡可能地抵抗所預(yù)見的安全風(fēng)險。信息系統(tǒng)安全體系結(jié)構(gòu)的目標(biāo)就是從管理和技術(shù)上保證安全策略完整準(zhǔn)確地得到實現(xiàn)，安全需求全面準(zhǔn)確地得到滿足，包括必需的安全服務(wù)、安全機(jī)制和技術(shù)管理的確定，以及它們在系統(tǒng)上的合理部署和配置。 指導(dǎo)思想 ?遵從國家有關(guān)信息安全的政策、法令和法規(guī)，根據(jù)業(yè)務(wù)應(yīng)用的實際需要，結(jié)合信息安全技術(shù)與產(chǎn)品的研究與研發(fā)現(xiàn)狀、近期的發(fā)展目標(biāo)和未來的發(fā)展趨勢，吸取國內(nèi)外的先進(jìn)經(jīng)驗和成熟技術(shù)，采用科學(xué)的設(shè)計方法，力爭在設(shè)計中融入具有自己知識產(chǎn)權(quán)的技術(shù)與產(chǎn)品，鼓勵技術(shù)與產(chǎn)品創(chuàng)新。 設(shè)計原則 ?需求明確 ?代價平衡 ?標(biāo)準(zhǔn)優(yōu)先 ?技術(shù)成熟 ?管理跟進(jìn) ?綜合防護(hù) 作業(yè) ?某 IT 公司總部位于某省會城市的高新科技園區(qū)，并在四川、遼寧、河北、廣東設(shè)有分公司。企業(yè)信息網(wǎng)絡(luò)承載了企業(yè)的 OA 、財務(wù)管理系統(tǒng)、 FTP 服務(wù)和企業(yè)商務(wù)網(wǎng)站、郵件服務(wù)等數(shù)據(jù)通信業(yè)務(wù)。該網(wǎng)絡(luò)拓?fù)淙鐖D 所示。 作業(yè) ?(1)企業(yè)總部局域網(wǎng)通過一臺核心三層交換機(jī)實現(xiàn)各部門網(wǎng)絡(luò)間數(shù)據(jù)的高速交換。 ?(2) 企業(yè)總部分別租用網(wǎng)通、電信線路連接到本地ISP ，各分公司通過網(wǎng)通或電信 ADSL 線路連接到本地 ISP ，企業(yè)總部與分公司通過 Inter 實現(xiàn)網(wǎng)絡(luò)互聯(lián)。 ?(3) 企業(yè)總部 Web 服務(wù)器 (內(nèi)部地址 : 10. O. 1. 10 / 24 。外部地址 : . / 28) 、企業(yè)總部郵件服務(wù)器 (內(nèi)部地址 : 10. O. 1. 11 / 24 。外部地址: / 28) 可供內(nèi)外網(wǎng)用戶訪問。企業(yè)總部 FTP 服務(wù)器（ 10. O. 1. 12 / 24) 僅供企業(yè)內(nèi)網(wǎng)用戶訪問。 作業(yè) 企業(yè)網(wǎng)絡(luò)安全需求 ，使用 debug 命令監(jiān)視設(shè)備運行，但不能修改配置 2. 企業(yè)總部各部門都能訪問網(wǎng)絡(luò)中心服務(wù)器和 Inter ，外網(wǎng)不可以發(fā)起對內(nèi)網(wǎng)的連接 3. 公司領(lǐng)導(dǎo)、財務(wù)部網(wǎng)絡(luò)可以互訪，但總部其他部門不能主動發(fā)起對這幾個部門的連接請求 4. 在內(nèi)網(wǎng)與外網(wǎng)之間過濾非法流量，并能進(jìn)行常見網(wǎng)絡(luò)攻擊的監(jiān)測與防護(hù) 5. 實現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的地址轉(zhuǎn)換，使企業(yè)總部各部門都可以訪問 Inter 資源，同時公網(wǎng)也能訪問企業(yè)總部的 Web 、 Mail 服務(wù)器 6. 保護(hù)公司財務(wù)部與各分公司財務(wù)部的通信安全 ?請為該企業(yè)網(wǎng)絡(luò)設(shè)計一個整體的安全方案