1. 上网行为管理:

1.1 在办公时间内滥用互联网现象,主要分为以下几类:

1.1.1  获取与工作无关的资讯活动,如浏览新闻、看小说、看图片、收看收听视频和音频等。

1.1.2  从互联网下载与工作内容无关的数据,如音乐、电影、程序及其他资料等。

1.1.3  从事获取个人收益的活动,如网上购物、炒股、兼职、发布广告等。

1.1.4  进行虚拟世界的沟通活动,如上网聊天、BBS论坛、博客、收发私人邮件等。

1.2 管控建议:

1.2.1  上网情况实时监控:

通过“上网行为管理软件或设备”实时查看用户当前的上网情况,并实时查看全部人员或个人的情况;

主要针对EMAIL,上传和下载,网页浏览,QQ/即时通信、网络游戏,P2P行为,流媒体软件等,规范上网行为。

1.2.2  上网历史记录查询:

查询前一段时间内用户的详细上网记录和Web访问记录。主要为防止网络滥用、保护公司机密—所有邮件内容和附件要被记录。

1.2.3  上网权限控制:

根据制定的上网权限控制用户上网,如预先制定经理级以上及一般员工的上网权限控制,然后按员工的级别来设定相应的权限。

控制上网的时间、访问的网站及不能去的IP地址等。

重要部门人员禁止使用QQ、MSN等即时通软件。

1.2.4  设置专门上网的电脑:

设置多台可以上网的公共电脑,供因公需要上网的员工使用,同时限定上网的时间、时段。这些电脑应放置在公共区域可供大家监督。

1.2.5  合理安排上网时间:

制定网络使用作息时间,将上网分为上班和下班两个时段,将互联网资源分时间开放。

在上班时间内,根据不同的部门只开放工作允许的网络资源,在关键的网络业务高峰时段,则限制部分员工上网或禁止使用某些网络;

 

2. 企业内部资料安全管理:

目前,公司重要资料分别为:ERP,HR,EMAIL,开发工程资料,采购资料,财务资料等,就安全管理方面来说还不够严密,还存在一些安全隐患。

因此,必须组织建立起一个包括“人力防火墙”和“技术防火墙”在内的、完备的信息安全管理体系:员工培训、策略执行和技术监控。

2.1.培训:

对所有与内网安全有关的人员进行安全培训,培训的内容包括法律法规、内部制度、安全意识和与岗位相关的重点安全防范技能等。

2.2 按职级、部门进行多级管理:

2.2.1  对于管理用户,可以按各部门的权限表设定相应的管理权限。

2.2.2  针对系统权限问题,需加强权限管理以及细化,对于共享文件的权限应由各部负责人严加保密。

2.2.3  对特殊用户可以将其设为免监控,该用户的所有网络行为将不再受本系统所管理,如公司最高层用户。

2.3 从多方面对终端主机进行审计:

审计功能会带来一种强大的威慑力,所有的操作都会留下记录,故日常操作行为自然就规范起来了,从而也就达到了管理的目的。

2.3.1  实时审计:查看员工用计算机的实时情况,在做什么;

2.3.2  资产审计:查看员工是否私自更换安装硬软件;

2.3.3  网址审计:查看员工是否有上一些非法网站等;

2.3.4  邮件审计:记录员工收发邮件的内容和附件信息,是否有机密文件泄漏的现象;

2.3.5  FTP审计:通过FTP做了哪些文件操作;

2.3.6  文件审计:对哪些重要文件进行了操作,比如复印、移动等,都会留下一条记录;

2.3.7  打印审计:对打印行为进行记录,就会发现是否有滥用打印机的情况,以及是否打印了重要文件;

2.3.8  违规审计:可以发现哪个员工是否经常有违规操作行为。

 

3. 异常情况处理:

3.1  制定规范有效的上网管理制度,对员工非工作上网行为,制定管理条例,做到有章可依、有令可处,并加以宣传教育,从思想意识和制度规范上减少非工作上网行为。