简介此计划由 Adventure Works 总经理 Matthew 与公司主要员工合作制定。
关于 Adventure Works
我们公司拥有 20 名员工,专门提供冒险旅游系列服务。 我们的员工包括设计师、旅行代理和营销人员以及为他们提供支持的行政团队。 员工还包括企业高层管理人员: 合伙创始人 Matthew 和 Denise,以及财务总监 Steve。
目标
此安全计划是我们的第一份安全计划。 我们将广泛关注公司所面临的安全风险,并及时采取措施以降低我们的风险。 对今年上半年发生的病毒攻击,我们记忆犹新,我们希望那样的灾难不要再次发生! 而且,我希望通过更广泛的关注,我们能够预防我们尚不了解的安全威胁。
我知道,我们的时间、人力,当然还有财力都很有限。 继续成功开拓业务是我们的首要任务。 项目团队在决定怎样做时仔细权衡了这些限制条件,并努力在实用性、成本、舒适程度和安全措施之间实现平衡。 但是我们相信,无所作为决非上策。
本人负责进行此次审核,并确保所有行动项目都能得以执行。 尽管已评审这项计划,我还是关注我们面临的风险,我相信我们能够正确应对这些风险。 此计划是我们公司优先级较高的一项任务,我全力支持。
传播
本文档中包含重要的安全信息,因而它属于机密文档。 请勿随意放置或复印。 我们也不能通过电子邮件发送或将其存储在服务器上,请只使用书面副本。 授权以下人员查阅本文档:
•Matthew(总经理)
•Denise(运营总监)
•Steve(财务总监)
•Kim(经理助理)
•Sutton 和 Sutton(公司的律师)
•Jeremy(公司外部安全顾问)
项目团队
项目团队包括:
•项目经理 Denise
•Steve
•Kim
•Jeremy 对我们的员工提出意见,并参与部分意见的实施
此外,我们还与我们的销售、营销和设计人员进行协商,获取他们对自己希望的情况以及计划可能会对他们造成的影响提出反馈意见。
评估结果经过我们的评估,得出了以下结果:
技术和知识
我们的技术顾问 Jeremy 熟悉我们的系统和公司安全。 他将为我们提供专家级指导。 但是,我们需要尽可能多地做工作,以让我们自己尽可能多地掌握这方面的知识。 这样做还有助于我们节省资金。
项目团队的每位成员均阅读了 Microsoft 和 Internet 工程任务小组 (IETF) 提供的安全计划指南,以便做好准备。 公司员工都具备相当丰富的技术知识,但是绝大多数员工都将计算机看作完成工作的工具,而对计算机的工作原理知之甚少。
我们的网络和系统
下面是我们的技术设备清单:
•台式机: 22 台(每位员工一台,另外两台旧计算机用作打印服务器)
•便携式计算机: 6 台(每位总监一台,一台供 Steve 使用,另有三台供销售团队使用)
•打印机: 2 台(一台高端绘图仪和一台用于常规用途的打印传真多功能机)
•服务器: 1 台(一台运行 Windows Small Business Server 2003 并且管理 Internet 连接、电子邮件以及我们的客户数据库的计算机)
•Internet 连接: 1.5 Mbps 电缆调制解调器连接。 服务器和几台计算机通过 100 Mbps Cat5 以太网电缆连接。 其他计算机通过具有访问端口的 802.11g 无线网络连接。
除两台打印机服务器和两台行政用计算机运行 Windows 98 外,其他所有计算机均运行 Windows XP Professional。
安全
我们将每台计算机与《小型企业安全指南》中的核对清单进行了对比。 我们还运行了 Microsoft Baseline Security Analyzer。 通过执行这些措施,结果如下:
•病毒防护: 6 台计算机上没有病毒防护;4 台计算机上没有最新的病毒防护;普遍地,大多数用户都能发觉病毒,但是不太清楚如何能够防止病毒。
•垃圾邮件筛选软件: 许多用户开始抱怨垃圾邮件,但是尚未采取防护措施。
•防火墙: 我们原以为 ISP 的路由器中包含防火墙,但事实上没有;因此,我们没有防火墙。
•更新: 所有 Windows XP Professional 系统均为最新,因为该系统可以自动检查和下载更新。 但是,几台计算机上安装的 Microsoft Office 需要更新,并且安装 Windows 98 的计算机根本就没有更新。
•密码: 随机抽样调查发现,大多数人根本不使用密码,或者将密码写在便笺上并贴在计算机旁边。 特别是,没有一台便携式计算机具有密码保护。
•物理安全: 窗锁、门和报警器状况良好。 但是,所有计算机的机箱上均未标明序列号,并且我们没有序列号记录。 我们还注意到,所有人(包括 Tracy 和两位总监)都在使用同一打印机,这意味着存在偶然将机密文档遗忘在打印机旁的风险。
•便携式计算机: 所有便携式计算机均装在印有醒目制造商徽标的便携包中。 并且没有安全锁。
•无线网络: 我们只是建立了网络并使其能够运行,因此没有人改动过任何设置。 但是,这证明我们的无线网络对可以查找无线网络并且自由使用 Internet 连接的外部人员是开放的。
•Web 浏览: 每个人都认为快速 Internet 访问益处多多,但是他们一直都在使用,而没有对风险问题考虑太多。 通过内容筛选审核,我们发现有 20% 的 Web 浏览与工作无关。 我们并没有关于 Web 浏览的规定,并且没有人采取任何安全措施。
•备份: 我们每周都将服务器上的数据备份到数字音频磁带 (DAT) 驱动器上,但是没有测试是否能够还原数据;除非有人记得将本地文件复制到服务器上,否则将不会备份这些文件,这实在不能令人满意。 服务器包含有我们的主要客户数据库,因此经过认真测试的备份和在非现场位置保存一个备份副本都同样必不可少。
优先级
根据我们的评估,安全优先级如下:
1.
阻止入侵者:
•安装防火墙
•安装和更新病毒防护
•增强无线网络
•使用运行 Windows XP Professional (SP2) 的计算机更换四台运行 Windows 98 的计算机
•确保将所有计算机都配置为自动更新
•对用户进行培训并说明相关策略
2.
预防盗窃:
•帮助保护便携式计算机
•盘点和标记资产
•将服务器搬到安全且可上锁的房间
•以物理方式保护台式机和便携式计算机
3.
预防灾难:
•制定更好的非现场存储备份方案
•确保备份用户的本地数据
•非现场存储重要的书面文档副本
•通过执行还原操作来定期测试备份
4.
内部安全性和机密性:
•制定强密码策略
•保证财务部、人力资源部和总监所使用打印机的安全
•检查档案柜和机密文档的安全
安全计划进行评估后,我们制定出以下安全计划:
行动事项
1.
选择、购买和安装硬件防火墙(或让 ISP 或技术顾问提供一个)。
2.
在服务器和所有台式机上启用 Windows 防火墙。
3.
确保在所有计算机上安装防病毒软件,并且设置为自动更新病毒定义。
4.
将运行 Office Outlook 2003 的计算机配置为使用垃圾邮件筛选功能。 选择、购买并在邮件服务器上安装垃圾邮件筛选软件(如果必要)。
5.
在无线网络上,禁用服务设置标识符 (SSID) 广播,选择和配置有意义的 SSID,启用 WPA 加密,启用 MAC 筛选,并将访问点配置为只允许来自办公室中台式机和便携式计算机的流量。
6.
使用运行 Windows XP Professional (SP2) 的计算机更换四台运行 Windows 98 的计算机。
7.
查看所有计算机以确保均已完全更新,并且将它们设置为自动刷新这些更新。
8.
购买新的且无明显特征的便携式计算机包和锁。
9.
确保标记所有台式机、便携式计算机和它们的组件。
10.
记录所有序列号。
11.
为台式机购买和安装办公桌安全锁。
12.
将服务器放在一间大小合适且可以上锁的房间中。
13.
检查备份和还原过程。 在备份之前,确保定期在服务器上存储用户数据或复制用户数据。 实施每日备份。 确保每周将完全备份转移至非现场位置一次。 确保备份受到密码保护,并且进行了加密。 检查书面文档,并且复印在安全的非现场位置存储的重要文档。
14.
将 Windows Small Business Server 2003 和各台计算机配置为强制使用非常强的密码。 与用户进行讨论,确定可以接受的方便性和安全性之间的平衡。 (我们不会要求他们写下自己的新密码。)
15.
将工作站配置为如果工作站处于空闲状态五分钟以上,注销用户,并且再次登录时需要密码。
16.
为财务部、人力资源部和两位总监购买价格便宜的打印机,以便他们可以安全地打印机密文档。
响应计划
如果出现违反安全问题,我们将联系 Jeremy。 他的公司在办公期间使用一个 1 小时响应策略,在所有其他时间使用一个 4 小时响应策略来解决各种严重事件,例如感染病毒。 此外,Steve 定期监控服务器和防火墙,确保不会出现违反安全的情况。
持续维护和遵守规程
Steve 负责日常安全,Denise 全面负责。 Steve 将继续钻研该主题,订阅 Microsoft 和防病毒软件提供商的安全公告,并且定期与 Jeremy 联系,以监督是否符合新策略。
每个月,Steve 将确保更新 Windows 和我们的防病毒软件,以及备份和还原过程正常运行。 他也将负责确保正确配置和更新新的计算机设备。
Kim 负责确保对新加入公司的员工就公司的安全策略和过程进行全面培训。
将在 6 个月后全面正式的检查此计划。
资源和预算外部资源
•Sutton 和 Sutton 审阅我们重新编写的员工策略
•Jeremy 在制定此计划期间提供建议
•Jeremy 帮助实施
内部资源
•尽管我们不会直接向自己的员工支付报酬,但是为了明确资源的分配以及这项工作可占用的时间,我们已经授权使用上述的内部员工。
资产
除了有形财产外,我们的主要资产包括:
•产品设计和营销宣传材料
•供应商合同记录
•电子邮件数据库和过去电子邮件消息的存档
•销售订单和客户数据库
•用于在线预订和在线预约的业务系列 (LOB) 软件
•存放在不同档案柜中的书面法律记录
所有这些资产都被视为机密,只有在必要时才能使用。 此外,它们需要受到保护,并且尽可能安全地进行备份。
风险
我们相信风险主要分为四类:
•入侵者。 入侵者包括病毒、蠕虫、对我们计算机资源或 Internet 连接的攻击和恶意使用。 这些风险是任何使用连接到 Internet 的计算机的用户都要面临的风险。 高风险,高优先级。
•外部威胁(竞争对手、心怀不满的前员工、非法谋利者和盗窃者)。 他们可能使用与黑客相同的工具,但却是有意攻击我们;他们也有可能引诱员工提供机密信息,或甚至使用盗取的资料来勒索或诋毁我们。 我们需要保护资产的物理安全和电子安全。 高风险,高优先级。
•内部威胁。 无论是意外的还是有意的,员工都有可能误用他们的权限来泄露机密信息。 低风险,低优先级。
•事故和灾难。 火灾、洪水、意外删除、硬件故障和计算机崩溃。 低风险,中等优先级。
策略变化
Kim 将更新员工手册,以包括关于以下方面的新策略:
•电子邮件和 Internet 的可接受用途
•使用密码
•哪些人员可以将公司财产带出办公室 第一份草稿完成后,公司总监和律师会在实施之前进行审阅。
用户培训
由于这些变化,我们希望最多提供两个小时的时间,按小组形式进行用户培训。 培训包括:
•安全的重要性
•密码
•便携式计算机安全
•病毒防护
•安全的 Internet 浏览
•从服务器更新软件和操作系统
•介绍新的员工策略
•确保员工明白不遵守策略的后果
•评估员工对新策略的了解程度
•定期检查新策略的实施情况
项目时间表和责任
•前三项首要任务 — 防火墙、病毒防护和增强无线网络 — 将需要我们的安全顾问 Jeremy 特别注意。
•其余的任务将由我们自己的员工按照优先顺序完成。 我们预计前三项首要任务将在一个周内完成,其余的任务将在 30 天内完成。
•Steve 负责购买和实施技术革新。 Kim 负责所有的策略和培训要求。 Denise 将对项目进行指导,并负责出现的任何其他任务。
最新评论