网络安全周-企业安全意识手册

网络安全已经是企业整个运营中不可分割的一部分。对于企业而言，在众多公司运用新兴的网络技术的大背景下，网络安全的重要性和紧迫性也更加突出，这不仅关系到国家的安全，也关系到整个社会的稳定，也关系到企业信息化建设的健康发展，用户信息和企业核心数据资源的安全，关系到企业在经济竞争中的生存和发展。

企业网络安全现状

（一）互联网安全

企业通过网络可以把遍布世界各地的资源互联互享，但因其开放性，在网络传输信息的安全上不可避免地会面临很多危险。例如黑客攻击、垃圾邮箱泛滥、信息泄露等等，已经成为影响广泛的安全威胁。

（二）企业内部网安全

企业中不少员工对网络的不正当使用，严重降低了生产效率，消耗了企业的网络资源，并引入病毒和木马程序等。据调查，发生在企业网络的病毒事件90%以上是因浏览网页及电子邮件导致。

（三）内网与外网的连接安全

随着企业的不断壮大，逐渐会形成公司总部、分支机构、移动办公人员这样的新型互动运营模式，这三种结构之间的有线和无线网络连接安全直接影响着企业的运行效率。

企业网络安全存在哪些主要问题

       （一）人为的无意失误

　　如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

（二） 人为的恶意攻击

　　来自内部的攻击者往往会对内部网安全造成最大的威胁，造成的损失最大，所以这部分攻击者应该成为我们要防范的主要目标。

（三）网络软件的漏洞

　　和“后门”网络软件不可能是百分之百的无缺陷和无漏洞的，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过的黑客攻入网络内部的事件大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，可一旦“后门”洞开，其造成的后果将不堪设想。

  　（四） 互联网络的不安全因素

　　国际互联网络是跨越时空的，所以安全问题也是跨越时空的。虽然我们国家的网络不发达，但是我们遭到的安全危险却是同国外一样的，这是一个很严重的问题。在不同的行业，所遭受的攻击因行业和网络服务的不同而不同。在电信或者ICP市场，进攻服务系统比较多;而在银行业，对数据系统的进攻相对更频繁;政府方面，对服务的进攻，尤其是其信息发布系统很频繁。

　　（五）病毒入侵

　　目前，网络病毒种类繁多，病毒很容易通过互联网或其他途径(如通过各接入点、日常维护操作、磁盘、其他外网)进入网络内部各服务器，造成网络拥塞、业务中断、系统崩溃。而现在流行的各种新型网络病毒，将网络蠕虫、计算机病毒、木马程序合为一体，发展到融和了多种技术于一体，互相利用和协同，已不仅仅是单一的攻击和漏洞利用，使系统自身防不胜防。病毒发作对系统数据的破坏性、和系统本身都将会造成很大的影响。

　　（六）远程访问工具

　　这是另一个令人不安的事实。在绝大多数公司中，有些人使用远程访问服务，例如TeamViewer。但没有人能保证是远程访问其工作计算机的人员。它可能是企业原来的员工或网络犯罪分子。

网络安全没做好，后果很严重

根据《网络安全法》的要求，如果网络安全没做好，会有两方面的后果：

（一）直接影响业务：轻则“责令改正”，重则“责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”；

（二）影响老板个人：轻则“约谈、罚款”，重则“拘留、坐牢”。

      因此，“网络安全重不重要”已经不言而喻了。

如何做好网络安全？

（一）建章立制责任落实

依据网络安全法和等级保护要求，建立网络安全管理制度，规范信息系统的安全建设和安全运维，解决网络安全工作开展的规矩问题；构建网络安全落实主体责任工作体系，解决网络安全工作开展的责任分工问题。

（二）筑牢安全防范意识

人是引发网络安全问题的重要因素，也是保障网络安全的关键要素。因此需要对各级领导干部和全体员工开展网络安全防范意识教育，从无到有、从弱到强，最终形成良好的网络安全文化，解决网络安全工作开展的群众基础问题。

（三）构建安全保障体系

一方面是采用网络安全产品构建技术保障体系，解决网络安全工作开展的工具问题；另一方面是构建安全团队和流程，解决网络安全工作开展的队伍和协同问题。

（四）打造应急处置能力

应急处置是保障网络安全的最后一道防线，也是避免违法处罚的最后一环。因此要建设和持续提升“第一时间发现自身问题并且快速处置，比网信办、网监早一步，避免被监管通报”的能力，包括监测能力、应急演练和处置能力。

《企业安全意识手册》

01

        一机两网要杜绝

        四种形式记心间

一机两网危害巨大，一是导致病毒入侵；二是让黑客有可乘之机，被攻击利用；三是导致内部信息外泄。

联入外网指的是利用一切手段和设备，包括使用手机、安装上网卡的其他设备通过4G卡、蓝牙技术等与外网相联，不管是否浏览过网上信息，均认定已联入外网。

02

        私搭乱建触红线

        齐抓共管保安全

任何私自搭建的服务器、信息系统、WIFI无线网络等，都是违反规定的行为。

03

        杀毒软件守阵地

        修复漏洞很关键

杀毒软件就是守护电脑系统的哨兵战士，消灭入侵的不法分子。修复漏洞就是给系统打补丁，否则城门四开，即使有兢兢业业的哨兵战士也是枉然。

04

        人离桌后锁电脑

        下班关机要牢记

暂时离开电脑时使用带密码的屏幕保护功能，避免无关人员操作电脑。下班和长时间不使用电脑时关机，降低被攻击的概率。

05

        陌生网络藏阴谋

        隐私信息全窃走

公共场所的免费互联网、WIFI等可能存在钓鱼陷阱，在毫不知情的情况下，就可能面临着信息泄露的后果。

06

        敏感信息勿传送

        生产数据防泄露

内部资料特别是敏感信息不能用互联网、手机微信等传送，铁路运输生产的数据、账号、文件等不得上传至互联网。

07

        钓鱼邮件须谨防

        不明链接慎打开

来历不明的邮件、链接可能包含蠕虫、木马，可以逃避防火墙的拦截、终止杀毒软件的监控程序，一旦被植入将会释放病毒文件，窃取信息或散播病毒。

08

        访问权限严把关

        口令设置要规范

密码口令设置应符合复杂度要求，包括大（小）写字母+数字+特殊字符且不少于8位，重要系统不少于10位。禁止将口令明文存储在计算机内，禁止将口令打印张贴。

09

        U 盘硬盘严管理

        罪魁祸首传播源

移动存储介质给我们带来方便的同时，已成为继互联网之后的第二大病毒传播途径。随意使用USB端口，大大增加电脑中毒的风险，从而给网络安全带来重大隐患。

10

        敏感信息清理

清理存储在百度网盘、百度文库、邮箱等互联网存储空间上的铁路内部资料（包括铁路公文、电报、合同、方案、员工信息、工程技术资料、网络拓扑图、系统账号口令、VPN/邮箱账号、通讯录及涉及公民个人隐私的信息）。

11

        强化网络安全意识教育

强化网络安全意识，抓好网络安全教育和宣传，把网络安全放到与运输安全同等重要的位置对待，切实增强全员网络安全意识，筑牢思想防线。

    对网络安全问题必须高度重视，自觉树立安全意识，始终保持对网络安全的重视程度，积极防范和全面减少网络风险，最大限度减少计算机发生安全隐患的几率，让企业网络安全得到保障。