终端标准化实施方案
- 格式:doc
- 大小:47.93 KB
- 文档页数:9
附件2:
****保险有限公司
办公电脑行为安全管控实施方案
目录
背景说明: (2)
风险评估 (2)
1、外设管控 (2)
2、数据泄漏审计 (2)
3、软件和进程标准化 (2)
4、终端资产管理 (2)
5、远程控制和协助 (3)
6、非Windows电脑管理 (3)
行业调研 (3)
管控目标: (3)
终端标准化实施方案 (5)
1、硬件标准化 (5)
2、AD系统实现基础软件标准化 (5)
3、终端标准化工具实现高级标准化控制 (7)
4、桌面防病毒标准化 (8)
终端标准化管理平台 (9)
背景说明:
终端标准化是指对公司办公电脑进行统一硬件、统一软件,统一配置。终端标准化便于终端集中管理和维护,提高终端系统安全,有利于故障的发现和排除,提高员工工作效率,树立企业统一形象。
终端标准化的管控范围一般指公司总部计算机系统、省分公司计算机系统。
风险评估
目前我公司的员工电脑使用Windows AD域进行集中管理,通过AD域策略的管理已经实现了操作系统和用户的标准化管理,如操作系统标准化、用户终端标准化、账号审计策略等。
根据保监会《保险机构信息化监管规定》,再进一步推动办公终端的安全防护时,如数据防泄漏、介质管理、安全审计功能,通过AD域策略已经无法解决这些问题:
1、外设管控
为防止U盘泄露公司数据,2017年通过AD策略封闭公司计算机的USB端口。但由于AD策略无法针对特定类型的设备进行控制,导致目前因外接打印机、扫描仪、银行U盾等需求必须开通USB端口。
目前公司已经超过300个用户开通了USB端口,但缺少对通过U盘拷贝资料的审计工具,存在较大的安全管控风险。
2、数据泄漏审计
目前公司内很多领导和员工的日常沟通使用微信、QQ等即时通信工具。目前公司仅部署了上网行为管理,能够对用户能否使用即时通信工具进行控制,但不能审计到即时通信工具的聊天记录和文件传输。
如果公司机密信息通过QQ、微信泄露,将无法追查和审计,存在合规风险。
3、软件和进程标准化
由于AD策略无法针对特定软件进行限制安装、远程卸载等功能。导致员工办公电脑上安装了一些QQ管家、360之类的软件,或其他一些流氓软件、广告软件等,进一步导致AD域策略无法正常推送,严重影响了公司终端标准化工作的推广落地。
4、终端资产管理
目前的资产管理只登记了资产编号,缺少更精确的计算机资产统计信息,比如CPU/内存/硬盘信息等。
如果有人将公司电脑拆开更换硬盘、CPU、内存,目前无法通过监控或审计发现。
5、远程控制和协助
目前公司没有实时的远程控制工具,无法对存在安全风险的终端进行实时的设备接管或阻断。
目前也没有远程协助和管理工具,桌面服务人员每次都要到现场处理问题,费时费力,效率较低。
6、非Windows电脑管理
公司有些部门的UI设计岗,均使用苹果电脑进行设计工作,AD系统对苹果电脑无任何控制。导致目前苹果电脑的管控缺失,成为内网管控的盲点。
行业调研
针对这些问题,信息技术中心对同业的终端安全管控方案进行了调研,结果显示,大部分的保险公司通过终端管控工具解决了以上AD系统无法解决的的安全管理需求。深圳地区各个保险公司使用的桌面管控工具分别如下:
另外**资产管理公司也已经在2017年采购了终端管理工具(联软),用于用户终端标准化和即时通信工具监控。
为更好的实现办公电脑的行为安全管控,申请开展终端标准化项目。
管控目标:
终端标准化工作的目标是为了提升基础运维工作的效率,加强公司对公司计算机的安全控制。
为实现终端标准化目标,需要修订/新增的配套制度有:
《计算机标准化管理办法》(以下简称标准化规范):对现有的《桌面服务管理办法》进行修订,用于对终端标准化提供制度支持,制度中需明确计算机硬件、操作系统、应用
软件、安全配置等标准,并对规范IT事件管理流程,面向员工提供桌面服务支持;
《计算机资源使用规范》(以下简称使用规范):用于用于规范员工使用公司电脑资源的行为标准。明确在使用公司计算机中的违规行为,明确奖惩制度。
《AD服务器安全配置基线》(以下简称基线):用于对办公电脑标准化中的AD策略提供制度依据,明确公司计算机应配置的安全基线。
终端标准化实施方案
1、硬件标准化
由于硬件标准化工作中,对于不符合标准的计算机整改必须依赖于计算机硬件更新换代,标准化工作将根据《标准化规范》逐步推广。
1.1、标准化管理
目标:避免用户通过修改BIOS设置,从U盘启动或通过其他方式,绕过公司的监控和审计系统。
实现方式:通过《标准化规范》,建立计算机初始化、回收、重装、分发流程。保证只有IT管理员可以修改硬件配置。
1.2、硬件监控
目标:避免用户私自更换硬盘、CPU、内存等配件,从而造成公司资产流失或资料外泄。
实现方式:
1、计算机加锁和封条,严禁员工私自拆卸公司电脑。
2、通过终端管控工具监控计算机硬件资源,对于计算机硬件的异常变动自动发现并告警。
2、AD系统实现基础软件标准化
2.1、操作系统标准化
目标:所有公司电脑使用公司统一的计算机标准操作系统。操作系统标准化是保证公司实施统一的安全策略、实现标准的应用软件以及监控审计和远程管理的基础。
实现方式:根据《标准化规范》,所有电脑在分发给员工之前,必须经过IT部进行系统重装,确保计算机使用公司标准操作系统,默认安装标准应用软件和各类驱动、基础配置符合公司标准。
2.2 操作系统配置标准化
1)AD域策略
公司通过将计算机加入AD域进行集中管理的方式,实现操作系统基础安全策略的统一管理,如管理员权限回收、桌面策略、账号密码体系、基础安全审计策略、以及其他可以通过AD域实现的标准化功能。
由于公司的管理架构是分为总部、省分公司、三级机构和四级机构的分层管理模式,且