终端实用标准化实施方案设计

附件2：

****保险有限公司

办公电脑行为安全管控实施方案

目录

背景说明： (2)

风险评估 (2)

1、外设管控 (2)

2、数据泄漏审计 (2)

3、软件和进程标准化 (2)

4、终端资产管理 (2)

5、远程控制和协助 (3)

6、非Windows电脑管理 (3)

行业调研 (3)

管控目标： (3)

终端标准化实施方案 (5)

1、硬件标准化 (5)

2、AD系统实现基础软件标准化 (5)

3、终端标准化工具实现高级标准化控制 (7)

4、桌面防病毒标准化 (8)

终端标准化管理平台 (9)

背景说明：

终端标准化是指对公司办公电脑进行统一硬件、统一软件，统一配置。终端标准化便于终端集中管理和维护，提高终端系统安全，有利于故障的发现和排除，提高员工工作效率，树立企业统一形象。

终端标准化的管控范围一般指公司总部计算机系统、省分公司计算机系统。

风险评估

目前我公司的员工电脑使用Windows AD域进行集中管理，通过AD域策略的管理已经实现了操作系统和用户的标准化管理，如操作系统标准化、用户终端标准化、账号审计策略等。

根据保监会《保险机构信息化监管规定》，再进一步推动办公终端的安全防护时，如数据防泄漏、介质管理、安全审计功能，通过AD域策略已经无法解决这些问题：

1、外设管控

为防止U盘泄露公司数据，2017年通过AD策略封闭公司计算机的USB端口。但由于AD策略无法针对特定类型的设备进行控制，导致目前因外接打印机、扫描仪、银行U盾等需求必须开通USB端口。

目前公司已经超过300个用户开通了USB端口，但缺少对通过U盘拷贝资料的审计工具，存在较大的安全管控风险。

2、数据泄漏审计

目前公司内很多领导和员工的日常沟通使用微信、QQ等即时通信工具。目前公司仅部署了上网行为管理，能够对用户能否使用即时通信工具进行控制，但不能审计到即时通信工具的聊天记录和文件传输。

如果公司机密信息通过QQ、微信泄露，将无法追查和审计，存在合规风险。

3、软件和进程标准化

由于AD策略无法针对特定软件进行限制安装、远程卸载等功能。导致员工办公电脑上安装了一些QQ管家、360之类的软件，或其他一些流氓软件、广告软件等，进一步导致AD域策略无法正常推送，严重影响了公司终端标准化工作的推广落地。

4、终端资产管理

目前的资产管理只登记了资产编号，缺少更精确的计算机资产统计信息，比如CPU/内存/硬盘信息等。

如果有人将公司电脑拆开更换硬盘、CPU、内存，目前无法通过监控或审计发现。

5、远程控制和协助

目前公司没有实时的远程控制工具，无法对存在安全风险的终端进行实时的设备接管或阻断。

目前也没有远程协助和管理工具，桌面服务人员每次都要到现场处理问题，费时费力，效率较低。

6、非Windows电脑管理

公司有些部门的UI设计岗，均使用苹果电脑进行设计工作，AD系统对苹果电脑无任何控制。导致目前苹果电脑的管控缺失，成为内网管控的盲点。

行业调研

针对这些问题，信息技术中心对同业的终端安全管控方案进行了调研，结果显示，大部分的保险公司通过终端管控工具解决了以上AD系统无法解决的的安全管理需求。深圳地区各个保险公司使用的桌面管控工具分别如下：

另外**资产管理公司也已经在2017年采购了终端管理工具（联软），用于用户终端标准化和即时通信工具监控。

为更好的实现办公电脑的行为安全管控，申请开展终端标准化项目。

管控目标：

终端标准化工作的目标是为了提升基础运维工作的效率，加强公司对公司计算机的安全控制。

为实现终端标准化目标，需要修订/新增的配套制度有：

《计算机标准化管理办法》（以下简称标准化规范）：对现有的《桌面服务管理办法》

进行修订，用于对终端标准化提供制度支持，制度中需明确计算机硬件、操作系统、应用软件、安全配置等标准，并对规范IT事件管理流程，面向员工提供桌面服务支持；

《计算机资源使用规范》（以下简称使用规范）：用于用于规范员工使用公司电脑资源的行为标准。明确在使用公司计算机中的违规行为，明确奖惩制度。

《AD服务器安全配置基线》（以下简称基线）：用于对办公电脑标准化中的AD策略提供制度依据，明确公司计算机应配置的安全基线。

终端标准化实施方案

1、硬件标准化

由于硬件标准化工作中，对于不符合标准的计算机整改必须依赖于计算机硬件更新换代，标准化工作将根据《标准化规范》逐步推广。

1.1、标准化管理

目标：避免用户通过修改BIOS设置，从U盘启动或通过其他方式，绕过公司的监控和审计系统。

实现方式：通过《标准化规范》，建立计算机初始化、回收、重装、分发流程。保证只有IT管理员可以修改硬件配置。

1.2、硬件监控

目标：避免用户私自更换硬盘、CPU、内存等配件，从而造成公司资产流失或资料外泄。

实现方式：

1、计算机加锁和封条，严禁员工私自拆卸公司电脑。

2、通过终端管控工具监控计算机硬件资源，对于计算机硬件的异常变动自动发现并告警。

2、AD系统实现基础软件标准化

2.1、操作系统标准化

目标：所有公司电脑使用公司统一的计算机标准操作系统。操作系统标准化是保证公司实施统一的安全策略、实现标准的应用软件以及监控审计和远程管理的基础。

实现方式：根据《标准化规范》，所有电脑在分发给员工之前，必须经过IT部进行系统重装，确保计算机使用公司标准操作系统，默认安装标准应用软件和各类驱动、基础配置符合公司标准。

2.2 操作系统配置标准化

1)AD域策略

公司通过将计算机加入AD域进行集中管理的方式，实现操作系统基础安全策略的统一管理，如管理员权限回收、桌面策略、账号密码体系、基础安全审计策略、以及其他可以通过AD域实现的标准化功能。

由于公司的管理架构是分为总部、省分公司、三级机构和四级机构的分层管理模式，且