终端安全管理规定

终端安全管理规定

主导部门：IT部

支持部门：N/A

审批：IT部

文档编号：IT-V01

生效日期：

终端安全管理规定1.目的

终端安全管理规定的目的是为了加强公司信息安全保障能力，建立健全公司的安全管理体系，提高整体的网络与信息安全水平，保证业务系统的正常运营，提高网络服务质量，在公司安全体系框架下（准入系统），本规定加强公司终端的管理，规范公司终端的配置和使用，降低由于个人对终端的使用不当而给公司造成的风险，提高公司终端标准化程度。

2.范围

本规定适用于公司所有使用终端的员工以及管理终端的系统管理员。

3.定义

3.1终端

终端泛指一切可以接入网络的计算设备，如笔记本电脑、台式电脑、智能手机、

平板电脑等。

3.2用户账号

用户账号是用户用于访问公司信息系统的唯一的身份标识，包括用户名和密码。用户账号分为终端账号、AD账号、业务系统账号、VPN账号，以及后台管理账号。

3.3办公终端

办公终端指用户办公目的，连接办公系统的终端。

4.职责和权限

阐述本规定涉及的部门（角色）职责与权限。

4.1IT部的职责和权限

公司IT部门负责终端安全策略的统一规划，制定终端的技术安全规范，定期检查

公司终端的安全情况。

4.2IT系统Infra组和CIM组的职责和权限

IT系统Infra组负责办公终端安全的具体工作，ITCIM组负责生产终端安全的具体工作，要求各系统进行终端区域的划分，定期检查各系统终端的安全使用情况。

4.3系统管理员的职责和权限

各系统的管理员应根据要求严格执行终端的安全操作规范。

5.内容

5.1生产终端安全要求

公司生产终端系统安全配置应该遵循以下原则：

5.1.1应划分专用的生产终端接入网络区域，生产终端应根据接入区域的配置要求进

行接入。

5.1.2各系统生产终端都应统一部署系统安全配置策略，并对系统信息配置信息进行

备案登记。

5.1.3公司生产终端使用的软件必须是正版软件，禁止安装与生产工作无关的软件，

如游戏、音乐、视频、第三方检测工具等。

5.1.4公司生产终端必须安装防病毒系统，Infra系统管理员应定期检查并保持更新

病毒码为最新病毒码。

5.1.5公司生产终端必须及时安装安全补丁，Infra系统管理员应定期检查并保持系

统补丁（泛指操作系统高危漏洞的安全补丁）全面安装。

5.1.6公司生产终端应根据用户权限设置账户和口令，根据公司《用户账号管理流程

规定》中的规定进行设置。

5.1.7公司生产终端禁止开放没有限制的文件共享。

5.1.8公司生产终端应根据业务需要仅打开必须的端口服务,其它端口全部关闭。5.1.9公司生产终端应根据公司计算机命名方式统一命名。

5.1.10公司生产终端应设定带密码保护的屏幕保护，并确保在无人看管的情况下能够

进行限时自动锁屏。

5.1.11公司生产终端在未经授权的情况下，禁止通过任何方式接入Internet网络。

严禁通过安装USB无线网卡或使用智能手机设置热点的方式访问互联网，如生产需要必须访问互联网或远程协助调试设备时，根据公司已颁布的《IT网络及电脑使用规定》，向ITInfra组提交《用户权限申请表》，审核通过后，由Infra工程师开放其对应端口的网络访问权限，并在约定的时间点内关闭端口，同时做好相应的记录。

5.1.12在未经公司允许的情况下，禁止私自在生产终端接入光驱、移动存储、调制解

调器、红外设备、无线设备和串口设备等外设。

5.1.13对用于非24小时监控用途的生产终端，考虑到节约能源、提高产品的使用效

率及更好的实行成本效益控制，要求在下班后必须关闭机器。

5.1.14对于超过使用期限的生产终端，如果需要淘汰、报废或者利旧，应按照公司资

产管理流程要求和涉密信息处理流程进行数据清除后再进行资产处置。

5.2办公终端安全要求

5.2.1公司所有的使用办公终端，必须统一安装公司标准的准入系统客户端。

5.2.2公司所有办公终端的命名应符合公司计算机命名规范。

5.2.3公司所有的办公终端应统一部署预定义的系统安全配置策略和授权的标准

软件。

5.2.4公司所有的办公终端应正确安装防病毒系统，确保及时更新病毒码。

5.2.5公司所有的办公终端应及时安装高危系统漏洞弄补丁，应与公司发布的补

丁保持一致。

5.2.6公司所有办公终端的密码不能为空，根据《用户账号管理流程规定》中的

密码规定严格执行。

5.2.7公司所有办公终端不得私自转借给他人使用或用于其他商业形式的用途。

5.2.8公司的移动办公终端在外出办公时，不得使其处于无人看管状态。

5.2.9公司的移动办公终端不允许借给无关人员操作，防止信息的泄密和数据破

坏。

5.2.10公司办公终端不得私自安装盗版软件和与工作无关的软件，不得私自安装

扫描软件或黑客攻击工具（例如360安全卫士和QQ腾讯管家等第三方扫描工

具）。

5.2.11公司办公终端在无工作需求的情况下，应关闭IIS,TELNET以及FTP等不必

要的服务；

5.2.12公司办公终端的Internet访问需有策略或者工具进行控制和监控；公司办

公终端应启用设置密码的屏幕保护程序。

5.3报告和处理

5.3.1使用终端的过程中，如果发现设备具有可疑安全情况，或发生病毒和安全

事件，应由ITInfra部门组织人员或Helpdesk工程师进行处理。

5.3.2IT系统人员如发现终端的信息安全问题，应以电话或邮件的方式通知本部

门和IT部门最高领导，由IT部负责调查，并组织协调安全问题的处理。

5.3.3终端的信息安全事件应依照《信息安全事件管理程序》中定义的流程进行

处理和响应。