附件2:
目录。背景说明: 2
风险评估 2
1、 外设管控 2
2、 数据泄漏审计 2
3、 软件和进程标准化 2
4、 终端资产管理 2
5、 远程控制和协助 3
6、 非windows电脑管理 3
行业调研 3
管控目标: 3
终端标准化实施方案 5
1、硬件标准化 5
2、ad系统实现基础软件标准化 5
3、终端标准化工具实现高级标准化控制 7
4、桌面防病毒标准化 8
终端标准化管理平台 9
背景说明:终端标准化是指对公司办公电脑进行统一硬件、统一软件,统一配置。终端标准化便于终端集中管理和维护,提高终端系统安全,有利于故障的发现和排除,提高员工工作效率,树立企业统一形象。
终端标准化的管控范围一般指公司总部计算机系统、省分公司计算机系统。
目前我公司的员工电脑使用windows ad域进行集中管理,通过ad域策略的管理已经实现了操作系统和用户的标准化管理,如操作系统标准化、用户终端标准化、账号审计策略等。
根据保监会《保险机构信息化监管规定》,再进一步推动办公终端的安全防护时,如数据防泄漏、介质管理、安全审计功能,通过ad域策略已经无法解决这些问题:
1、外设管控。
为防止u盘泄露公司数据,2023年通过ad策略封闭公司计算机的usb端口。但由于ad策略无法针对特定类型的设备进行控制,导致目前因外接打印机、扫描仪、银行u盾等需求必须开通usb端口。
目前公司已经超过300个用户开通了usb端口,但缺少对通过u盘拷贝资料的审计工具,存在较大的安全管控风险。
2、数据泄漏审计。
目前公司内很多领导和员工的日常沟通使用微信、qq等即时通信工具。目前公司仅部署了上网行为管理,能够对用户能否使用即时通信工具进行控制,但不能审计到即时通信工具的聊天记录和文件传输。
如果公司机密信息通过qq、微信泄露,将无法追查和审计,存在合规风险。
3、软件和进程标准化。
由于ad策略无法针对特定软件进行限制安装、远程卸载等功能。导致员工办公电脑上安装了一些qq管家、360之类的软件,或其他一些流氓软件、广告软件等,进一步导致ad域策略无法正常推送,严重影响了公司终端标准化工作的推广落地。
4、终端资产管理。
目前的资产管理只登记了资产编号,缺少更精确的计算机资产统计信息,比如cpu/内存/硬盘信息等。
如果有人将公司电脑拆开更换硬盘、cpu、内存,目前无法通过监控或审计发现。
5、远程控制和协助。
目前公司没有实时的远程控制工具,无法对存在安全风险的终端进行实时的设备接管或阻断。
目前也没有远程协助和管理工具,桌面服务人员每次都要到现场处理问题,费时费力,效率较低。
6、非windows电脑管理。
公司有些部门的ui设计岗,均使用苹果电脑进行设计工作,ad系统对苹果电脑无任何控制。导致目前苹果电脑的管控缺失,成为内网管控的盲点。
针对这些问题,信息技术中心对同业的终端安全管控方案进行了调研,结果显示,大部分的保险公司通过终端管控工具解决了以上ad系统无法解决的的安全管理需求。深圳地区各个保险公司使用的桌面管控工具分别如下:
另外**资产管理公司也已经在2023年采购了终端管理工具(联软),用于用户终端标准化和即时通信工具监控。
为更好的实现办公电脑的行为安全管控,申请开展终端标准化项目。
终端标准化工作的目标是为了提升基础运维工作的效率,加强公司对公司计算机的安全控制。
为实现终端标准化目标,需要修订/新增的配套制度有:
计算机标准化管理办法》(以下简称标准化规范):对现有的《桌面服务管理办法》进行修订,用于对终端标准化提供制度支持,制度中需明确计算机硬件、操作系统、应用软件、安全配置等标准,并对规范it事件管理流程,面向员工提供桌面服务支持;
计算机资源使用规范》(以下简称使用规范):用于用于规范员工使用公司电脑资源的行为标准。明确在使用公司计算机中的违规行为,明确奖惩制度。
ad服务器安全配置基线》(以下简称基线):用于对办公电脑标准化中的ad策略提供制度依据,明确公司计算机应配置的安全基线。
由于硬件标准化工作中,对于不符合标准的计算机整改必须依赖于计算机硬件更新换代,标准化工作将根据《标准化规范》逐步推广。
1.1、标准化管理。
目标:避免用户通过修改bios设置,从u盘启动或通过其他方式,绕过公司的监控和审计系统。
实现方式:通过《标准化规范》,建立计算机初始化、**、重装、分发流程。保证只有it管理员可以修改硬件配置。
1.2、硬件监控。
目标:避免用户私自更换硬盘、cpu、内存等配件,从而造成公司资产流失或资料外泄。
实现方式:1、计算机加锁和封条,严禁员工私自拆卸公司电脑。
2、通过终端管控工具监控计算机硬件资源,对于计算机硬件的异常变动自动发现并告警。
2.1、操作系统标准化。
目标:所有公司电脑使用公司统一的计算机标准操作系统。操作系统标准化是保证公司实施统一的安全策略、实现标准的应用软件以及监控审计和远程管理的基础。
实现方式:根据《标准化规范》,所有电脑在分发给员工之前,必须经过it部进行系统重装,确保计算机使用公司标准操作系统,默认安装标准应用软件和各类驱动、基础配置符合公司标准。
2.2 操作系统配置标准化。
1) ad域策略。
公司通过将计算机加入ad域进行集中管理的方式,实现操作系统基础安全策略的统一管理,如管理员权限**、桌面策略、账号密码体系、基础安全审计策略、以及其他可以通过ad域实现的标准化功能。
由于公司的管理架构是分为总部、省分公司、**机构和四级机构的分层管理模式,且各个机构之间在地域上也比较分散。为了在统一安全控制的基础上分担总部ad控制中心的负载,解决总部日常维护工作量大的问题,将ad系统架构分为根域+机构分支ad域的二级架构。
1 ad基础运维。
ad域身份认证管理通过分2级管理的方式,分公司和总部的ad服务器管理各自分支下的计算机和用户认证信息,根域管理各二级ad域服务器之间的新人关系,并汇总所有域的员工和计算机信息。
为方便管理,将省分公司的账号管理、计算机管理工作分发至各省分公司ad域管理员。
2 安全控制策略管理。
为确保公司安全控制策略统一由总部下发,各省份公司信息技术专员不能随意修改安全策略,应将安全控制策略由主控ad服务器进行下发,其他分支的ad服务器仅作为策略**。
2.3、文件共享标准化。
公司提供了邮箱、kk、ftp服务器、文件服务器等工具用于文件共享,其中邮件和kk用于工作交流中传递文件,ftp服务器仅用于it中心系统运维使用,文件服务器用于公司内传递大文件,已经默认挂载到计算机的网盘中。文件服务器分为:
q盘:省分公司共享盘。
x盘:部门内共享资料、
y盘:公司内其他部门共享资料;
z盘:员工自己的文件备份。
公司内员工之间点对点传递资料,通过在电脑上配置共享文件夹的方式进行共享。建议将d:\share\文件夹设置为默认共享文件夹,在该目录下放一个说明文档,用于指导员工操作。
实现方式:安全配置标准化依托于ad域下发安全策略进行统一管理。为保证公司计算机能够全面的加入ad域,一方面需要加强分公司管理推进,另一方面可以通过在网络上设置准入控制,强制要求员工计算机加入ad域。
2.4、应用软件标准化。
为避免员工私自从网络上**安装应用软件导致计算机感染恶意**,应将计算机上的应用软件标准化,目前使用sccm 进行标准化管理。
sccm平台实施后,可以**计算机管理员权限,如需安装软件,应向sccm管理员申请软件,由sccm管理员将验证通过的软件安装包挂载在sccm平台,授权给对应的人员进行安装。
实现方式:通过软件中心和ad域集成,实现软件标准化。
2.5、windows补丁标准化。
为保证公司计算机能及时有效的安装操作系统补丁,防止公司电脑遭受病毒、木马、勒索软件的攻击,通过实施wsus补丁服务器,对windows系统补丁和microsoft 系列软件的补丁进行标准化安装。
实现方式:通过ad系统和各级wsus补丁服务器实现补丁标准化推送安装。
根据对同业的终端标准化管控工具调研情况,可以通过终端标准化工具实现更精准的标准化功能和高级审计功能。
3.1、硬件资产监控。
详见硬件标准化1.2部分。
3.2、精准用户定位。
目前对于终端电脑的异常行为监控,还需要通过dhcp服务器、ad服务器、上网行为管理综合审计才能将计算机与电脑进行定位,通过终端管控工具可以实现快速精准的用户和电脑定位。提升审计和问题处理的效率。
3.3、软件和进程控制。
目前一些用户使用了2345输入法、输入法、2345压缩软件、360等存在流氓行为的免费软件。这些免费软件在升级时会诱导用户安装一些其他软件如2345管家、金山管家、360管家等,这些软件一方面会影响电脑性能,另一方面会阻碍公司推行安全策略。影响ad策略标准化的试试效果。
需要通过软件和进程控制,禁止用户安装和运行存在流氓行为的软件。
3.4、即时通信工具控制。
目前由于各种原因,公司内很多员工需要使用微信、qq等即时通信工具进行工作沟通。目前尚没有有效的手段对聊天记录进行审计,存在公司内部信息泄露的风险。
可以通过终端标准化工具限制用户禁止安装即时通信工具,安装了即时通信工具的用户同时启用聊天审计功能。
3.5、usb外设管控。
2023年通过《进一步加强电子文件管理的通知》,对公司计算机封闭了usb端口防止信息泄露,但由于ad策略无法识别u盘、u盾、数字证书、外接扫描仪等不同的设备,导致因工作需要开通了超过300台计算机的usb权限,仍存在严重的信息泄露风险。
可以通过终端管控工具对不同的usb设备设备权限控制,尽量减少usb开通范围,同时对开通usb端口的计算机实施拷贝数据的审计。
3.6、远程控制和远程协助。
为提升桌面事件的运维效率,通过终端标准化工具可以实现远程协助。对于存在异常的终端可以实现远程接管;实现终端安全集中管控。
为防止办公电脑感染恶意**,要求公司电脑统一安装已经采购的symantec endpoint防病毒软件。
标准化实施方案
危险化学品生产经营活动安全标准化规范认证 实施方案 公司所属各单位 根据省 市两级 对我公司2011年安全工作的要求,为进一步树立 以人为本 的管理理念,加强公司安全生产基础工作,规范安全管理相关活动,提升公司整体安全管理水平,经研究,决定在全公司范围内开展 危险化学品生产经营活动安全标准化规范认证...
标准化实施方案
中铁十五局集团格库铁路 青海段 工程指挥部推行标准化管理实施方案。第一章总体目标 推进思路及推进计。一 推行项目标准化管理的总体目标 总体要求 总体目标 构建本标段工程项目的标准化管理体系 建立统一的技术标准 管理标准 作业标准 实现项目管理标准化 杜绝铁路项目施工不良行为 杜绝一般及以上质量事故 ...
标准化实施方案
公司安全标准化实施方案。安全标准化管理是预防事故 加强安全生产管理的重要基础 是落实 生产法律法规的具体体现。我公司 补充我公司的安全管理现状 从事故发生的原因分析,主要集中在违反操作规程 违反劳动纪律或违章指挥,以及生产场所环境不良方面。通过开展安全标准化工作,可改善企业安全生产条件,规范和改进企...