終端標準化實施方案資料

1、 TOC o 1-5 h z 附件2：*保險有限公司辦公電腦行為安全管控實施方案目錄背景說明：2 HYPERLINK l bookmark3 o Current Document 風險評估2外設管控 2數(shù)據(jù)泄漏審計 2軟件和進程標準化 2終端資產(chǎn)管理 2遠程控制和協(xié)助 3非 Windows 電腦管理 3 HYPERLINK l bookmark5 o Current Document 行業(yè)調(diào)研 3 HYPERLINK l bookmark7 o Current Document 管控目標： 3 HYPERLINK l bookmark9 o Current Document 終端標準化實施方案

2、 5 HYPERLINK l bookmark11 o Current Document 、硬件標準化 5 HYPERLINK l bookmark13 o Current Document 2、 AD 系統(tǒng)實現(xiàn)基礎軟件標準化5 HYPERLINK l bookmark15 o Current Document 3、終端標準化工具實現(xiàn)高級標準化控制7 HYPERLINK l bookmark17 o Current Document 4、桌面防病毒標準化 8 HYPERLINK l bookmark19 o Current Document 終端標準化管理平臺 9背景說明：終端標準化是指對公司

3、辦公電腦進行統(tǒng)一硬件、統(tǒng)一軟件，統(tǒng)一配置。終端標準化便于終端集中管理和維護，提高終端系統(tǒng)安全，有利于故障的發(fā)現(xiàn)和排除，提高員工工作效率，樹立企業(yè)統(tǒng)一形象。終端標準化的管控范圍一般指公司總部計算機系統(tǒng)、省分公司計算機系統(tǒng)。風險評估目前我公司的員工電腦使用Windows AD 域進行集中管理，通過AD域策略的管理已經(jīng)實現(xiàn)了操作系統(tǒng)和用戶的標準化管理，如操作系統(tǒng)標準化、用戶終端標準化、賬號審計策略等。根據(jù)保監(jiān)會保險機構(gòu)信息化監(jiān)管規(guī)定，再進一步推動辦公終端的安全防護時，如數(shù)據(jù)防泄漏、介質(zhì)管理、安全審計功能，通過AD 域策略已經(jīng)無法解決這些問題：1、外設管控為防止 U 盤泄露公司數(shù)據(jù)，2017 年通過A

4、D 策略封閉公司計算機的USB端口。 但由于 AD 策略無法針對特定類型的設備進行控制，導致目前因外接打印機、掃描儀、銀行U 盾等需求必須開通USB端口。目前公司已經(jīng)超過300 個用戶開通了USB端口，但缺少對通過U 盤拷貝資料的審計工具，存在較大的安全管控風險。2、數(shù)據(jù)泄漏審計目前公司內(nèi)很多領導和員工的日常溝通使用微信、QQ 等即時通信工具。目前公司僅部署了上網(wǎng)行為管理，能夠?qū)τ脩裟芊袷褂眉磿r通信工具進行控制，但不能審計到即時通信工具的聊天記錄和文件傳輸。如果公司機密信息通過QQ、微信泄露，將無法追查和審計，存在合規(guī)風險。3、軟件和進程標準化由于 AD 策略無法針對特定軟件進行限制安裝、遠程

5、卸載等功能。導致員工辦公電腦上安裝了一些QQ 管家、 360 之類的軟件，或其他一些流氓軟件、廣告軟件等，進一步導致 AD 域策略無法正常推送，嚴重影響了公司終端標準化工作的推廣落地。4、終端資產(chǎn)管理目前的資產(chǎn)管理只登記了資產(chǎn)編號，缺少更精確的計算機資產(chǎn)統(tǒng)計信息，比如 CPU/內(nèi)存 /硬盤信息等。如果有人將公司電腦拆開更換硬盤、CPU、內(nèi)存，目前無法通過監(jiān)控或?qū)徲嫲l(fā)現(xiàn)。5、遠程控制和協(xié)助目前公司沒有實時的遠程控制工具，無法對存在安全風險的終端進行實時的設備接管或阻斷。目前也沒有遠程協(xié)助和管理工具，桌面服務人員每次都要到現(xiàn)場處理問題，費時費力，效率較低。6、非Windows電腦管理公司有些部門的

6、UI 設計崗， 均使用蘋果電腦進行設計工作，AD系統(tǒng)對蘋果電腦無任何控制。導致目前蘋果電腦的管控缺失，成為內(nèi)網(wǎng)管控的盲點。行業(yè)調(diào)研針對這些問題，信息技術(shù)中心對同業(yè)的終端安全管控方案進行了調(diào)研，結(jié)果顯示，大部分的保險公司通過終端管控工具解決了以上AD 系統(tǒng)無法解決的的安全管理需求。深圳地區(qū)各個保險公司使用的桌面管控工具分別如下：公司名終端標準化管控工具及用途平安人壽聯(lián)軟（用于IM 監(jiān)控）前海人壽LANDesk（用于終端標準化）招商仁和LANDesk（用于終端標準化）和泰人壽聯(lián)軟（用于終端標準化和即時通信監(jiān)控）富德生命聯(lián)軟（終端標準化）另外 * 資產(chǎn)管理公司也已經(jīng)在2017 年采購了終端管理工具（

7、聯(lián)軟），用于用戶終端標準化和即時通信工具監(jiān)控。為更好的實現(xiàn)辦公電腦的行為安全管控，申請開展終端標準化項目。管控目標：終端標準化工作的目標是為了提升基礎運維工作的效率，加強公司對公司計算機的安全控制。為實現(xiàn)終端標準化目標，需要修訂/ 新增的配套制度有：計算機標準化管理辦法（以下簡稱標準化規(guī)范）：對現(xiàn)有的桌面服務管理辦法進行修訂，用于對終端標準化提供制度支持，制度中需明確計算機硬件、操作系統(tǒng)、應用軟件、安全配置等標準，并對規(guī)范IT 事件管理流程，面向員工提供桌面服務支持；計算機資源使用規(guī)范（以下簡稱使用規(guī)范）：用于用于規(guī)范員工使用公司電腦資源的行為標準。明確在使用公司計算機中的違規(guī)行為，明確獎懲制

8、度。 AD服務器安全配置基線（以下簡稱基線）： 用于對辦公電腦標準化中的AD策略提供制度依據(jù)，明確公司計算機應配置的安全基線。終端標準化實施方案1、硬件標準化由于硬件標準化工作中，對于不符合標準的計算機整改必須依賴于計算機硬件更新?lián)Q代，標準化工作將根據(jù)標準化規(guī)范逐步推廣。標準化管理目標：避免用戶通過修改BIOS 設置，從U 盤啟動或通過其他方式，繞過公司的監(jiān)控和審計系統(tǒng)。實現(xiàn)方式：通過標準化規(guī)范，建立計算機初始化、回收、重裝、分發(fā)流程。保證只有IT 管理員可以修改硬件配置。硬件監(jiān)控目標：避免用戶私自更換硬盤、CPU、內(nèi)存等配件，從而造成公司資產(chǎn)流失或資料外泄。實現(xiàn)方式：、計算機加鎖和封條，嚴禁

9、員工私自拆卸公司電腦。2、通過終端管控工具監(jiān)控計算機硬件資源，對于計算機硬件的異常變動自動發(fā)現(xiàn)并告警。2、 AD 系統(tǒng)實現(xiàn)基礎軟件標準化、操作系統(tǒng)標準化目標：所有公司電腦使用公司統(tǒng)一的計算機標準操作系統(tǒng)。操作系統(tǒng)標準化是保證公司實施統(tǒng)一的安全策略、實現(xiàn)標準的應用軟件以及監(jiān)控審計和遠程管理的基礎。實現(xiàn)方式：根據(jù)標準化規(guī)范，所有電腦在分發(fā)給員工之前，必須經(jīng)過IT 部進行系統(tǒng)重裝，確保計算機使用公司標準操作系統(tǒng)，默認安裝標準應用軟件和各類驅(qū)動、基礎配置符合公司標準。操作系統(tǒng)配置標準化AD域策略公司通過將計算機加入AD域進行集中管理的方式，實現(xiàn)操作系統(tǒng)基礎安全策略的統(tǒng)一管理，如管理員權(quán)限回收、桌面策略

10、、賬號密碼體系、基礎安全審計策略、以及其他可以通過AD域?qū)崿F(xiàn)的標準化功能。三級機構(gòu)和四級機構(gòu)的分層管理模式，且各個機構(gòu)之間在地域上也比較分散。為了在統(tǒng)一安全控制的基礎上分擔總部AD控制中心的負載，解決總部日常維護工作量大的問題，將AD系統(tǒng)架構(gòu)分為根域+機構(gòu)分支Ad域的二級架構(gòu)。AD 基礎運維AD域身份認證管理通過分2 級管理的方式，分公司和總部的AD服務器管理各自分支下的計算機和用戶認證信息，根域管理各二級Ad域服務器之間的新人關(guān)系，并匯總所有域的員工和計算機信息。為方便管理，將省分公司的賬號管理、計算機管理工作分發(fā)至各省分公司AD域管理員。安全控制策略管理為確保公司安全控制策略統(tǒng)一由總部下發(fā)

11、，各省份公司信息技術(shù)專員不能隨意修改安全策略， 應將安全控制策略由主控AD服務器進行下發(fā)，其他分支的AD服務器僅作為策略轉(zhuǎn)發(fā)。文件共享標準化公司提供了郵箱、KK、 FTP 服務器、文件服務器等工具用于文件共享，其中郵件和KK用于工作交流中傳遞文件，F(xiàn)TP服務器僅用于IT 中心系統(tǒng)運維使用，文件服務器用于公司內(nèi)傳遞大文件，已經(jīng)默認掛載到計算機的網(wǎng)盤中。文件服務器分為：Q盤：省分公司共享盤X盤：部門內(nèi)共享資料、Y盤：公司內(nèi)其他部門共享資料；Z盤：員工自己的文件備份。公司內(nèi)員工之間點對點傳遞資料，通過在電腦上配置共享文件夾的方式進行共享。建議將文件夾設置為默認共享文件夾，在該目錄下放一個說明文檔，用

12、于指導員工操作。實現(xiàn)方式：安全配置標準化依托于AD域下發(fā)安全策略進行統(tǒng)一管理。為保證公司計算機能夠全面的加入AD域，一方面需要加強分公司管理推進，另一方面可以通過在網(wǎng)絡上設置準入控制，強制要求員工計算機加入AD域。應用軟件標準化為避免員工私自從網(wǎng)絡上下載安裝應用軟件導致計算機感染惡意代碼，應將計算機上的應用軟件標準化，目前使用SCCM進行標準化管理。SCCM平臺實施后，可以回收計算機管理員權(quán)限，如需安裝軟件，應向SCCM管理員申請軟件，由SCCM管理員將驗證通過的軟件安裝包掛載在SCCM平臺，授權(quán)給對應的人員進行安裝。實現(xiàn)方式：通過軟件中心和AD域集成，實現(xiàn)軟件標準化。Windows補丁標準化

13、為保證公司計算機能及時有效的安裝操作系統(tǒng)補丁，防止公司電腦遭受病毒、木馬、 勒索軟件的攻擊，通過實施WSUS補丁服務器，對 Windows系統(tǒng)補丁和Microsoft 系列軟件的補丁進行標準化安裝。實現(xiàn)方式：通過AD系統(tǒng)和各級WSUS補丁服務器實現(xiàn)補丁標準化推送安裝。3、終端標準化工具實現(xiàn)高級標準化控制根據(jù)對同業(yè)的終端標準化管控工具調(diào)研情況，可以通過終端標準化工具實現(xiàn)更精準的標準化功能和高級審計功能。、硬件資產(chǎn)監(jiān)控詳見硬件標準化1.2 部分精準用戶定位目前對于終端電腦的異常行為監(jiān)控，還需要通過DHCP服務器、AD服務器、上網(wǎng)行為管理綜合審計才能將計算機與電腦進行定位，通過終端管控工具可以實現(xiàn)快

14、速精準的用戶和電腦定位。提升審計和問題處理的效率。軟件和進程控制目前一些用戶使用了2345 輸入法、百度輸入法、2345 壓縮軟件、360等存在流氓行為的免費軟件。這些免費軟件在升級時會誘導用戶安裝一些其他軟件如2345 管家、 金山管家、360 管家等，這些軟件一方面會影響電腦性能，另一方面會阻礙公司推行安全策略。影響AD策略標準化的試試效果。需要通過軟件和進程控制，禁止用戶安裝和運行存在流氓行為的軟件。即時通信工具控制目前由于各種原因，公司內(nèi)很多員工需要使用微信、QQ等即時通信工具進行工作溝通。目前尚沒有有效的手段對聊天記錄進行審計，存在公司內(nèi)部信息泄露的風險?？梢酝ㄟ^終端標準化工具限制用

15、戶禁止安裝即時通信工具，安裝了即時通信工具的用戶同時啟用聊天審計功能。USB外設管控2017 年通過 進一步加強電子文件管理的通知， 對公司計算機封閉了USB端口防止信息泄露，但由于AD策略無法識別U 盤、U盾、數(shù)字證書、外接掃描儀等不同的設備，導致因工作需要開通了超過300 臺計算機的USB權(quán)限，仍存在嚴重的信息泄露風險。可以通過終端管控工具對不同的USB設備設備權(quán)限控制，盡量減少USB開通范圍，同時對開通USB端口的計算機實施拷貝數(shù)據(jù)的審計。遠程控制和遠程協(xié)助為提升桌面事件的運維效率，通過終端標準化工具可以實現(xiàn)遠程協(xié)助。對于存在異常的終端可以實現(xiàn)遠程接管；實現(xiàn)終端安全集中管控。4、桌面防病毒標準化為防止辦公電腦感染惡意代碼，要求公司電腦統(tǒng)一安裝已經(jīng)采購的Symantec Endpoint防病毒軟件。由防病毒管理員設置防病毒軟件的統(tǒng)一策略，包括定期掃描、定期更新、自動掃描等功能，實現(xiàn)防病毒功能的標準化。終端標準化管理平臺通過終端標準化的建設，不僅僅實現(xiàn)軟硬件配置的標準化，而且實現(xiàn)終端的統(tǒng)一規(guī)劃、統(tǒng)一部署和統(tǒng)一管理，最終目標是在* 構(gòu)建一個統(tǒng)一的終端標準化支撐平臺。根據(jù)目前的標準化方案，