篇一:终端安全管理办法v3
康恩贝计算机终端
安全管理办法
2012年8月
目录
第一章 总则 ...................................................................................................................3
第二章 计算机终端自身安全防护管理办法...........................................................................4
第一节 计算机终端资产登记.........................................................................................4
第二节 计算机终端系统补丁及病毒防护管理 ................................................................5
第三节 计算机终端安全漏洞检查管理...........................................................................5
第三章 内部网络系统接入管理办法 .....................................................................................6
第四章 文档安全管理办法 ...................................................................................................7
第一节 移动介质管理办法 ............................................................................................7
第二节 文档传输、共享管理办法..................................................................................8
第五章 计算机终端行为管理办法.........................................................................................9
第一节 计算机终端外联管理办法..................................................................................9
第二节 计算机终端上网行为、软件安装管理办法 .........................................................9
第六章 计算机终端安全巡检管理办法................................................................................ 10
第一章 总则
第一条 为加强公司内部计算机终端安全管理工作,确保通信生产
和工作用计算机设备安全正常运行,保障企业重要数据资源,防范系统风险,制订了《康恩贝股份有限公司计算机
第二条
第三条
第四条
第五条
终端安全管理办法》。所有公司从业人员、合作伙伴长期服务提供人员都必须认真执行本管理办法,切实做好计算机终端安全工作。 本管理办法中描述的计算机终端是指全省范围内,所有用于日常工作,且需要访问业务内部网络系统的计算机终端设备。 计算机终端使用人员分类: 公司从业人员:康恩贝正式员工由于工作需要,长期访问公司业务内部网络系统。 合作伙伴人员:厂商、集成商、代理商等第三方员工需长期为公司服务,访问公司业务内部网络系统。 其它人员:临时来访人员,可能需临时访问公司业务内部网络系统等。 部门相关职责如下:综合管理部负责计算机终端资产管理;企业信息化部负责计算机终端维护;网络发展部负责计算机终端采购;安全保卫部负责信息安全。 公司计算机终端安全管理办法遵循以下基本目标: 1. 保障企业重要信息的安全性。 2. 规范计算机终端的使用行为,建立良好的工作环境和 ???
员工职业素质。
第六条 本管理办法依照“谁使用、谁负责”的原则。
第二章 计算机终端自身安全防护管理办法
第七条
第八条
第九条
第十条
第一节 计算机终端资产登记 计算机终端资产信息包括CPU、主板、内存、硬盘、网卡、光驱等,以及计算机终端资产责任人真实姓名、所属单位、部门、联系方式、需访问的业务内部网络系统。 系统自动获取信息为CPU、主板、内存、硬盘、网卡、光驱等硬件信息客观信息 手动信息为姓名、公司全称(下拉选择)、部门、手机号码、Email,需要手动收入 各分公司应建立计算机终端管理员岗位。 系统可以分区域分部门管理配置权限 为确保企业资产不流失,计算机终端管理员负责登记每台工作终端(私人终端除外)信息。计算机终端信息登记后禁止私自拆装、升级、改装、维修计算机终端设备。当计算机终端硬件发生变化后,相关资产责任人员应主动向计算机终端管理员报备。 系统自动采集终端设备硬件变化信息 计算机终端及相应帐号的命名应遵守统一的命名方法:公
司从业人员使用域帐号,合作伙伴人员使用姓名全拼+公司简拼的命名方式,不得随意更改。
第二节 计算机终端系统补丁及病毒防护管理
第十一条 计算机终端资产责任人应定期检查系统补丁更新情况,
及时安装系统补丁。
第十二条 计算机终端资产责任人应安装系统杀毒软件,并定期更
新病毒库。
第十三条 计算机终端资产责任人应定期进行病毒查、杀工作。 第十四条 没有及时安装系统补丁以及没有安装杀毒软件或没有定
期更新病毒码的计算机终端不允许接入公司业务内部网络系统。
系统可以定期检查系统补丁更新情况,及时安装系统补丁;系统安装系统杀毒软件,并定期更新病毒码,同时对没有及时安装系统补丁以及没有安装杀毒软件或没有定期更新病毒码的计算机终端隔离。补丁和病毒更新需管理员上传。
第三节 计算机终端安全漏洞检查管理
第十五条 计算机终端应使用屏保,且等待时间应设置在5分钟以
内。登录密码、屏保密码密码长度不得低于8位,以数字、
篇二:浅谈企业计算机终端安全管理
浅谈企业计算机终端安全管理
计算机终端是大多数用户访问网络和数据的工具,但是许多企业、组织却在信息安全管理及部署中忽略了对终端的控制,通常一个企业或组织会把精力集中放在部署防火墙等边界安全防护上来保护其内部数据不受外来入侵者的非法访问,却因为对计算机终端的管理不善而造成数据丢失或系统被入侵,因此确保终端计算机的安全性已成为企业信息安全保障工作中的重要环节,在此背景下,省公司重点提出了在科学有效地部署计算机终端安全防护体系中应注意的问题,以及应对的措施。
一、 引言
随着近年来的信息化进程越来越迅速,信息安全问题也逐步被重视,但现今人们主要把精力都集中在网络边界的防护上,而研究表明引起信息安全问题事件的大多数原因是由于对网络内部IT终端的管理不善而造成的,据CERT报道有九成以上的安全问题是由于计算机终端系统的脆弱性及配置不当造成的,诸如缺少补丁,脆弱的用户名密码或开启不必要的服务等,可见计算机终端的安全管理已经成为信息安全的最大潜在威胁。网络安全呈现出了新的发展趋势,安全战场已经逐步由对核心与主干的防护,转向对网络边缘的
每一个终端的管理。因此,研究如何在等级保护环境下科学有效部署计算机终端安全防护体系,是当前省公司信息安全保障工作中迫在眉睫的任务。
二、 内网计算机终端的威胁现状
信息安全是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然的恶意的原因遭到破坏、更改和泄露。经过总结,目前认为危害内网终端计算机信息安全的主要因素有以下几个方面:
1)缺乏终端网络准入机制:有些计算机终端未经任何身份认证和安全认证,就可以随意接入网络,访问网络和计算机的资源,对整个网络和应用造成很大的安全威胁。
2)系统漏洞的广泛存在:包括操作系统、浏览器、办公软件以及媒体播放器等常用软件的漏洞广泛存在。如果漏洞补丁安装不完全、不及时,将给病毒、木马、恶意软件等入侵系统造成可乘之机。
3)木马、病毒等恶意软件的攻击手段层出不穷:计算机病毒是一段可执行的程序代码,通过对其他程序进行修改,可以感染这些程序使其含有该病毒程序的一个副本。一旦病毒执行时,它可以完成任何功能,例如删除文件和程序等。在实际工作中需要从互联网上下载信息后在内网上应用。因此在内网中要求采用刻录光盘的方式进行内网和互联
网之间的传递。但是如果将感染了病毒的文件刻录到的光盘中,然后在内网终端计算机上使用,内网终端计算机也会感染上病毒,病毒也会在内网中传播。然而,有的终端计算机不安装防病毒、防黑客软件,即使安装了不及时升级更新病毒特征库。
4)用户缺乏安全知识:有些用户缺乏必要的信息安全知识,未能及时采取合适的安全防护措施保护终端,如安全配置不正确、系统补丁安装不完全、不及时,防病毒软件及其他常用软件未及时升级等。有些用户安全意识淡薄,在非涉密终端上处理涉密或敏感信息,直接导致涉密或敏感信息泄密。
5)欠缺对终端计算机用户的行为监控:有的用户可在终端计算机上能随意安装、运行软件,这些软件很有可能带有恶意代码,或者随意拷走涉密文件,违规使用涉密移动存储设备,造成泄密事件的发生;或者故意在终端上运行恶意软件,传播恶意代码、实施破坏或窃密。而在一些内网中对用户操作行为欠缺方便、及时和强大的安全监控和日志审计功能,对用户的违规甚至违法行为无法报警和记载。
三、 内网计算机终端安全管理的目标与要求
从信息系统安全保护等级的角度对终端计算机系统进行了五个安全等级的划分。在身份鉴别(认证)、访问控制、
数据加密、病毒防护、系统加固、安全审计等方面,其针对各安全级别计算机终端保护都提出了清晰的安全目标与基本要求。简单总结来看,对于计算机终端安全保护的安全目标基本可概括为能够监测和分析终端安全状态,可以控制和记录终端的操作行为,统一配置终端安全策略,以使终端“可信、可控、可管、可用”,保护终端正常、安全地运行。从基本要求来看,对计算机终端安全保护提出了技术和管理两方面的基本要求,组织机构在实施等级保护工作时可根据相关国家标准来完善各等级信息系统的计算机终端安全保护措施。
四、 内网计算机终端安全管理体系
(一) 信息安全的管理措施
1. 增强信息安全保护意识
有的人认为:要想保证信息安全,只需要把安全方案做的详细,硬件设备和软件产品配置的先进就可以了。这是一种错误的想法。信息安全工作靠这些是远远不够的,或者说也仅仅是治标不治本。要实行“人防”和“技防”相结合, 一方面抓紧配置必要的技术装备,另一方面掌握必备的防范手段, 不断提高管理和操作人员的业务水平和技术防范能力。抓好思想教育,通过召开全体大会,剖析典型案例,提高全体人
员对计算机信息安全重要性和必要性的认识,克服麻痹大意思想,自觉在工作中养成良好安全意识。
2. 建立和完善信息安全制度
为了真正实现对数量众多和环境复杂的网络终端进行有效的管理,还需要配套制定相应的管理制度,加强规范管理和制度控制。制定一系列安全管理制度用于规范管理和操作人员的行为,明确具体责任,制度要有很强的可操作性。只有这样,才能保证它的有效实施。如制定相应的机房出入管理制度,口令密码管理制度等;制定严格的操作规程,操作规程要根据职责分离和对人负责的原则,各负其责,不能超越自己的管辖范围;制定完善的系统维护制度,详细记录故障原因、维护内容和维护前后的情况;制定信息安全应急响应预案和处理办法,形成完整的信息安全保障制度。
3. 提高保障信息安全技能
信息化建设是科技含量很高的工作,需要集结一批有专业素质的人才队伍。为了适应信息技术迅猛发展的现实,也需要对现有信息技术人员进行有针对性、适应实际需要的培训,提高专业队伍的素质水平。同时,信息安全工作做的好,需要每一名终端使用者掌握一定的信息安全方面的知识。因此,应该结合各自实际,加大全员培训力度,达到人人熟悉
篇三:9、终端安全管理规定
终端安全管理规定
主导部门:支持部门:审 批:文档编号:生效日期:
IT部 N/A IT部 IT-V01
终端安全管理规定
1. 目的
终端安全管理规定的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下(准入系统),本规定加强公司终端的管理,规范公司终端的配置和使用,降低由于个人对终端的使用不当而给公司造成的风险,提高公司终端标准化程度。
2. 范围
本规定适用于公司所有使用终端的员工以及管理终端的系统管理员。
3. 定义
3.1 终端
终端泛指一切可以接入网络的计算设备,如笔记本电脑、台式电脑、智能手机、平板电脑等。
3.2 用户账号
用户账号是用户用于访问公司信息系统的唯一的身份标识,包括用户名和密码。用户账号分为终端账号、AD账号、业务系统账号、VPN账号,以及后台管理账号。
3.3 办公终端
办公终端指用户办公目的,连接办公系统的终端。
4. 职责和权限
阐述本规定涉及的部门(角色)职责与权限。
4.1 IT部的职责和权限
公司IT部门负责终端安全策略的统一规划,制定终端的技术安全规范,定期检查公司终端的安全情况。
4.2 IT系统Infra组和CIM组的职责和权限
IT系统Infra组负责办公终端安全的具体工作,IT CIM组负责生产终端安全的具体工作,要求各系统进行终端区域的划分,定期检查各系统终端的安全使用情况。
4.3 系统管理员的职责和权限
各系统的管理员应根据要求严格执行终端的安全操作规范。
5. 内容
5.1 生产终端安全要求
公司生产终端系统安全配置应该遵循以下原则: 5.1.1 5.1.2 5.1.3
应划分专用的生产终端接入网络区域,生产终端应根据接入区域的配置要求进行接入。 各系统生产终端都应统一部署系统安全配置策略,并对系统信息配置信息进行备案登记。 公司生产终端使用的软件必须是正版软件,禁止安装与生产工作无关的软件,如游戏、音乐、
视频、第三方检测工具等。 5.1.4
公司生产终端必须安装防病毒系统,Infra系统管理员应定期检查并保持更新病毒码为最新病
毒码。 5.1.5
公司生产终端必须及时安装安全补丁,Infra系统管理员应定期检查并保持系统补丁(泛指操
作系统高危漏洞的安全补丁)全面安装。 5.1.6
公司生产终端应根据用户权限设置账户和口令,根据公司《用户账号管理流程规定》中的规
定进行设置。 5.1.7 5.1.8 5.1.9
公司生产终端禁止开放没有限制的文件共享。
公司生产终端应根据业务需要仅打开必须的端口服务,其它端口全部关闭。 公司生产终端应根据公司计算机命名方式统一命名。
5.1.10 公司生产终端应设定带密码保护的屏幕保护,并确保在无人看管的情况下能够进行限时自动
锁屏。
5.1.11 公司生产终端在未经授权的情况下,禁止通过任何方式接入Internet网络。严禁通过安装USB
无线网卡或使用智能手机设置热点的方式访问互联网,如生产需要必须访问互联网或远程协助调试设备时,根据公司已颁布的《IT网络及电脑使用规定》,向IT Infra组提交《用户权限申请表》,审核通过后,由Infra工程师开放其对应端口的网络访问权限,并在约定的时间点内关闭端口,同时做好相应的记录。
5.1.12 在未经公司允许的情况下,禁止私自在生产终端接入光驱、移动存储、调制解调器、红外设
备、无线设备和串口设备等外设。
5.1.13 对用于非24小时监控用途的生产终端,考虑到节约能源、提高产品的使用效率及更好的实
行成本效益控制,要求在下班后必须关闭机器。
5.1.14 对于超过使用期限的生产终端,如果需要淘汰、报废或者利旧,应按照公司资产管理流程要
求和涉密信息处理流程进行数据清除后再进行资产处置。
5.2 办公终端安全要求
5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6
公司所有的使用办公终端,必须统一安装公司标准的准入系统客户端。 公司所有办公终端的命名应符合公司计算机命名规范。
公司所有的办公终端应统一部署预定义的系统安全配置策略和授权的标准软件。 公司所有的办公终端应正确安装防病毒系统,确保及时更新病毒码。
公司所有的办公终端应及时安装高危系统漏洞弄补丁,应与公司发布的补丁保持一致。 公司所有办公终端的密码不能为空,根据《用户账号管理流程规定》中的密码规定严格
执行。 5.2.7 5.2.8 5.2.9
公司所有办公终端不得私自转借给他人使用或用于其他商业形式的用途。 公司的移动办公终端在外出办公时,不得使其处于无人看管状态。
公司的移动办公终端不允许借给无关人员操作,防止信息的泄密和数据破坏。
5.2.10 公司办公终端不得私自安装盗版软件和与工作无关的软件,不得私自安装扫描软件或黑
客攻击工具(例如360安全卫士和QQ腾讯管家等第三方扫描工具)。
5.2.11 公司办公终端在无工作需求的情况下,应关闭IIS,TELNET以及FTP等不必要的服务; 5.2.12 公司办公终端的Internet访问需有策略或者工具进行控制和监控;公司办公终端应启用
设置密码的屏幕保护程序。
5.3 报告和处理
5.3.1
使用终端的过程中,如果发现设备具有可疑安全情况,或发生病毒和安全事件,应由IT
Infra部门组织人员或Helpdesk工程师进行处理。 5.3.2
IT系统人员如发现终端的信息安全问题,应以电话或邮件的方式通知本部门和IT部门
最高领导,由IT部负责调查,并组织协调安全问题的处理。 5.3.3 5.3.4
终端的信息安全事件应依照《信息安全事件管理程序》中定义的流程进行处理和响应。 终端的信息安全问题在处理完毕后应按照《信息安全事件管理程序》进行记录备案。
5.4 审核和监督
5.4.1
系统在使用终端的安全管理方面应接受IT系统的监督和检查,对在检查中提出的问题要
及时改进。 5.4.2
公司信息安全管理部定期对各系统终端的使用情况进行有效监督和管理,对违反管理规
定的行为应进行记录和上报,并协调相应部门予以处罚。