终端标准化实施方案

1、附件2:*保险办公电脑行为平安管控实施方案目录背景说明：终端标准化是指对公司办公电脑进行统一硬件、统一软件,统一配置.终端标准化便于终端集中治理和维护,提升终端系统平安,有利于故障的发现和排除,提升员工工作效率,树立企业统一形象.终端标准化的管控范围一般指公司总部计算机系统、省分公司计算机系统.风险评估目前我公司的员工电脑使用WindowsAD域进行集中治理,通过AD域策略的治理已经实现了操作系统和用户的标准化治理,如操作系统标准化、用户终端标准化、账号审计谋略等.根据保监会?保险机构信息化监管规定?,再进一步推动办公终端的平安防护时,如数据防泄漏、介质治理、平安审计功能,通过AD域策略已经无

2、法解决这些问题：1、外设管控为预防U盘泄露公司数据,2021年通过AD策略封闭公司计算机的USB端口.但由于AD策略无法针对特定类型的设备进行限制,导致目前因外接打印机、扫描仪、银行U盾等需求必须开通USB端口.目前公司已经超过300个用户开通了USB端口,但缺少对通过U盘拷贝资料的审计工具,存在较大的平安管控风险.2、数据泄漏审计目前公司内很多领导和员工的日常沟通使用微信、QQ等即时通信工具.目前公司仅部署了上网行为治理,能够对用户能否使用即时通信工具进行限制,但不能审计到即时通信工具的聊天记录和文件传输.如果公司机密信息通过QQ微信泄露,将无法追查和审计,存在合规风险.3、软件和进程标准化

3、由于AD策略无法针对特定软件进行限制安装、远程卸载等功能.导致员工办公电脑上安装了一些QQ管家、360之类的软件,或其他一些流氓软件、广告软件等,进一步导致AD域策略无法正常推送,严重影响了公司终端标准化工作的推广落地.4、终端资产治理目前的资产治理只登记了资产编号,缺少更精确的计算机资产统计信息,比方CPU/内存/硬盘信息等.如果有人将公司电脑拆开更换硬盘、CPU内存,目前无法通过监控或审计发现.5、远程限制和协助目前公司没有实时的远程限制工具,无法对存在平安风险的终端进行实时的设备接管或阻断.目前也没有远程协助和治理工具,桌面效劳人员每次都要到现场处理问题,费时费力,效率较低.6、非Win

4、dows电脑治理公司有些部门的UI设计岗,均使用苹果电脑进行设计工作,AD系统对苹果电脑无任何限制.导致目前苹果电脑的管控缺失,成为内网管控的盲点.行业调研针对这些问题,信息技术中央对同业的终端平安管控方案进行了调研,结果显示,大部分的保险公司通过终端管控工具解决了以上AD系统无法解决的的平安治理需求.深圳地区各个保险公司使用的桌面管控工具分别如下：公司名终端标准化管控工具及用途平安人寿联软用于IM监控前海人寿LANDesk用于终端标准化招商仁和LANDesk用于终端标准化和泰人寿联软用于终端标准化和即时通信监控富德生命联软终端标准化另外*资产治理公司也已经在2021年采购了终端治理工具联软,

5、用于用户终端标准化和即时通信工具监控.为更好的实现办公电脑的行为平安管控,申请开展终端标准化工程.管控目标：终端标准化工作的目标是为了提升根底运维工作的效率,增强公司对公司计算机的平安限制.为实现终端标准化目标,需要修订/新增的配套制度有：?计算机标准化治理方法?以下简称标准化标准：对现有的?桌面效劳治理方法?进行修订,用于对终端标准化提供制度支持,制度中需明确计算机硬件、操作系统、应用软件、平安配置等标准,并对标准IT事件治理流程,面向员工提供桌面效劳支持；?计算机资源使用标准?以下简称使用标准：用于用于标准员工使用公司电脑资源的行为标准.明确在使用公司计算机中的违规行为,明确奖惩制度.?A

6、D效劳器平安配置基线?以下简称基线：用于对办公电脑标准化中的AD策略提供制度依据,明确公司计算机应配置的平安基线.终端标准化实施方案1、硬件标准化由于硬件标准化工作中,对于不符合标准的计算机整改必须依赖于计算机硬件更新换代,标准化工作将根据?标准化标准?逐步推广.、标准化治理目标：预防用户通过修改BIOS设置,从U盘启动或通过其他方式,绕过公司的监控和审计系统.实现方式：通过?标准化标准?,建立计算机初始化、回收、重装、分发流程.保证只有IT治理员可以修改硬件配置.、硬件监控目标：预防用户私自更换硬盘、CPU内存等配件,从而造成公司资产流失或资料外泄.实现方式：1、计算机加锁和封条,严禁员工私

7、自拆卸公司电脑.2、通过终端管控工具监控计算机硬件资源,对于计算机硬件的异常变动自动发现并告警.2、AD系统实现根底软件标准化、操作系统标准化目标：所有公司电脑使用公司统一的计算机标准操作系统.操作系统标准化是保证公司实施统一的平安策略、实现标准的应用软件以及监控审计和远程治理的根底.实现方式：根据?标准化标准?,所有电脑在分发给员工之前,必须经过IT部进行系统重装,保证计算机使用公司标准操作系统,默认安装标准应用软件和各类驱动、根底配置符合公司标准.操作系统配置标准化1)AD域策略公司通过将计算机参加AD域进行集中治理的方式,实现操作系统根底平安策略的统一管理,如治理员权限回收、桌面策略、账

8、号密码体系、根底平安审计谋略、以及其他可以通过AD域实现的标准化功能.由于公司的治理架构是分为总部、省分公司、三级机构和四级机构的分层治理模式,且各个机构之间在地域上也比拟分散.为了在统一平安限制的根底上分担总部AD限制中央的负载,解决总部日常维护工作量大的问题,将AD系统架构分为根域+机构分支Ad域的二级架构.AD根底运维AD域身份认证治理通过分2级治理的方式,分公司和总部的AD效劳器治理各自分支下的计算机和用户认证信息,根域治理各二级Ad域效劳器之间的新人关系,并汇总所有域的员工和计算机信息.为方便治理,将省分公司的账号治理、计算机治理工作分发至各省分公司AD域治理员.平安限制策略治理为保

9、证公司平安限制策略统一由总部下发,各省份公司信息技术专员不能随意修改平安策略,应将平安限制策略由主控AD效劳器进行下发,其他分支的AD效劳器仅作为策略转发.、文件共享标准化公司提供了邮箱、KKFTP效劳器、文件效劳器等工具用于文件共享,其中邮件和KK用于工作交流中传递文件,FTP效劳器仅用于IT中央系统运维使用,文件效劳器用于公司内传递大文件,已经默认挂载到计算机的网盘中.文件效劳器分为：Q盘：省分公司共享盘X盘：部门内共享资料、Y盘：公司内其他部门共享资料；Z盘：员工自己的文件备份.公司内员工之间点对点传递资料,通过在电脑上配置共享文件夹的方式进行共享.建议将文件夹设置为默认共享文件夹,在该

10、目录下放一个说明文档,用于指导员工操作.实现方式：平安配置标准化依托于AD域下发平安策略进行统一治理.为保证公司计算机能够全面的参加AD域,一方面需要增强分公司治理推进,另一方面可以通过在网络上设置准入限制,强制要求员工计算机参加AD域.、应用软件标准化为预防员工私自从网络上下载安装应用软件导致计算机感染恶意代码,应将计算机上的应用软件标准化,目前使用SCC怅行标准化治理.SCCMF台实施后,可以回收计算机治理员权限,如需安装软件,应向SCCMT理员申请软件,由SCCMT理员将验证通过的软件安装包挂载在SCCMF台,授权给对应的人员进行安装.实现方式：通过软件中央和AD域集成,实现软件标准化.

11、、Windows补丁标准化为保证公司计算机能及时有效的安装操作系统补丁,预防公司电脑遭受病毒、木马、勒索软件的攻击,通过实施WSUS卜丁效劳器,对Windows系统补丁和Microsoft系列软件的补丁进行标准化安装.实现方式：通过AD系统和各级WSUS卜丁效劳器实现补丁标准化推送安装.3、终端标准化工具实现高级标准化限制根据对同业的终端标准化管控工具调研情况,可以通过终端标准化工具实现更精准的标准化功能和高级审计功能.、硬件资产监控详见硬件标准化局部、精准用户定位目前对于终端电脑的异常行为监控,还需要通过DHCP艮务器、AD效劳器、上网行为管理综合审计才能将计算机与电脑进行定位,通过终端管控

12、工具可以实现快速精准的用户和电脑定位.提升审计和问题处理的效率.、软件和进程限制目前一些用户使用了2345输入法、百度输入法、2345压缩软件、360等存在流氓行为的免费软件.这些免费软件在升级时会诱导用户安装一些其他软件如2345管家、金山管家、360管家等,这些软件一方面会影响电脑性能,另一方面会阻碍公司推行平安策略.影响AD策略标准化的试试效果.需要通过软件和进程限制,禁止用户安装和运行存在流氓行为的软件.QQ即时通信工具进行工作沟通、即时通信工具限制目前由于各种原因,公司内很多员工需要使用微信、目前尚没有有效的手段对聊天记录进行审计,存在公司内部信息泄露的风险.可以通过终端标准化工具限

13、制用户禁止安装即时通信工具,安装了即时通信工具的用户同时启用聊天审计功能.、USB外设管控2021年通过?进一步增强电子文件治理的通知?,对公司计算机封闭了USB端口预防信息泄露,但由于AD策略无法识别U盘、U盾、数字证书、外接扫描仪等不同的设备,导致因工作需要开通了超过300台计算机的USBK限,仍存在严重的信息泄露风险.可以通过终端管控工具对不同的USB®备设备权限限制,尽量减少USBFH!范围,同时对开通US端口的计算机实施拷贝数据的审计.、远程限制和远程协助为提升桌面事件的运维效率,通过终端标准化工具可以实现远程协助.对于存在异常的终端可以实现远程接管；实现终端平安集中管控.4、桌面防病毒标准化为预防办公电脑感染恶意代码,要求公司电脑统一安装已经采购的SymantecEndpoint防病毒软件.由防病毒治理员设置防病毒软件的统一策略,包括定期扫描、定期更新、自动扫描等功能,实现防病毒功能的标准化.终端标准化治理平台通过终端标准化的建设,不仅仅实现软硬件配置的标准化,而且实现终端的统一规划、统一部署和统一治理,最终目标是在*构建一个统一的终端标准化支撑平台.根据目前的标准化方案,公司标准化治理平台由以下几个局部组成：1、AD限制台2、终