2026年计算机终端安全管理制度规范

2026年计算机终端安全管理制度规范第一章总则1.1为统一集团内部所有计算终端（含台式机、笔记本、瘦客户机、移动工作站、平板及虚拟桌面）的安全基线，降低数据泄露、勒索软件、供应链污染与内部恶意操作风险，依据《网络安全法》《数据安全法》《个人信息保护法》及行业监管细则，制定本规范。1.2适用范围：集团总部、全资及控股子公司、合资公司、外包驻场团队、远程协作供应商所有接入生产网、办公网、研发网、测试网、隔离网及云桌面的终端设备。1.3管理原则：最小权限、零信任、持续验证、默认拒绝、可审计、可回滚、可量化、可自动化。1.4术语定义：EDR：终端检测与响应系统，具备行为采集、威胁狩猎、自动隔离能力。DLP：数据防泄漏系统，覆盖网络、终端、存储、邮件、打印、截屏、OCR。SBOM：软件物料清单，记录每款软件所有依赖组件、版本、哈希、许可证。TPM：可信平台模块，用于安全启动、密钥密封、身份认证。WDAC：Windows应用控制策略，仅允许签名且哈希匹配的程序运行。MDM：移动设备管理，用于强制加密、远程擦除、地理围栏。第二章组织与职责2.1终端安全委员会（ESC）：由CISO任主任，IT、人力、法务、审计、业务线代表组成，负责预算、策略、例外审批、事故定级。2.2终端安全运营组（ESO）：7×24小时值守，承担策略下发、告警分级、威胁狩猎、补丁验证、日志归档。2.3资产管理员：维护CMDB，确保终端责任人、位置、用途、生命周期状态100%准确，每日自动比对差异。2.4终端用户：签署《终端安全使用承诺书》，接受年度安全考核，分数低于90分须补考并限制VPN权限。2.5外包驻场：纳入同等管理，由甲方项目经理承担连带责任；违规三次以上，列入供应商黑名单，两年内禁止投标。第三章硬件与固件安全3.1采购白名单：仅允许从ESC认证的型号池选型，须支持TPM2.0、SecureBoot、BIOS密码、IntelvPro或AMDDASH。3.2收货即校验：外包物流拆箱全程录像，对照出厂SHA256校验固件、对照包装盒SN与主板SN、对照防拆标签。3.3首次开机：必须接入隔离VLAN，由PXE服务器推送“黄金镜像”，同步刷入最新BIOS、IntelME清理版固件。3.4BIOS配置：关闭USB启动、网络启动、无线广域网卡；设置强密码≥15位，含大小写、数字、特殊符号；密码由ESO托管于HSM。3.5硬件加密：所有固态硬盘须支持OPAL2.0，启用PSID认证；机械硬盘须配套FIPS140-3加密盒；禁止私自更换硬盘。第四章操作系统与基线4.1版本限定：Windows1124H2、macOS15、Ubuntu26.04LTS、银河麒麟V12、统信UOS6；禁止安装家庭版、Beta版、破解版。4.2账户策略：本地管理员组仅保留ESO维护账号，采用20位随机密码，每24小时自动轮转；用户账户启用HelloforBusiness+PIN+TPM密封，禁止密码登录；失败5次锁定15分钟，审计日志实时上传至SIEM。4.3补丁管理：高危补丁≤24小时、重要≤72小时、一般≤7天；补丁前自动创建还原点，补丁后运行冒烟脚本（CPU、内存、关键业务进程）；补丁失败率>2%即触发回滚，并召开RCA会议。4.4基线核查：每日04:00执行CISBenchmark2.0.0脚本，偏差>1%即强制隔离并生成工单。第五章终端控制与加固5.1WDAC策略：采用“允许列表+哈希+签名”三重校验，策略文件由ESO签名，每小时轮询更新；未经审批程序启动即被阻断并拍照截屏。5.2外设管控：外设类型默认策略例外审批审计级别USB存储禁用部门总监+ESO双人文件级读写日志蓝牙禁用研发测试组申请连接设备MAC记录摄像头启用但加物理盖人力面试场景每次调用截屏打印机仅允许网络打印财务发票专用打印内容OCR存档5.3网络隔离：终端接入即分配动态VLAN，基于用户组、设备健康评分、地理位置、时间窗口进行微分段；评分<80分自动下沉至remediationVLAN。5.4防火墙：启用主机防火墙，出站默认拒绝，白名单由ESO统一下发；变更需通过GitOps流水线，合并请求须两人CodeReview。第六章数据防泄漏6.1分类分级：公开、内部、秘密、机密、绝密五级；标签嵌入文件属性、邮件头、压缩包备注、数据库字段。6.2终端DLP策略：禁止机密级文件写入USB、个人网盘、蓝牙、剪贴板；截屏、录屏、OCR识别含机密文字时立即黑屏并弹窗警告；外发邮件≥秘密级强制审批，附件自动加密封装，水印含用户、时间、设备SN。6.3加密要求：磁盘采用AES-256-XTS，密钥密封于TPM，开机须TPM+PIN+指纹；文件级加密采用AIP统一标签，离职后密钥自动吊销；移动硬盘出库前须用FIPS140-3硬件加密盒，密码≥12位，须数字+字母+符号。6.4数据销毁：机械硬盘采用DoD5220.22-M3次覆写+消磁；固态硬盘执行PSID还原出厂密钥+物理粉碎；销毁过程全程录像，哈希值写入区块链存证。第七章身份、凭证与访问管理7.1主身份源：基于AzureAD+本地LDAP双向同步，账号生命周期与HR系统联动，入职30分钟自动开通，离职30分钟自动禁用。7.2多因素认证：内部网络：TPM密封证书+生物识别；VPN：FIDO2安全密钥+手机推送；特权操作：硬件UKey+动态口令+值班经理视频见证。7.3凭证托管：所有脚本、自动化工具使用托管服务账号，密钥存入HSM，支持自动轮转，每90天强制更新。7.4特权终端：运维JumpServer采用PAM系统，会话录像、指令白名单、实时水印、双人授权；禁止运维笔记本直接访问生产网。第八章日志、监控与威胁狩猎8.1日志类别：系统、安全、应用、EDR、DLP、USB、打印、DNS、VPN、云访问；统一采用syslog-ngoverTLS1.3，日志格式CEF。8.2留存期限：日志类型本地缓存热存储冷存储备注系统&安全7天90天7年加密压缩EDR原始3天180天3年不可篡改DLP事件1天365天10年法律举证8.3监控指标：补丁合规率≥99%；EDR代理在线率≥99.5%；基线偏离率≤0.5%；恶意软件检出后平均隔离时间≤3分钟；数据外发审批平均耗时≤15分钟。8.4威胁狩猎：每周运行40条ATT&CK场景化查询，覆盖无文件攻击、Living-off-the-Land、凭证转储、横向移动；发现异常即启动“红蓝对抗+IR”流程。第九章漏洞与补丁管理9.1漏洞来源：CNVD、CNNVD、Bugcrowd、供应商公告、内部代码审计、SBOM比对。9.2评级标准：采用CVSS4.0，结合业务影响、利用成熟度、补偿措施，划分为Critical、High、Medium、Low。9.3处置时限：评级确认时限临时缓解完全修复验证Critical2小时WDAC阻断24小时渗透复测High8小时网络隔离72小时冒烟测试Medium24小时配置加固14天回归测试Low7天公告提醒90天抽样测试9.4补丁测试：建立与生产环境一致的“影子AD影子DNS”测试域，覆盖500+典型软件；补丁发布采用灰度策略：5%→15%→50%→100%，每阶段观察24小时。第十章软件与供应链安全10.1软件准入：必须提供SBOM、数字签名、漏洞自检报告、许可证合规证明；禁止采用GPL3.0且需闭源分发的组件。10.2编译安全：所有自研软件须在CI/CD流水线内完成SAST、DAST、SCA、容器扫描、IaC扫描；高危问题未修复即中断构建。10.3签名验证：采用双证书体系，开发证书仅用于测试，发布证书由HSM离线保管；任何可执行文件未签名或签名吊销即无法运行。10.4供应链监控：每日比对SBOM与CVE数据库，发现Critical级组件漏洞即触发邮件+企业微信+短信；72小时内必须给出修复或降级方案。第十一章移动与远程办公11.1设备注册：移动设备须先注册MDM，安装公司根证书、EDR、DLP容器；私人设备禁止接入生产系统。11.2地理围栏：研发人员仅允许在中国大陆使用，出境须提前三天提交申请，自动切换至仅浏览器模式，禁用本地存储。11.3远程桌面：采用ZTNA架构，先认证后连接，会话水印、录像、剪贴板单向控制；禁止映射磁盘。11.4家庭网络：要求带宽≥100Mbps，路由器须升级最新固件、关闭WPS、启用WPA3、修改默认口令；ESO提供家庭网关安全检测脚本，每月自动扫描。第十二章备份、恢复与业务连续性12.1备份策略：系统盘：每日增量、每周完整，保留4周；用户数据：实时同步至云端，保留12个版本；机密数据：本地加密备份+异地机房离线备份，保留7年。12.2恢复演练：每季度举行一次“黑盒”演练，随机挑选5%终端，模拟勒索软件加密，要求2小时内恢复至可用状态，RPO≤15分钟。12.3备份加密：采用AES-256-GCM，密钥分片托管于两地三中心的HSM；恢复时需三人中的两人同时插入物理钥匙。第十三章安全事件响应13.1事件分级：级别定义通报时限决策层结案时限P1大规模数据泄露、勒索加密15分钟CEO24小时P2单点入侵、特权滥用30分钟CISO72小时P3恶意邮件、单个终端异常1小时安全经理7天13.2响应流程：检测→遏制→取证→根除→恢复→复盘；每个阶段须输出报告并更新知识库。13.3取证规范：采用写阻断工具获取磁盘镜像、内存dump、网络流量；MD5、SHA256双哈希，立即上传至证据服务器，双人双锁。第十四章培训、考核与奖惩14.1培训周期：新员工入职1周内完成线上课程；老员工每季度参加“钓鱼演练+实操考核”；研发人员额外接受安全编码Workshop。14.2考核指标：钓鱼邮件点击率≤3%；安全课程完成率100%；漏洞提交采纳率≥10条/百人/年；违规事件≤1次/百人/年。14.3奖励：发现重大漏洞经确认奖励5000–50000元；年度安全之星颁发证书+带薪休假5天。14.4惩罚：违规外发机密文件即记大过，扣全年绩效30%；二次违规降职降薪；三次违规解除劳动合同并追究民事赔偿。第十五章审计、合规与持续改进15.1内审频率：每半年一次全面审计，每月一次专项抽查；审计报告直接呈报董事会