附件2：****保险有限公司办公电脑行为安全管控实施方案目录背景说明： (2)风险评估 (2)1、外设管控 (2)2、数据泄漏审计 (2)3、软件和进程标准化 (2)4、终端资产管理 (2)5、远程控制和协助 (3)6、非Windows电脑管理 (3)行业调研 (3)管控目标： (3)终端标准化实施方案 (5)1、硬件标准化 (5)2、AD系统实现基础软件标准化 (5)3、终端标准化工具实现高级标准化控制 (7)4、桌面防病毒标准化 (8)终端标准化管理平台 (9)背景说明：终端标准化是指对公司办公电脑进行统一硬件、统一软件，统一配置。

终端标准化便于终端集中管理和维护，提高终端系统安全，有利于故障的发现和排除，提高员工工作效率，树立企业统一形象。

终端标准化的管控范围一般指公司总部计算机系统、省分公司计算机系统。

风险评估目前我公司的员工电脑使用Windows AD域进行集中管理，通过AD域策略的管理已经实现了操作系统和用户的标准化管理，如操作系统标准化、用户终端标准化、账号审计策略等。

根据保监会《保险机构信息化监管规定》，再进一步推动办公终端的安全防护时，如数据防泄漏、介质管理、安全审计功能，通过AD域策略已经无法解决这些问题：1、外设管控为防止U盘泄露公司数据，2017年通过AD策略封闭公司计算机的USB端口。

但由于AD策略无法针对特定类型的设备进行控制，导致目前因外接打印机、扫描仪、银行U盾等需求必须开通USB端口。

目前公司已经超过300个用户开通了USB端口，但缺少对通过U盘拷贝资料的审计工具，存在较大的安全管控风险。

2、数据泄漏审计目前公司内很多领导和员工的日常沟通使用微信、QQ等即时通信工具。

目前公司仅部署了上网行为管理，能够对用户能否使用即时通信工具进行控制，但不能审计到即时通信工具的聊天记录和文件传输。

如果公司机密信息通过QQ、微信泄露，将无法追查和审计，存在合规风险。

3、软件和进程标准化由于AD策略无法针对特定软件进行限制安装、远程卸载等功能。

导致员工办公电脑上安装了一些QQ管家、360之类的软件，或其他一些流氓软件、广告软件等，进一步导致AD域策略无法正常推送，严重影响了公司终端标准化工作的推广落地。

4、终端资产管理目前的资产管理只登记了资产编号，缺少更精确的计算机资产统计信息，比如CPU/内存/硬盘信息等。

如果有人将公司电脑拆开更换硬盘、CPU、内存，目前无法通过监控或审计发现。

5、远程控制和协助目前公司没有实时的远程控制工具，无法对存在安全风险的终端进行实时的设备接管或阻断。

目前也没有远程协助和管理工具，桌面服务人员每次都要到现场处理问题，费时费力，效率较低。

6、非Windows电脑管理公司有些部门的UI设计岗，均使用苹果电脑进行设计工作，AD系统对苹果电脑无任何控制。

导致目前苹果电脑的管控缺失，成为内网管控的盲点。

行业调研针对这些问题，信息技术中心对同业的终端安全管控方案进行了调研，结果显示，大部分的保险公司通过终端管控工具解决了以上AD系统无法解决的的安全管理需求。

深圳地区各个保险公司使用的桌面管控工具分别如下：另外**资产管理公司也已经在2017年采购了终端管理工具（联软），用于用户终端标准化和即时通信工具监控。

为更好的实现办公电脑的行为安全管控，申请开展终端标准化项目。

管控目标：终端标准化工作的目标是为了提升基础运维工作的效率，加强公司对公司计算机的安全控制。

为实现终端标准化目标，需要修订/新增的配套制度有：《计算机标准化管理办法》（以下简称标准化规范）：对现有的《桌面服务管理办法》进行修订，用于对终端标准化提供制度支持，制度中需明确计算机硬件、操作系统、应用软件、安全配置等标准，并对规范IT事件管理流程，面向员工提供桌面服务支持；《计算机资源使用规范》（以下简称使用规范）：用于用于规范员工使用公司电脑资源的行为标准。

明确在使用公司计算机中的违规行为，明确奖惩制度。

《AD服务器安全配置基线》（以下简称基线）：用于对办公电脑标准化中的AD策略提供制度依据，明确公司计算机应配置的安全基线。

终端标准化实施方案1、硬件标准化由于硬件标准化工作中，对于不符合标准的计算机整改必须依赖于计算机硬件更新换代，标准化工作将根据《标准化规范》逐步推广。

1.1、标准化管理目标：避免用户通过修改BIOS设置，从U盘启动或通过其他方式，绕过公司的监控和审计系统。

实现方式：通过《标准化规范》，建立计算机初始化、回收、重装、分发流程。

保证只有IT管理员可以修改硬件配置。

1.2、硬件监控目标：避免用户私自更换硬盘、CPU、内存等配件，从而造成公司资产流失或资料外泄。

实现方式：1、计算机加锁和封条，严禁员工私自拆卸公司电脑。

2、通过终端管控工具监控计算机硬件资源，对于计算机硬件的异常变动自动发现并告警。

2、AD系统实现基础软件标准化2.1、操作系统标准化目标：所有公司电脑使用公司统一的计算机标准操作系统。

操作系统标准化是保证公司实施统一的安全策略、实现标准的应用软件以及监控审计和远程管理的基础。

实现方式：根据《标准化规范》，所有电脑在分发给员工之前，必须经过IT部进行系统重装，确保计算机使用公司标准操作系统，默认安装标准应用软件和各类驱动、基础配置符合公司标准。

2.2 操作系统配置标准化1)AD域策略公司通过将计算机加入AD域进行集中管理的方式，实现操作系统基础安全策略的统一管理，如管理员权限回收、桌面策略、账号密码体系、基础安全审计策略、以及其他可以通过AD域实现的标准化功能。

由于公司的管理架构是分为总部、省分公司、三级机构和四级机构的分层管理模式，且各个机构之间在地域上也比较分散。

为了在统一安全控制的基础上分担总部AD控制中心的负载，解决总部日常维护工作量大的问题，将AD系统架构分为根域+机构分支Ad域的二级架构。

①AD基础运维AD域身份认证管理通过分2级管理的方式，分公司和总部的AD服务器管理各自分支下的计算机和用户认证信息，根域管理各二级Ad域服务器之间的新人关系，并汇总所有域的员工和计算机信息。

为方便管理，将省分公司的账号管理、计算机管理工作分发至各省分公司AD域管理员。

②安全控制策略管理为确保公司安全控制策略统一由总部下发，各省份公司信息技术专员不能随意修改安全策略，应将安全控制策略由主控AD服务器进行下发，其他分支的AD服务器仅作为策略转发。

2.3、文件共享标准化公司提供了邮箱、KK、FTP服务器、文件服务器等工具用于文件共享，其中邮件和KK 用于工作交流中传递文件，FTP服务器仅用于IT中心系统运维使用，文件服务器用于公司内传递大文件，已经默认挂载到计算机的网盘中。

文件服务器分为：●Q盘：省分公司共享盘●X盘：部门内共享资料、●Y盘：公司内其他部门共享资料；●Z盘：员工自己的文件备份。

公司内员工之间点对点传递资料，通过在电脑上配置共享文件夹的方式进行共享。

建议将D:\share\文件夹设置为默认共享文件夹，在该目录下放一个说明文档，用于指导员工操作。

实现方式：安全配置标准化依托于AD域下发安全策略进行统一管理。

为保证公司计算机能够全面的加入AD域，一方面需要加强分公司管理推进，另一方面可以通过在网络上设置准入控制，强制要求员工计算机加入AD域。

2.4、应用软件标准化为避免员工私自从网络上下载安装应用软件导致计算机感染恶意代码，应将计算机上的应用软件标准化，目前使用SCCM 进行标准化管理。

SCCM平台实施后，可以回收计算机管理员权限，如需安装软件，应向SCCM管理员申请软件，由SCCM管理员将验证通过的软件安装包挂载在SCCM平台，授权给对应的人员进行安装。

实现方式：通过软件中心和AD域集成，实现软件标准化。

2.5、Windows补丁标准化为保证公司计算机能及时有效的安装操作系统补丁，防止公司电脑遭受病毒、木马、勒索软件的攻击，通过实施WSUS补丁服务器，对Windows系统补丁和Microsoft 系列软件的补丁进行标准化安装。

实现方式：通过AD系统和各级WSUS补丁服务器实现补丁标准化推送安装。

3、终端标准化工具实现高级标准化控制根据对同业的终端标准化管控工具调研情况，可以通过终端标准化工具实现更精准的标准化功能和高级审计功能。

3.1、硬件资产监控详见硬件标准化1.2部分3.2、精准用户定位目前对于终端电脑的异常行为监控，还需要通过DHCP服务器、AD服务器、上网行为管理综合审计才能将计算机与电脑进行定位，通过终端管控工具可以实现快速精准的用户和电脑定位。

提升审计和问题处理的效率。

3.3、软件和进程控制目前一些用户使用了2345输入法、百度输入法、2345压缩软件、360等存在流氓行为的免费软件。

这些免费软件在升级时会诱导用户安装一些其他软件如2345管家、金山管家、360管家等，这些软件一方面会影响电脑性能，另一方面会阻碍公司推行安全策略。

影响AD策略标准化的试试效果。

需要通过软件和进程控制，禁止用户安装和运行存在流氓行为的软件。

3.4、即时通信工具控制目前由于各种原因，公司内很多员工需要使用微信、QQ等即时通信工具进行工作沟通。

目前尚没有有效的手段对聊天记录进行审计，存在公司内部信息泄露的风险。

可以通过终端标准化工具限制用户禁止安装即时通信工具，安装了即时通信工具的用户同时启用聊天审计功能。

3.5、USB外设管控2017年通过《进一步加强电子文件管理的通知》，对公司计算机封闭了USB端口防止信息泄露，但由于AD策略无法识别U盘、U盾、数字证书、外接扫描仪等不同的设备，导致因工作需要开通了超过300台计算机的USB权限，仍存在严重的信息泄露风险。

可以通过终端管控工具对不同的USB设备设备权限控制，尽量减少USB开通范围，同时对开通USB端口的计算机实施拷贝数据的审计。

3.6、远程控制和远程协助为提升桌面事件的运维效率，通过终端标准化工具可以实现远程协助。

对于存在异常的终端可以实现远程接管；实现终端安全集中管控。

4、桌面防病毒标准化为防止办公电脑感染恶意代码，要求公司电脑统一安装已经采购的Symantec Endpoint 防病毒软件。

由防病毒管理员设置防病毒软件的统一策略，包括定期扫描、定期更新、自动扫描等功能，实现防病毒功能的标准化。

终端标准化管理平台通过终端标准化的建设，不仅仅实现软硬件配置的标准化，而且实现终端的统一规划、统一部署和统一管理，最终目标是在****构建一个统一的终端标准化支撑平台。

根据目前的标准化方案，公司标准化管理平台由以下几个部分组成：1、AD控制台2、终端管理工具控制台3、Symantec控制台4、SCCM控制台5、WSUS控制台后续将不断对以上终端标准化管理平台进行整合、优化。

实现桌面安全管理的集中化、集成化，和标准化，从而可以提高****办公终端的安全性和稳定性，提升桌面维护效率，降低管理成本。