XX有限公司企业内部局域网软件部署安全策略及准则(第一版)2014年9月XX有限集团公司xx公司xx有限公司企业内部局域网软件部署安全策略及准则(第一版)为确保公司企业内部局域网安全有效运行，依据《xx公司非涉密计算机及网络管理办法》及国家相关管理规定，特制定本《企业内部局域网软件部署安全策略及准则》，本策略为公司局域网软件部署的安全性指导性文件。

本安全策略及准则由以下几个部分组成：1、公司局域网概况2、软件使用范围及规则3、公司内部局域网使用安全准则4、电子数据交换安全准则5、病毒防护策略及准则6、域安全策略7、域计算机及域用户登录脚本一、公司局域网概况：公司根据信息化建设规划需要，经数年努力，逐步建成了局域网络，该网络覆盖了102工房、104工房、203工房、205工房、702工房、401大楼等物理区域，为了保障网络的可靠性，整个网络由CISCO核心可管交换机及CISCO主干网络交换机控制，整个网络采用VLAN技术划分为10个网段：(170.16.70、72、74、76、78、80、82、84、86、88)。

在硬件层面， 局域网中运行服务器11台(含虚拟服务器)、台式计算机498台、笔记本电脑33台、交换机21台、路由器2台；在操作系统OS层面，所有服务器操作系统OS均运行WINDOWS2012R2操作系统，410台计算机运行WINDOWS7X64操作系统，88台计算机运行WINDOWXP-X32操作系统。

在软件运用层面，整个网络在AD主域集中控制、CAPP、数字化档案信息系统、MRPII、MES、CAQ、内部邮件系统、文件集约存储系统、财务系统、DNC系统、INTERNET接入及控制、WSUS补丁升级、病毒防护、OA系统等方面均有重要应用，支撑整个企业在信息化模式下快速、有效运维。

二、软件使用范围及规则：公司对非涉密计算机及网络软件进行白名单准入制，白名单内的软件在计算机上进行安装使用可不经过审批，采用文件服务器进行统一发布，不在白名单列表内的软件,需由使用人及使用单位写出软件安装使用申请，经主管部门测试审批、公司领导批准后方可安装使用。

未经批准擅自安装软件的，按《xxxx非涉密计算机及网络管理考核办法》相关条款进行考核。

《xxxx公司非涉密计算机及网络软件白名单》：(具体安装位置为：\\SVMC2F\软件发布，\\SVMC2F\UPDATE) ACDSEE12、ADOBE_READER、ADOBE_PDF、PHOTOSHOP媒体工具DOTNET3.5、DOTNET4.5基础框架IE11、IE8 FOR WINDOWSXP浏览器xx公司集团OA办公软件OFFICE2007办公软件好压、暴风影音、金山词霸2011百度拼音、小鸭五笔输入法微软MSE杀毒软件NERO、ULTRAISO光盘刻录工具AIDA64、3DMARK硬件检测工具AUTOCAD2004_X32、AUTOCAD2010_X64、AUTOCAD2015_X64设计软件SOLID_EDGE、UG_NX6_X64三维设计软件相关硬件驱动(芯片组、显卡、打印机等)ORACLE数据库、MS-SQLSERVER数据库KCEJMIS信息系统三、公司内部局域网使用安全准则：1、技术部信息组负责对公司计算机网络及相关设备的调试以及保障其正常运行。

各部门领导对本部门的网络及其网络设备的管理工作负责。

2、本地计算机、域、OA、数据库的用户名、密码只授予指定员工个人使用，严禁向无关人员透露相关密码，用户应使用数字和字母混用的密码原则，定期更改相关系统密码。

3、在操作完成后，应锁定计算机或是将自己的用户注销，以防止无关人员进入计算机非法操作。

4、如未按以上规定执行，由此造成的损失将追究本人责任。

5、任何单位和个人，未经许可，不得更换和挪用相关的网络设备、切断相关网络设备的电源、调整或断开网络接口、私自调整网络设置。

6、相关管理部门在设备维修过程中，确需切断电源从而影响网络设备使用的，应及时通报技术部信息组。

7、技术部信息组负责制订、规划各部门上网的接入点，并应根据实际情况及时进行调整。

8、域安全策略：域安全策略由技术部信息组统一规划和实施，并在每次更新域组策略后存档备查。

9、计算机使用人员所操作计算机内的资源为公司信息资源，使用人有保护责任，应做好本机有关信息、数据的备份工作，具体数据应备份到统一的文件服务器上。

10、公司主域、文件服务器、数据库等数据备份工作由技术部信息组负责。

11、OA数据库备份由集团公司信息管理部门完成。

12、严禁利用公司计算机网络进行拷贝、发布有关危害国家或企业的信息。

13、严禁利用公司计算机网络进行拷贝、发布如游戏、小说等有娱乐形式的软件和数据。

14、严禁利用公司计算机网络进行拷贝、发布来历不明或是带病毒的程序和数据。

15、公司员工不得在内部网络上传递、发布违反国家法律法规、企业规定以及与本职工作无关的消息和资讯。

16、网络违规行为监测，根据服务器端“事件查看器”的跟踪记录为准，按IP地址、计算机名、登录用户进行处罚。

17、生产设备控制专用计算机需要联入域网络的，由生产单位提请技术部信息组和设备动力安全部协调解决。

18、未经许可，域内计算机不得自行脱离域。

19、域内计算机操作系统补丁升级由技术部信息组使用WSUS完成并自动发布四、电子数据交换安全准则:1、电子数据交换主要包括OA、邮件系统、网络传输、U盘使用、光磁介质使用等。

2、采购的电子数据交换产品相关驱动程序、应用软件软盘、光盘、说明书、保修卡、许可证协议等设备软硬件资料由技术部信息组统一保管，需要使用时，应办理借阅手续。

3、用于公司内部电子数据交换的移动存储介质应建立设备档案，并在设备上做出编号标识。

4、电子数据交换时应使用具有档案标识的移动存储介质。

5、禁止下载、安装与工作内容无关的软件，经许可安装的应用软件不得随意删除、修改程序或相关参数。

6、公司各部门的计算机操作系统统一由技术部信息组进行安装布置。

未经许可，任何个人不得自行更换及安装操作系统，或修改系统设置。

7、以上禁止行为一经发现，追究个人和单位主管领导的责任。

五、病毒防护策略及准则：1、公司涉密计算机及信息系统的防病毒管理工作，按相关保密管理制度要求执行。

2、公司在中央服务器上统一安装计算机病毒查杀软件，其他人不得私自卸载或更换防病毒软件。

3、使用部门发现病毒应及时通报技术部信息组，按技术部信息组意见及时进行处理，以免危及整个网络。

4、对因计算机病毒引起的计算机及信息系统瘫痪、程序和数据严重破坏等重大事故及时向技术部信息组报告，并保护现场。

5、任何单位和个人不得在公司计算机上制作计算机病毒。

6、任何单位和个人不得在公司计算机上进行病毒传播。

7、严禁在公司计算机上安装未经过病毒扫描或未经证实的软件。

六、域安全策略：为保证局域网安全，制订xxxx局域网域安全策略，该域安全策略适用于域内入网用户所使用的计算机。

以下策略可根据域安全需要及用户反馈加以修订，但修订结果应以书面文件保存。

1服务器常规选项1.1主域、域控及策略域：域控制器：SVMC2AIP地址：172.16.70.11所有者：MC2\Domain Admins默认域策略：GP0GP0状态：已启用，强制GPO 适用：NT AUTHORITY\Authenticated Users1.2MC2\Domain Admins成员MC2\Domain Admins成员具有对整个域内用户及计算机的管理和控制权，其成员如下：登录名实名职务或岗位wuzhi 武智总工程师jigang 季刚副总工程师maningbo 马宁波技术部信息组/主任dongling 董玲技术部信息组/系统管理员administrator 域控制器本地用户1 系统帐户wz 域控制器本地用户2 备用帐户info 域控制器本地用户3 内网网页管理帐户1.3MC2\Domain Users 组说明MC2\Domain Users成员拥有域用户权，仅对授权对象拥有管理和访问权，原则上按部门分组，为方便管理和对象权限控制，对人员较多部门可按班、组、室细分，同时根据职工人事变动情况（增加或内部调动）调整职工所属部门，对调出人员则删除用户帐户。

1.4委派下述组和用户拥有此 GPO 的指定权限，为保证GP0编辑、修改、删除权的正当行使，下述委派均不可继承。

名称允许的权限继承MC2\Domain Admins 编辑设置，删除、修改安全性否MC2\Enterprise Admins 编辑设置，删除、修改安全性否NT AUTHORITY\Authenticated读取(从安全筛选) 否Users读取否NT AUTHORITY\ENTERPRISEDOMAIN CONTROLLERSNT AUTHORITY\SYSTEM 编辑设置，删除、修改安全性否2计算机配置2.1策略2.1.1WINDOWS设置2.1.1.1安全设置2.1.1.1.1帐户策略/密码策略策略设置密码必须符合复杂性要求已启用密码最长期限42 天强制密码历史12 个记住的密码用可还原的加密来储存密码已禁用最短密码长度8 个字符最短密码期限 2 天2.1.1.1.2帐户策略/帐户锁定策略策略设置在此后重置帐户锁定计数器30 分钟帐户锁定时间30 分钟帐户锁定阈值500 次无效登录2.1.1.1.3帐户策略/Kerberos 策略策略设置服务票证最长寿命600 分钟计算机时钟同步的最大容差 5 分钟强制用户登录限制已启用用户票证续订最长寿命7 天用户票证最长寿命10 小时2.1.1.1.4本地策略/审核策略策略设置审核策略更改成功，失败审核登录事件成功，失败审核对象访问成功，失败审核进程跟踪成功，失败审核目录服务访问成功，失败审核特权使用成功，失败审核系统事件成功，失败审核帐户登录事件成功，失败审核帐户管理成功，失败2.1.1.1.5本地策略/用户权限分配策略设置更改时区MC2\Domain Admins更改系统时间MC2\Domain Admins,MC2\Domain Users将工作站添加到域MC2\yuyong,MC2\yangxiaona,MC2\Domain Admins绕过遍历检查BUILTIN\Administrators,NTAUTHORITY\Authenticated Users,Everyone2.1.1.1.6本地策略/安全选项2.1.1.1.6.1故障恢复控制台策略设置已禁用恢复控制台: 允许软盘复制并访问所有驱动器和所有文件夹2.1.1.1.6.2关机策略设置关机: 清除虚拟内存页面文件已启用关机: 允许系统在未登录的情况下关闭已启用2.1.1.1.6.3交互式登录策略设置交互式登录: 不显示最后的用户名已启用交互式登录: 试图登录的用户的消息标题"您现在即将使用的是xx公司内部局域网，请严格遵守公司保密及相关规定使用本网络。