市分行办公PC移动介质管理方案.docxVIP

上海市分行办公PC及移动介质管理方案目录一背景介绍1二网络环境安全21启用的功能模块：22功能模块描述：23策略制订描述：34工作流程图：35第一阶段推广分析：46管理制度56.1网络连接和网络安全56.2网络使用安全57服务保障6三主机应用安全61启用的功能模块：62功能模块描述：73策略制订描述：74工作流程图：84.1移动存储介质管理使用流程84.2安全防木马U盘使用流程95第二阶段推广分析：105.1在上海分行推广的有利条件：105.2在上海分行推广的不利条件：105.3第二阶段建设的考虑因素：106管理制度116.1移动存储介质安全保密管理暂行规定117服务保障14四数据存储安全141启用的功能模块：152功能模块描述：153策略制订描述：163.1文档加密策略启用163.2文档申请解密流程启183.3笔记本电脑申请外带启用194工作流程图：215第二阶段推广分析：225.1在上海分行推广的有利条件：225.2在上海分行推广的不利条件:235.3第三阶段建设的考虑因素：236、管理制度237服务保障24行领导：为加强对上海市分行办公PC机及移动介质的安全管理，信息部在现有办公桌面域控管理方案基础上，进一步制定了分行PC机及移动介质数据防泄密技术方案，现汇报如下：背景介绍根据总行统一规划，上海市分行PC机（业务/办公）目前都已安装了桌面域控系统，已实现了用户账号和密码的管理；软件安装和卸载管理；用户访问权限的管理。但还存在着以下方面的安全隐患：1、对PC机不安装域或安装后私自卸载域等行为还缺乏有效的发现和管控手段；2、缺乏对移动介质的管理手段；用户可以随意使用各种移动存储设备，将企业的内部文件泄露出去，并无法控制外部存储介质将病毒带入到企业内部；3、缺乏移动介质带出使用追溯问题；4、缺乏发现和管理用户非法自行建立通路（如3G、无线、代理、拨号）非法外联行为；5、缺乏对用户私自修改IP、MAC地址，造成IP地址冲突和网络安全时间分析困难的问题；6、缺乏对计算机的光驱，软驱，USB，网卡，蓝牙、红外、串口、并口等外设进行有效监控，无法解决重要敏感信息通过上述端口泄密的隐患；7、缺乏内部文档外出审批流程，文档流出造成泄密无据可查；8、缺乏笔记本外带审批流程，外出操作、或笔记本丢失没有审计手段，可能造成重要敏感信息泄密；9、缺乏文档打印审批流程，打印泄密无据可查；10、缺乏重要商密文件备份，一旦数据丢失没有备份容灾机制；为进一步强化对计算机及移动介质等数据使用环节的安全管理，防止使用环节敏感数据的泄漏，信息部根据交通银行信息安全管理要求，制定了本方案。分行办公PC及移动介质建设目标总体：在桌面域控系统上，部署国家信息安全工程技术研究中心的客户端，统一实现准入控制、移动介质控制、非法外联控制、端口控制、文档加密、打印监控等功能。网络环境安全先行建设一个安全可控的物理环境，才能够保障企业的信息安全，第一阶段 2014年2月10号开始-4月30日完成。启用的功能模块：非法接入控制功能模块地址绑定监控审计功能模块功能模块描述：加强非法接入控制：采用802.1x协议探测等方式检测系统中所有在线的主机，并判别在线主机是否是经过系统授权认证的信任主机，非信任主机禁止访问企业内网（也可开启白名单，允许访问）。加强IP、MAC地址绑定：对所有终端机器的网络连接配置进行统一全局锁定，客户端不能私自修改IP，防止IP地址冲突。策略制订描述：模块名称策略设置设置规则（由松到严）管理效果用户感知非法接入控制启用1、未安装客户端软件禁止准入；2、未安装杀毒软件禁止准入；3、未安装桌面域禁止准入；（需定制接口）4、补丁检查不健康禁止准入。★新员工入职需按信息部要求安装软件，否则无法接入单位内网办公。★外来访客不能随意接入单位内网访问内网数据。无需用户互动，用户使用无感觉。地址绑定监控启用可修改★用户可以修改IP地址，后台留下日志审计；无需用户互动，用户使用无感觉。启用IP、MAC地址绑定★用户尝试修改IP地址失败，有效防止IP地址冲突，减轻管理员因地址冲突带来的工作量。工作流程图：安全接入工作流程：第一阶段推广分析：在上海分行推广的有利条件：可以防止外来人员随意接入分行内部网络，带来安全隐患；可以规范管理分行内部员工通过智能手机、IPAD等移动设备采用wifi、有线等方式接入到计算机和内部网络的行为，有效降低个人终端与工作计算机混杂网络给分行信息安全带来的隐患；IP、Mac地址绑定可以实现迅速有效的内网故障定位、内网病毒源头定位和内部恶意攻击定位，有效支撑技术部门对内部网络的安全管理和安全审计。在上海分行推广的不利条件：内部员工习惯使用的个人移动终端（苹果手机、安卓手机等设备）和移动办公设备（笔记本、IPAD等设备）不能随意接入单位内部网络，对员工个人使用