员工计算机终端安全管理.docxVIP

一． 股份公司计算机终端安全管理 操作系统安全验证策略 账号策略,域账号登录,员工电脑必须加入域 密码复杂度策略,密码必须大于 7 位,包含字母大小写,数字,特殊符号 股份公司这边有域环境，所有 windows 客户端电脑需加入到域,用户身份认 证是对使用终端的人员进行身份鉴别，只有使用域账户才能使用终端电脑 二．  建立计算机终端化桌面管理系统,加强对用户的使用电脑行为监控 1. 为了股份公司对内网终端计算机的管理，做到“看得见，管得了”的可视 化的管理目的，可以通过建立终端计算机的桌面终端标准化管理系统，从而 将内网信息安全的管理重点扩大至终端计算机。对企业进行软件批量部署、 升级的强大工具，支持各种软件包支持各种部网络结构 2.  软件自动发现工具可以搜索到环境中的所有软件.许可证管理有助于调 配软件许可证,掌握软件使用的真实数据来获得最合理的软件投入，协调软 件安装权益,处理意外情况(尤其是已安装但没有授权使用) 3.  提供基于网络的操作系统自动部署解决方案，满足各种企业在系统部 署后的策略规范，如机器名，加域、驱动程序加载、软件部署等；同时提供 强大的操作系统迁移工具 4.  软件白名单功能能够将终端应用及权限设定在标准框架内，提升终端 的可控性及标准化程度，极大的增加终端系统生命周期及安全性 5.  对用户现有防病毒系统进行辅助管理，掌握防病毒客户端部署率，运 行状态，病毒定义，实施防护等信息 6.  主机防御体系能主动保护主机脆弱位置，包括浏览器，启动项，系统 三 三． 注册表，Windows 关键目录等，避免被恶意程序破坏 软件黑名单功能,限制用户安装或使用某些指定的软件 能检测到客户端电脑是否加入到域控环境 安装防病毒软件,实时监测内网终端的安全状态 对接入内网的终端安装防病毒软件，可以通过防病毒软件的监测，能够 判断内网终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病 毒库是否保持最新等情况。防病毒控制台中还针对内网访问的网段进行访问控 制，把准许访问的网段添加到白名单中，把用户严格限制在安全的区域范围内， 防病毒控制台还可以制定安全威胁扫描策略，定期扫描和清除病毒、木马、后 门、间谍软件等恶意软件。对不满足安全要求的终端通过防病毒系统及时向终 端分发经过安全测评的病毒库升级包和恶意代码库；防病毒系统还可阻断违规 联入外网，确保内网终端计算机的安全。 四．  及时更新终端计算机的系统补丁 目前股份公司在内网终端计算机中主要用的都是 win7 和 win10 系统, 微软一直会提供对系统的存在的功能和安全问题发布补丁,所以需要及时安 装补丁解决操作系统中的漏洞,安装补丁可以通过域控进行推送。 五．  实行数据存储保护 1.  对硬盘进行磁盘加密保证了笔记本电脑丢失的情况下，电脑中存储 的资料仍然不被泄密。同时只有输入合法的口令，才可以查看笔记本上 的数据。 2.  对内部文件加密后，保持现有的工作模式和操作习惯不变，不改变文 件格式、不封闭网络、外设端口，保证办公效率，实现数据泄密管理，形成“对 外受阻，对内无碍”的管理效果； 3.  未经公司授权允许，数据不管任何方式离开了公司均无法正常访问。 只有经过合法流程审批后，才能在公司授于的权限范围内访问；  全程监督、跟踪、记录所有员工的全部操作，实时回溯泄密全过程。 重要文档外发权限发，虽给对方确可有效控制； 解密行为、操作记录统计在案，随时追溯审计； 全程追踪审计： 谁看过 谁印过 有记录。 未经授权，不管任何方式原始文件离开了该电脑，无法正常查看， 显示乱码，并且文件始终保持加密状态，避免知识平台的原始文件流出泄密。 只有经过上级领导审批后，用户才可在授予的权限范围内，访问该文件 9.  加密文件只能在安装加密客户端的用户间自由流转，未安装加密客 户端的用户即使获取到加密文件，也无法正常阅读。 10. 不管以任何方式，加密文件私自外带，无法正常使用。 加密。   自定义添加受控应用程序，满足对所有的应用程序产生的文件进行 实现对个别领导的电脑设置只解密不加密，即可以正常查看加密文 件，但是对个人电脑中的文件不加密。 13.  员工携带笔记本出差办公，和在公司内部一样的安全管理效果，离 线时间超过，所有加密文件无法打开，需重新申请导入离线策略。 六．  实行办公电脑网络使用规范 1. 公司办公网段采用 DHCP 服务器自动分配 IP 地址，为避免与网络中其 他主机 IP 地址冲突，不得擅自将办公电脑的 IP 地址设成固定地址，若却有必要 配置成固定 IP 地址，需要研究院将该地址排除出 DHCP 地址池。 2. 为保证公司有线、无线网络环境稳定，禁止在工位的网络接口下私接 交换机、无线路由器等设备，若确实是