巴陵石化终端计算机管理标准化框架.docx

巴陵石化终端计算机管理标准化框架（1.1） 技术标准 物理环境标准 终端计算机设备放置在室内，并有专人保管； 设备应设置在安装有避雷装置的场所。 设备应设置在配备有灭火设施的场所。 终端计算机安置场所的温、湿度的变化应在设备运行所允许的范围之内。温度：20摄氏度正负15度 湿度：20-60度 应避开易产生粉尘、油烟、有害气体源以及存放腐蚀、易燃、易爆物品的地方； 安置场所的供电线路应满足终端计算机的基本要求。电压：220V 功率：300W 软件基本配置 操作系统：windowsXP sp3专业版 ，windows7专业版 浏览器：IE7以上版本 办公软件： office2007 中石化授权版本 桌面安全管理客户端：Big Fix系统客户端 见附件《巴陵石化BES客户端命名规范》BES管理员起草 防病毒木马软件：Symantec11.0 受控安装网络版 中石化授权版本 网络设置：协议:TCP/IP4,自动获得 计算机命名规范：见附件《巴陵石化桌面计算机命名方案》 其他：根据业务需要安装的应用系统客户端软件或商业软件 硬件最低配置：参照总部框架协议终端计算机配置（见附件：《中国石化2011年PC机中标结果》） Cpu：≥INTEL E3400 2.6G 内存：1GB DDR3 1066 显示器：17” 硬盘：≥250GB(SATA) ≥7200RPM 服务要求：三年上门服务，含操作系统正版软件 备注：以上配置为新增终端计算机最低配置，现有终端设备硬件如达不到上述要求，则按照公司固定资产管理办法逐步更新。 安全访问和权限控制 网络设置：应在终端计算机上启用防火墙访问控制功能，根据访问策略控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包出入； 网络接入：802.1x接入认证管理，对入网设备及用户进行接入认证管理。 资源权限：在微软AD域环境中，用户登陆域控服务器，执行相对应的组策略脚本，实现终端计算机用户的身份鉴别和系统资源访问权限控制。 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。 管理标准 管理制度 《巴陵石化网络管理规范》 《巴陵石化信息系统安全管理规范》 《巴陵石化公司信息基础设施管理规范》 《巴陵石化内控18.4基础设施一般性控制》 操作管理 操作人员:应指定或授权专门的部门或人员负责终端计算机的操作和使用；用户权限根据业务需求按照最小权限原则进行分配。 操作人员应具备终端计算机使用基本操作技能和安全意识，相关的安全责任。见文件：《计算机日常使用操作手册》，《入网安全责任书》 应立即终止由于各种原因离岗人员终端计算机的访问权限和取回终端设备配套的软硬件设备。 如有外部人员访问终端设备，应确保在外部人员访问前得到授权或审批。 涉密计算机的操作管理按公司保密制度相关办法执行。 数据备份：识别需要定期备份的用户数据及软件系统等；规定备份信息的备份方式、备份频度、存储介质、保存期等。 运维管理 应指定专门的部门或人员定期对终端计算机设施进行软硬件维护管理； 应对终端计算机开机或关机等工作进行管理，并定期通过BES进行汇总通报； 终端计算机软硬件维护维修工作标准化，按照《终端计算机维护维修操作规程》进行维护维修工作，确保维护维修工作质量； 系统的备份与恢复：识别需要定期备份的系统数据及软件系统等；规定备份信息的备份方式、备份频度、存储介质、保存期等。 涉密计算机的运维不可外包。 资产管理 应编制与终端计算机相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。管理工具：BES系统。见附件：《终端计算机设备台帐》 应将设备主要部件进行固定放置，并设置明显的不易除去的标记。 终端计算机的各种软硬件设备的采购选型、系统安装配置应参照公司终端计算机软硬件技术标准执行，终端计算机接入网络时按公司网络接入标准流程执行，终端计算机报废处理时，其硬件配置应不高于硬件配置最低标准。 涉密计算机报废后，资产由公司保密委员会收回。 安全管理 应根据业务需求和系统安全分析确定系统的访问控制策略（本机、网络）； 应及时更新操作系统和应用系统的补丁程序，并在更新系统补丁前先进行严格测试，对现有系统的重要文件进行备份后方可进行。附件4：补丁分发工作流程（新建系统软件部署可参照执行） 应提高所有用户的防病毒意识，及时升级和同步防病毒软件病毒库（策略），在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查。 应制定安全事件报告和处置管理制度，规定安全事件的现场处理、事件报告和后期恢复的管理职责。 涉密计算机不允许接入非涉密网络，非涉密计算机上不允许存放涉密信息。