网络安全操作规范.docxVIP

网络安全操作规范

一、终端设备安全管理规范

1.1办公终端安全操作要求

所有员工使用的办公终端（包括台式机、笔记本电脑）须遵循以下规定：

-准入控制：新接入公司网络的终端需通过设备管理系统（如MDM、EDR）完成注册，验证操作系统版本、防病毒软件状态、补丁更新情况。未通过验证的终端禁止接入内网，由IT部门登记并限期整改。

-补丁管理：操作系统及办公软件（如Office、Adobe）的安全补丁需按月更新。每月第1周为测试期（在独立测试环境验证补丁兼容性），第2周开始生产环境推送。紧急补丁（如CVE评分≥7.0）需在24小时内完成测试并部署，未及时更新的终端将被限制访问敏感系统。

-防病毒与恶意软件防护：必须安装公司统一部署的终端安全软件（支持实时监控、定期扫描），病毒库每日自动更新。员工不得卸载或禁用防护软件，违规操作导致感染事件的，需承担相应责任。

-账号与权限管理：终端默认使用普通用户账号登录，管理员权限仅分配给IT维护人员，且需通过双人审批流程。用户账号密码需符合“8位以上、包含大小写字母+数字+特殊符号”要求，每90天强制更换，禁止重复使用最近6次密码。

-屏幕保护与锁定：终端连续15分钟无操作需自动锁定屏幕，解锁时需输入登录密码（禁止使用指纹或面部识别替代密码）。离开座位时须手动锁定终端，未锁定导致信息泄露的，按公司安全事件处理。