银行桌面安全管理制度

桌面安全管理制度

总则

为加强XX农村商业银行个人桌面终端的安全使用，保证个人桌面终端操作系统、周边硬件、应用系统的安全使用，切实防范和降低因桌面终端使用不当，对信息系统带来的安全风险，制定本办法。

本办法适用于办公网所有桌面终端管理。公司范围内个人桌面终端设备上线直至报废前的使用过程，应按本办法相关规定进行管理。

个人桌面终端定义：接入XX农村商业银行网络的用于办公的各类计算机及所属设备。

网络准入

?准入条件

接入OA办公网计算机必须安装桌面安全管理系统客户端软件；

当设备无法安装桌面系统软件，如打印机及CE终端等，各部门设备负责人员需要事先申报，见附件一（总行申报给科技部，各网点申报给本区域支行桌面系统管理人员）对设备进行mac认证处理；XPE终端及pc设备使用OA账户用户名和密码认证，成功后进入正常网络；

?准入管理

个人桌面终端设备接入公司办公网络前，由使用人根据工作需要提出增加终端的申请，并经相关部门人员审批后通过桌面系统需求变更单报送相关部门批准后方可接入。

禁止未安装桌面管理系统客户端及未审批的设备接入办公网络；

桌面系统管理人员，定期对日志进行审查，查看是否有未安装桌面管理系统客户端，并对非法接入设备定位及规范处理；

禁止使用他人帐号登陆网络准入系统，禁止将帐号提供给他人使用。

Mac认证设备需要更换端口时，各部门设备负责人员需要事先申报，见附表二（总行申报给科技部，各网点申报给本区域支行桌面系统管理人员）对设备变更进行记录；

各区域准入服务器管理人员，需要定期对准入系统数据库进行备份，防止服务器宕机造成用户数据丢失，引发网络准入失效。

桌面安全

?基本安全

使用人离开座位，应锁闭计算机屏幕，下班后，应关闭计算机；新购入的终端设备必须经过相关部门登记、编号、贴标签卡后，才能交使用者领用，相关部门设备负责人员需配合用户注册桌面管理系统软件并完善信息。

个人桌面终端设备因使用时间较长或严重损坏而无法修复及超过固定资产使用年限需要报废的，由使用部门提出申请并按相关报废流程办理，对已批准报废的个人桌面终端设备，应在桌面关系统资产统计中及时删除。

个人桌面终端设备上安装、运行的软件都必须为正版软件，未经授权的软件不得在个人桌面终端设备上安装、运行。桌面系统管

理员定期对终端软件安装情况进行报表分析，对违规软件进行统计提交给总行进行统一软件黑白名单定制。

?数据安全

由总行统一下发桌面管理系统移动存储管理策略，对移动存储设备进行统一管理，禁止未授权U盘等存储设备接入办公网络计算机设备使用。

由各区域负责人员应对下发给终端用户使用的CE终端进行设置，将USB接口进行禁用处理。

未授权移动存储设备禁止接入办公网络，对需要接入网络的设备，由各区域设备负责人员按照《移动存储设备管理办法》对移动存储设备进行相应制做标签处理。

使用人有责任保护所接触到的含有公司相关的密级文档、敏感资料的文件、数据介质、系统文档等信息资产。

当发生泄密事件，桌面管理系统最高权限管理员admintest通过审计日志对泄密人员进行定位，并提交相关部门进行问责处理。

?终端安全

由最高权限管理员admintest统一进行策略管理，回收下级管理员子帐号策略权限，对终端计算机的行为进行规范化处理。

禁止使用办公网络计算机连接互联网。设置违规外联策略，防止终端连接互联网，对发生连接互联网行为计算机进行问责。

所有个人桌面终端的网络地址由网络管理员统一管理分配，任何人不得修改计算机的网络地址。设置ip与mac绑定策略，对终端

用户ip进行规范化处理，防止擅自修改ip带来网络细致冲突。

应避免在个人桌面终端设备上使用无限制的文件共享，避免信息泄露，因工作需要共享文件的要设口令并及时取消共享。各区域管理人员需要通过桌面管理系统定期对本区域用户共享文件进行报表分析处理。

未经网络管理员授权，禁止在网络上架设网络设备，如交换机，路由器，无线设备等，不得私自在局域网中搭建子网，或使用代理服务器软件供他人使用。通过网络准入限制端口入网终端数量。

使用人必须确保其使用的终端设备上安装了公司统一的防病毒软件，防病毒软件可在统一信息平台上获取和安装。对未安装杀毒软件的终端计算机进行信息提示或相应警示处理，管理人员对未装杀毒软件终端定期进行报表统计及分析。

?口令密码安全

所有个人桌面终端，必须设定开机帐号口令，账号口令的设置必须符合密码复杂性要求，应避免使用弱口令。设置用户名密码策略，对终端进行统一口令安全管理。

口令在系统中保存或传输时,必须采取安全措施以保证账号的安全性,例如对口令进行加密等。除非可以安全保管，否则不得将口令记录在纸张等一切可视介质上。

个人桌面终端在无人使用时，使用人应将其设置于未登录状态避免非法访问的发生；若长时间不使用，应将其电源关闭。

账号、口令等用于身份识别的工具仅限于所属的使用人使用，

任何个人不得擅自与他人共用，或者随意传播。不应将口令告诉任何人，包括系统管理员各系统帐号。

桌面系统管理员管理

桌面系统管理员应严格按照管理制度进行相关日常管理维护工作。

桌面系统管理员应定期对桌面终端系统相关系统日志进行报表分析处理。包括防病毒安装情况、移动存储使用情况、违规外联发生情况、网络准入控制情况、终端违规行为等。

各区域管理人员有责任将该区域违规行为对上级进行汇报。

超级管理员admintest帐号统一进行策略定制下发，及子帐号权限分配。其操作行为由audit审计帐号进行管理。

各区域管理人员帐号由自己单独管理，禁止借由他人使用，特殊情况需要提前说明。管理员操作行为由audit审计帐号进行管理。

Audit帐号未审计帐号，对桌面管理系统平台管理员及子帐号用户进行操作审计。需要由专人管理使用，密码定期进行更改。

应用系统服务器管理

桌面管理系统服务器端需要开放远程桌面功能。桌面管理系统服务器端administrator帐号由管理员保管，建立子帐号并加入remote desktop users权限组进行远程操作。

不超过3个月一次对应用系统数据库进行备份。

相关部门负责对个人终端的安全使用情况进行定期检查，对违反本管理办法中安全的个人终端，按照以下方式进行处理：第一次违规：相关部门通知违规者纠正；违规员工应在5个工作日内完成整改。

第二次违规（1年内）：相关部门通知违规者纠正，并抄报其部门领导；违规员工应在5个工作日内完成整改。

三次及以上违规（1年内）：三次及以上违规属于严重违规行为，相关部门定期（每季）以书面文件的形式上报给各级相关部；向违规者所在部门下达整改通知书责令在5个工作日内完成整改（若5日内无法整改完成，则需另行确定），并接受检查，检查方式可选择以下三种方式之一：

1）反馈整改结果；

2）委托相关部门进行现场检查；

3）现场抽样检查。

对刻意不执行本安全管理制度、漠视计算机安全工作和存在安全隐患而没有及时整改的，以至造成重大安全事故和事件的，各级安全监察部将追究部门主要负责人和直接责任者的责任，涉嫌犯罪的，移送国家司法机关处理。

无法注册客户端设备入网申请单：