【正文】 中國(guó)石油桌面安全管理建設(shè)方案 26 通過信息安全等級(jí)保護(hù)綜合工作平臺(tái)，能夠?qū)崿F(xiàn)定級(jí)、備案、整改、測(cè)評(píng)和檢查等信息化管理工作，提升等級(jí)保護(hù)工作的效率和管理水平。 隔離修復(fù)：對(duì)于不滿足策略要求的計(jì)算機(jī)進(jìn)行隔離，計(jì)算機(jī)完成修復(fù)，滿足策 略要求后才允許其接入網(wǎng)絡(luò)。 補(bǔ)丁檢測(cè)：檢測(cè)桌面計(jì)算機(jī)缺乏哪些安全補(bǔ)丁，為補(bǔ)丁播發(fā)提供基礎(chǔ)數(shù)據(jù)，并適 當(dāng)增加安裝率低、影響嚴(yán)重的補(bǔ)丁播發(fā)頻率。 中國(guó)石油桌面安全管理建設(shè)方案 20 ?建設(shè)方案（功能架構(gòu)） ? 端點(diǎn)準(zhǔn)入子系統(tǒng)、防病毒子系統(tǒng)、補(bǔ)丁分發(fā)子系統(tǒng)、電子文檔保護(hù)子系統(tǒng)組成桌面計(jì)算機(jī)安全管理的防護(hù)手段； ? 后臺(tái)管理子系統(tǒng)、信息安全等級(jí)保護(hù)綜合平臺(tái)為桌面計(jì)算機(jī)安全管理系統(tǒng)提供管理手段； ? 通過監(jiān)測(cè)分析桌面行為是否滿足等級(jí)保護(hù)要求，為進(jìn)一步桌面安全管理系統(tǒng)的完善與提升提供依據(jù)； ? 防護(hù)與管理措施相輔相成、循環(huán)上升，不斷提升桌面安全管理水平。 中國(guó)石油桌面安全管理建設(shè)方案 18 ? 其中防病毒子系統(tǒng)、補(bǔ)丁分發(fā)子系統(tǒng)、端點(diǎn)準(zhǔn)入子系統(tǒng)的策略部分共用服務(wù)器，后臺(tái)管理子系統(tǒng)和文檔保護(hù)子系統(tǒng)共用服務(wù)器。 2. 《 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》 在數(shù)據(jù)保密性、系統(tǒng)安全管理、惡意代碼防范管理、資源控制、安全審計(jì)、審核和檢查、監(jiān)控管理和安全管理中心方面提出了要求，桌面安全管理系統(tǒng)需滿足以上等級(jí)保護(hù)提出的要求。 ?大部分單位實(shí)施 ?客戶端數(shù)量 138677 ?2022年部署該系統(tǒng) ?2022年對(duì)系統(tǒng)升級(jí)優(yōu)化，完善三級(jí)架構(gòu)，保證病毒定義及時(shí)更新，增強(qiáng)可管理性。其余 %的桌面計(jì)算機(jī)使用 Linux等其他操作系統(tǒng)。 中國(guó)石油桌面安全防護(hù)現(xiàn)狀 4 中國(guó)石油桌面計(jì)算機(jī)主要使用微軟的操作系統(tǒng)，占總體桌面計(jì)算機(jī)數(shù)量的 %?？蛻舳税惭b數(shù)量總體上不住 50%，防護(hù)范圍還不能到達(dá)安全要求 ? 桌面安全防護(hù)現(xiàn)狀 端點(diǎn)準(zhǔn)入子系統(tǒng) ?2022年初開始試點(diǎn)工作 ?2022年 6月正式開展系統(tǒng)推廣 ?部分單位進(jìn)行了實(shí)施 ?客戶端數(shù)量 137042 補(bǔ)丁分發(fā)子系統(tǒng) ?2022開始部署，建立三級(jí)管理架構(gòu)，實(shí)現(xiàn)系統(tǒng)安全補(bǔ)丁自動(dòng)分發(fā)與更新。 中國(guó)石油桌面安全管理建設(shè)方案 ?目標(biāo) 14 ? 桌面安全管理與防護(hù)建設(shè)思路 1. 以 PPDR參考模型進(jìn)行桌面安全管理系統(tǒng)設(shè)計(jì)，策略定義了要實(shí)現(xiàn)的桌面安全目標(biāo)和實(shí)現(xiàn)桌面安全目標(biāo)的途徑，通過 防護(hù)、監(jiān)測(cè)、響應(yīng)環(huán)節(jié)采用不同技術(shù)實(shí)現(xiàn)。下載后的病毒定義碼分發(fā)到各區(qū)域網(wǎng)絡(luò)中心的防病毒子系統(tǒng)，而下載的補(bǔ)丁經(jīng)過篩選、測(cè)試后，逐級(jí)下發(fā)到區(qū)域網(wǎng)絡(luò)中心補(bǔ)丁分發(fā)子系統(tǒng)內(nèi)，區(qū)域中心服務(wù)器將病毒定義文件、安全補(bǔ)丁下發(fā)到桌面計(jì)算機(jī)； ? 電子文檔保護(hù)服務(wù)器與身份管理與認(rèn)證系統(tǒng)連接，下載公鑰，為各企事業(yè)單位的桌面計(jì)算機(jī)安裝的電子文檔保護(hù)客戶端提供文檔加密時(shí)公鑰下載服務(wù)； 石油總部 總部部署：等級(jí)保護(hù)綜合平臺(tái)服務(wù)器、病毒庫和補(bǔ)丁更新服務(wù)器、電子文檔保護(hù)服務(wù)器、日志分析服務(wù)器。 企事業(yè)單位 在企事業(yè)單位桌面計(jì)算機(jī)上安裝客戶端軟件，客戶端軟件包括防病毒軟件、補(bǔ)丁分發(fā)軟件、端點(diǎn)準(zhǔn)入軟件、電子文檔保護(hù)軟件和后臺(tái)管理軟件。 補(bǔ)丁篩選與測(cè)試：對(duì)獲取的安全補(bǔ)丁進(jìn)行篩選與測(cè)試，確定補(bǔ)丁的有效性和影響， 防止補(bǔ)丁安裝后產(chǎn)生意外影響；優(yōu)先播發(fā)威脅級(jí)別高、影響嚴(yán)重的安全補(bǔ)丁。 安全性檢測(cè)：按照制定的準(zhǔn)入策略對(duì)接入到網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行檢測(cè)，允許滿足 策略要求的計(jì)算機(jī)接入網(wǎng)絡(luò)。 ? 對(duì)系統(tǒng)日志、電子文檔訪問日志等內(nèi)容進(jìn)行審計(jì)，通過日志審計(jì)發(fā)現(xiàn)問題。 ? 病毒定義和系統(tǒng)安全補(bǔ)丁由總部防病毒服務(wù)器通過互聯(lián)網(wǎng)獲取，逐級(jí)下發(fā)，計(jì)算機(jī)從各個(gè)區(qū)域網(wǎng)絡(luò)中心服務(wù)器升級(jí)病毒定義文件和系統(tǒng)安全補(bǔ)丁文件。 2022年 5月完成，用時(shí) 12個(gè)月、共分 5個(gè)階段完成：調(diào)研與分析、設(shè)計(jì)與招標(biāo)、推廣實(shí)施、集成開發(fā)、總結(jié)驗(yàn)收。 ? 主管部門應(yīng)將新購(gòu)置的終端計(jì)算機(jī)做系統(tǒng)固有的脆弱性分析，排除潛在的安全隱患。 ?終端計(jì)算機(jī)應(yīng)關(guān)閉 Guest用戶、系統(tǒng)默認(rèn)共享和遠(yuǎn)程桌面，并設(shè)置系統(tǒng)自動(dòng)鎖屏。 病毒防護(hù) 終端計(jì)算機(jī)安全管理規(guī)范 41 ? 主管部門應(yīng)建立網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，并滿足以下基本準(zhǔn)入控制策略： 1. 殺毒軟件運(yùn)行檢測(cè)； 2. 殺毒軟件病毒庫更新檢測(cè)； 3. 補(bǔ)丁分發(fā)軟件運(yùn)行檢測(cè)； 4. 安全補(bǔ)丁更新檢測(cè)； 5. 軟件防火墻運(yùn)行檢測(cè)； 6. 用戶非法外聯(lián)其它網(wǎng)絡(luò)檢測(cè)。 ?用戶應(yīng)對(duì)終端計(jì)算機(jī)系統(tǒng)中重要數(shù)據(jù)進(jìn)行加密備。 ? 移動(dòng)硬盤、 U盤應(yīng)設(shè)置密碼，存儲(chǔ)重要文件應(yīng)加密。 ? 用戶不應(yīng)蓄意安裝具有掃描、攻擊等惡意行為的黑客軟件。 ?主管部門應(yīng)對(duì)安全事件進(jìn)