Q/SY
中国石油天然气集团公司企业标准
Q/SY 1342-2010
终端计算机安全管理规范 Specifications for office computer security management
2010—05—25发布
2010-08一01实施
中国石油天然气集团公司 Q/SY 1342—-2010
目 次
1
前言范围
1
2术语和定义 3 终端计算机安全管理 3.1 物理安全 3.2 运行安全 3.3．病毒防护 3.4 补丁管理 3.5 网络准人控制 3.6 介质管理 3.7 监控审计 3.8 备份 前言
本标准是中国石油天然气集团公司信息技术专业安全系列企业标准之一，信息技术专业安全系列企业标准共6项标准，另外5项标准是：
-Q/SY1341—2010《信息系统安全管理规范》； -Q/SY1343—2010《信息安全风险评估实施指南》； -Q/SY1344—2010《信息系统密码安全管理规范》； -Q/SY1345—2010《计算机病毒与网络人侵应急响应管理规范》； -Q/SY1346—2010《信息系统用户管理规范》。
本标准由中国石油天然气集团公司信息技术专业标准化技术委员会提出并归口。 本标准起草单位：中国石油集团东方地球物理勘探有限责任公司。 本标准主要起草人：靖小伟、杨志贤、滕征岑、冯梅、王峰、刘建兵、王春伟、刘安卓、胡静、
徐健、张凯、王岩、张海燕、张楠楠、偶亚伟。 终端计算机安全管理规范
1范围
本标准规定了终端计算机的物理安全、运行安全、病毒防护、补丁管理、网络准入控制、介质管理、监控审计和备份与恢复的基本要求。
本标准适用于中国石油天然气集团公司（以下简称“中国石油”）所属各企事业单位所有非涉密终端计算机。 2术语和定义
下列术语和定义适用于本标准。
2.1
终端计算机terminal computer 一种个人使用的计算机，为用户访问网络服务器提供支持。终端计算机一般由硬件系统、操作系
统和应用系统（包括为用户访问网络服务器提供支持的工具软件和其他应用软件）等部分组成。 2.2
主管部门competentdepartment 负责行使本单位终端计算机安全管理职责的部门。
2.3
用户 user 终端计算机直接使用者即为终端计算机用户，简称用户。
2. 4
运行安全operationsecurity 为保障系统功能的实现，提供一套措施来保护信息处理过程的安全。
2.5
网络准入控制local accesscontrol 终端计算机访问网络前，保障网络及终端计算机安全的协议集合。
2.6
计算机病毒 computer virus 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复
制的一组计算机指令或者程序代码。 2.7
中国石油计算机网络CNPCcomputernetwork 中国石油核心网络、区域网络中心、所属企事业单位网络和计算机，通过各种数字传输信道和网
络设备，采用统一的技术标准和连接方式互联在一起，并以统一的出口与因特网（Internet）相连所形成的企业专用计算机互联网络。 2.8
其他网络 other network 中国石油计算机网络以外的计算机网络。 3终端计算机安全管理 3.1物理安全 3.1.1主管部门应提供必要的场地安全措施，用户具有终端计算机的使用权和保管权。 3.1.2主管部门应负责终端计算机、存储设备的维修和回收工作。 3.1.3用户离开终端计算机应关闭电源，并将外接移动存储设备拔下并妥善保管。 3.1.4主管部门应将新购置的终端计算机做系统固有的脆弱性分析，排除潜在的安全隐患。 3.2运行安全 3.2.1终端计算机应安装正版操作系统和应用软件。 3.2.2主管部门应对本单位终端计算机实行注册管理，建立计算机用户信息库，进行实名制登记，记录MAC（物理地址）、IP（因特网协议地址）、部门、联系方式，并对IP与MAC进行绑定。 3.2.3主管部门应对终端计算机软、硬件资产及变更信息进行管理。 3.2.4主管部门应对安全事件进行监控、报警和定位事件源头，并采取措施控制和处理。 3.2.5主管部门应收集、分析、整理本单位终端计算机端口、服务、进程、Web（网页）访问，形成本单位访问控制策略，用于管理用户对网络资源的访问。 3.2.6主管部门应收集、分析、整理本单位应用软件列表，推行终端计算机桌面标准化。 3.2.7用户应设置终端计算机密码，密码复杂性、长度、存留期应符合主管部门的要求。 3.2.8终端计算机应关闭Guest用户、系统默认共享和远程桌面，并设置系统自动锁屏。 3.3病毒防护 3.3.1主管部门应建设本单位的防病毒系统，并对终端计算机进行统一安装防病毒软件和更新病毒定义码。 3.3.2用户的文件应进行病毒扫描后使用。 3.3.3用户不应蓄意传播计算机病毒。 3.3.4用户不应蓄意安装具有扫描、攻击等恶意行为的黑客软件。 3.4补丁管理 3.4.1主管部门应建设本单位的补丁升级系统，并对终端计算机进行统一安装补丁升级软件和更新安全补丁。 3.4.2用户应在安全补丁发布后及时将安全补丁更新至最新。 3.4.3主管部门定期检查补丁升级情况，对于升级不成功的终端计算机，应进行升级处理。 3.5网络准入控制 3.5.1主管部门应建立网络准入控制系统，并满足以下基本准入控制策略：
a）杀毒软件运行检测； b）杀毒软件病毒库更新检测； c）补丁分发软件运行检测； d）安全补丁更新检测； e）软件防火墙运行检测； f）用户非法外联其他网络检测。
3.5.2非中国石油员工未经主管部门允许，不应访问中国石油计算机网络。 3.6介质管理 3.6.1终端计算机硬盘存储的重要文件应加密。 3.6.2软盘存储重要文件应加密。 3.6.3刻录机刻录重要文件应加密。 3.6.4移动硬盘、U盘应设置密码，存储重要文件应加密。 3.6.5用户不应将非工作存储介质连接到终端计算机。 3.7监控审计 3.7.1主管部门应建立监控和审计机制，记录输人输出、备份、删除、拷贝以及非工作时间段终端计算机操作的日志。 3.7.2主管部门应定期检查和审计访问日志，对可疑行为进行追踪，并通报和处理。 3.8备份
用户应对终端计算机系统中重要数据进行加密备份，备份内容防丢失、损坏、窃取。