电脑终端桌管规范及管控场景

       很多企业当前电脑桌面可能缺少统一合规管控方案，导致电脑终端的桌面安全和桌面管理存在各种问题：

• 终端电脑各自安装五花八门的应用；
• U盘、移动硬盘等设备随意插拔使用；
• 操作系统版本繁多，软件存在正版化风险；
• 电脑硬件配置无法进行及时完整有效统计；
• 硬件发生主动或被动更换甚至丢失时企业无法得知造成损失；
• 员工不及时主动更新系统补丁导致终端电脑存在各种安全漏洞；
• 电脑卡顿变慢、全网电脑中毒、软件应用繁多，导致运维量大；
• 员工经常向公司申请新配置电脑、IT人员重复运维常见繁杂软硬件故障；

 

       以上这些终端桌管规范化问题，无形中大大增加了企业的运营成本，因此我们需要了解电脑终端桌管的规范及管控场景，以及亚讯终端安全与桌面管理系统是如何对企业终端电脑进行合规有效的统一管控。

 

 

一、U盘

       首先，私人U盘拒绝在公司电脑使用，公司使用U盘需通过管控系统进行授权认证，授权的U盘可设定在全公司使用、某部门使用、某网段使用等场景；

       其次，当需要临时使用U盘时，可以在客户端申请临时放开该U盘的读写权限，审批通过后即可使用，也可通过客户端自我备案登记后便可使用U盘；

       再者，对指定U盘上存取的文档自动进行透明加解密，其他未经授权的客户端或外部的计算机无法读取该移动存储设备中的加密文档。

 

二、设备管控

       对常用的外联设备如U盘、移动硬盘、智能手机、刻录机、4G/5G上网卡、无线网卡、蓝牙等进行限制，防止信息泄露；记录通过智能手机外传的文件，备份外传文件，禁止智能手机接入；

       设置内部计算机只允许连接公司指定网络和WiFi热点，禁止其他一切未知新设备的接入，保证公司内部网络的安全；

       支持仅允许用户使用指定的刻录工具，支持通过审批和自我备案加强刻录行为的管控。

 

三、即时通讯管控

       如有需要，可对聊天内容进行敏感关键字审计，通过聊天记录功能，查找用户是否在聊天中涉及敏感信息；

       可禁止通过QQ、微信、Skype等工具外发文档和截屏，备份外发的文档和截图。

 

四、网页浏览审计

       统计网站访问时长，呈现统计报表，分析员工工作效率；

       禁止访问与工作无关的网站，规范上网行为；

       禁止通过Http/FTP上传文件，防止上传机密信息泄密，例如通过网页网盘上传等。

 

五、应用程序管控

       统计应用程序运行时间，呈现统计图表，分析员工的工作状态及效率；

       禁止运行炒股、游戏、云盘等程序，避免影响工作效率，带来泄密风险；

       禁止终端随意安装软件，防止随意安装软件引起的系统故障及版权纠纷；

       禁止随意卸载工作软件或安全软件，避免增加运维工作量；

       支持在屏幕上显示水印信息，通过照片追溯泄密者信息。

 

六、邮件管控

       定期查看企业外发邮件的内容，确保邮件外发的合规性；

       限定只能使用企业邮箱发送邮件，邮件发送到外部必须抄送部门主管才能发送成功；

       检查邮件主题、正文内容、附件名是否包含敏感关键字，支持拦截包含敏感关键字的邮件。

 

七、打印管控

       审计打印时间、用户、文件名、页数等，支持备份打印内容；

       限制通过ERP、CRM等直接打印，防止如供应链、财务数据等机密信息打印外泄；

       对打印的纸质文档添加浮水印，显示打印者信息，在纸质文档上标识版权信息；

       需要临时打印时，通过申请审批后即可打印，也可通过客户端自我备案机制，登记后便可进行打印。

 

八、企业软件库

       终端可通过企业软件库直接查找并安装/升级相应的应用程序，避免从互联网随意下载导致软件质量及版本参差不齐，且很大可能存在木马病毒等后门；

       对于版权软件，可设置只允许部分员工可通过软件中心下载和安装该软件，防止其他人非法占用授权点，避免版权纠纷；

       支持P2P分发模式，对于分支众多、带宽有限的网络环境，可实现软件的快速分发和自动安装。

 

九、屏幕监控

       管理者可以查看多台客户端的实时屏幕画面；

       对重要程序 (如财务软件等) 进行高频监控，该软件开启时才进行屏幕记，并且支持通过应用程序快速追查屏幕画面证据。

 

十、远程维护

       远程操作客户端计算机进行故障修复及收集故障样本；

       管理员在控制台远程查看终端的基本信息及运行状态；

       通过远程协助客户端电脑一键卸载相关违规软件。

 

十一、网络管控

       检测所有接入内网的计算机，及时发现客户端被非法卸载的计算机；

       建立企业内部的网络区隔，如设置为财务部与市场部的计算机不能互访；

       可通过限制应用程序网络访问权限，如迅雷等P2P下载软件，防止其占用大量网络带宽。

 

十二、资产管理

       提供清晰的软硬件资产报表，及时了解企业IT资产变更情况；

       统计正版授权应用，例如Office的购买数量和已安装Office的数量，发现盗版软件，防止版权纠纷；

       及时为计算机安装最新微软补丁，防范漏洞威胁；

       集中部署软件到客户端，不需要一台台电脑跑点进行安装部署，提升工作效率。

 

十三、终端电脑文件远程备份审计

       企业所有终端计算机上的文档数据，都可以全部或指定部分备份到文档服务器上，以便集中存储和管理，防止终端文件丢失。

 

十四、水印追溯

       通过在屏幕上、纸质文件上、文档上呈现水印信息，震慑拍照和截屏泄密行为；

       记录文档在计算机上的流转情况，通过流转标记发现文档流通出去的计算机节点，帮助企业锁定泄密源头。

 

十五、DLP关键字过滤

       管理员可以通过批量扫描发现各终端电脑中含有特定关键字的文档；

       可设置某计算机不允许存在含有敏感信息的文档，如果发现报警提示且记录日志；

       终端通过IM工具、邮件、U盘传输含有“敏感信息”的文件，触发阻断或报警提示。

 

十六、数据综合报表

       从多种纬度统计分析用户每一项操作行为并形成统计表、趋势表、征兆表，提醒管理人员关注和处理；

       设定固定的时间周期，自动生成周期报表，并支持邮件订阅，定时将周期报表发送给指定相关人员。

 

        通过终端安全与桌面管理系统，解决了企业对电脑桌面的统一规范、统一运维、统一审计，做到了心中有底，手中有数据，方便日后的统一调整及管控，大大降低了企业对终端电脑的运维成本。