编辑: 贾雷坪皮 | 2019-07-12 |
5 楼未进 行网络隔离, 测试可通过远程桌面挂载共享盘向其它网段拷贝数据,不符合研发 楼物理安防管理方案的相关要求."不符合标准 A.13.1.3 网络中的隔离的相关 要求. 改进及取得的成效 经以上分析, OPPO 公司领导对我们发现的问题欣然接受, 对提出的不符合 项进行原因了分析并采取了纠正和纠正措施. 改进过程: (1) 针对五楼保密区域办公终端, 使用域组策略限制远程复制及共享功能. 具体策略:组策略--计算机配置--管理模板--Windows 组件--远程 桌面服务--远程桌面会话主机--设备和资源重定向 1)不允许剪贴板重定向,调整为已启用 2)不允许驱动器重定向,调整为已启用. (2) 目前红区会议室资源不足, 导致内部人员需在非保密区域进行会议远 程红区电脑使用, 故无法进行彻底的网络隔离, 计划下半年扩展保密 项目专区面积, 配置充足会议室资源,区域内配备保密项目专用办公 终端,限制个人办公终端带入,且保密项目办公区配置独立网段,以 实现网络隔离. 取得的成效: (1) 提高了网络管理人员的安全意识, 补齐了网络管理内到外控制较松的 短板.使网络管理人员的视野更开阔,不仅关注外到内的攻击、进一 步关注内到外的摆渡. (2) 企业认为本案例中的不符合项为其风险评估的全面性提供了参考, 进 一步在现有的威胁列表中增加内部人员摆渡资料这个评估维度, 对企 业以后的信息安全管理产生了有意义的影响. 将在后续的风险评估工 作中,不仅在网络控制层面,也在设备带出管控、人员进出管控等方 面,关注由内主动出外的信息安全管理. (3) 通过此次审核进一步完善企业研发信息的信息安全管控, 增强了公司 在市场上的竞争力,提高了公司的社会效益.