公司需要应对大厂对我们信息安全审核,领导临时拉我们讨论提供解决方案,时间紧急需要快速确定方案并实施。
讨论结果:选择搭建AD域或者上终端软件,我直接推荐上软件
搭AD域太折腾人,到时候又是我来搭,采购服务器搭系统环境这么多员工没几个月折腾不完维护又麻烦,上软件一星期左右搞定。【斜眼滑稽】
选品
我只选了火绒、腾讯、360三家安全产品。
也没想太多,火绒个人喜欢用而已,腾讯和360在普通员工眼里知名度较高。
3家对比足够了,功能方面每家都满足都大差不差的,我们需求也不高。
审核要求
这次审核要求公司大部门是已经满足的,也得考虑其它审核要求,不止和一家大厂有合作,包括体系认证这个事迟早也得干。
被审核方是否建立了信息资产管理规范,明确定义了信息密级分类标准(如,绝密、机密、秘密、内部公开等)及其对应的安全管控措施,并已有效落地实施?知识产权(IPR)是否被识别为涉密信息资产,并有对应的安全管控措施?注:信息资产包括纸质信息资产和电子信息资产,如,IT系统,以及包含敏感信息、软件和配置的存储介质等。
被审核方是否将相关信息资产(技术信息&商务信息)归类为机密(及以上)密级,并设定了专人管理,且对接收(含下载)、保存、发放、借阅、销毁保留了完整的记录?
被审核方是否按照工作相关和最小授权的原则,严格控制了所有IT应用系统、数据库、服务器、公共盘或共享文件夹的访问权限?所有人员的帐号和密码是否严禁转借或扩散?
被审核方是否对所有电脑(含服务器)都设置了开机密码和屏保密码,且密码复杂度符合强密码要求?
被审核方是否通过IT技术手段监控了所有电脑(含服务器)的USB口、光驱、硬盘、网口,以及邮件外发、外网访问(如,QQ和网盘等)等数据传输行为,并定期实施了安全审计?
被审核方是否对开发环境、测试环境、生产环境和办公环境中的所有电脑(含服务器)都实施了操作系统及时打补丁,安装防病毒软件、定期扫描查杀病毒、更新升级并保持最新版本?
被审核方是否在组织内部网络和外部网络之间部署了安全控制措施(如,防火墙等),并将开发环境、测试环境、生产环境和办公环境之间相互实施了隔离?
被审核方是否单独设置了独立且未接入内部网络的工位,对采购的安全关键部件实施了病毒查杀,软件(含软件包 / 补丁包)实施了版本完整性校验,并保留了相关记录?
被审核方是否配置了足够的备份设施,并对所有必要的信息和软件等进行了适时备份?
被审核方是否识别了受控区域,并通过物理隔离,设置安保,安装门禁和摄像头等方式对受控区域进行了有效管控,以防止非授权进入、非授权接触等?非授权人员访问受控区域时是否要经过审批,且在访问时进行登记并专人全程陪同?
被审核方是否跟所有员工、以及所有共享信息的相关方都签署了保密协议,并实施了信息安全培训和宣贯,且对所有违规行为都保留有完整的记录?
价格对比
腾讯:团队版,免费。企业版,按照终端授权收费,终端数购买的越多可以申请优惠。
火绒:免费版,没有。企业版,按照终端授权收费,终端数购买的越多可以申请优惠。
360:基础版,免费。企业版,按照终端授权收费,终端数购买的越多可以申请优惠。
具体报价就不说了,低到高大致就是:360 < 腾讯 < 火绒
功能对比
火绒:功能太多单机此处下载查看
腾讯:功能太多单机此处下载查看
360:功能太多单机此处下载查看
最终我们还是选择了用个免费版就行了外网就通过防火墙安全审计。
下面仅代表个人使用感受:
火绒只有企业版,要么用不了要么付费。腾讯免费版多个usb管控,支持企业微信架构同步,需要注意的是插件付费服务今年停用了。360免费版没啥功能,就是个人普通版套了个皮肤。
火绒最让人舒服,干干净净,但是最近在更新软件模块了,不知道后面会不会走360腾讯的路。腾讯是性价比最高的,免费功能都很实用,刚好公司有在用企微同步架构又省很大力。360免费版功能有点弱鸡,终端支持个性化自定义,这点比腾讯好,腾讯就一个公司名连logo都不能自定义。
评论区