东方亚洲欧a∨人在线观看|欧美亚洲日韩在线播放|日韩欧美精品一区|久久97AV综合

        網(wǎng)絡信息安全規(guī)劃方案

        發(fā)布時間:2020-10-05 來源: 工作計劃 點擊:

          網(wǎng)絡信息安全規(guī)劃方案

         制作人:XXX

          日期:2018 年 4 月 5 日

          目錄 1. 網(wǎng)絡信息安全概述..................................................................... 3

         1.1 網(wǎng)絡信息安全的概念........................................................... 3

          1.2 網(wǎng)絡信息安全風險分析....................................................... 3 2. 需求分析....................................................................................... 4

          2.1 現(xiàn)有網(wǎng)絡拓撲圖.................................................................... 4

          2.2 規(guī)劃需求................................................................................ 4 3. 解決方案...................................................................................... 5

          3.1 防火墻方案............................................................................ 5

          3.2 上網(wǎng)行為管理方案................................................................ 6

          3.3 三層交換機方案.................................................................... 6

          3.4 域控管理方案........................................................................ 7

          3.5 企業(yè)殺毒方案....................................................................... 11

          3.6 數(shù)據(jù)文件備份方案.............................................................. 15 4. 設備清單...................................................................................... 16 5. 實施計劃...................................................................................... 16

          ? 1. 網(wǎng)絡信息安全概述

         1.1 網(wǎng)絡信息安全的概念

          網(wǎng)絡信息安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶 然或是惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務 不中斷。

          網(wǎng)絡信息安全從廣義來說,凡是設計到網(wǎng)絡上信息的保密性、完整性、可用性

          真實性和可控性的相關安全都屬于網(wǎng)絡信息安全范疇;從網(wǎng)絡運行和管理者角度說, 網(wǎng)絡信息安全是避免企業(yè)網(wǎng)絡信息出現(xiàn)病毒、非法讀取、拒絕服務、網(wǎng)絡資源非法 占用和非法控制等威脅,制止和防御網(wǎng)絡黑客的攻擊,保障網(wǎng)絡正常運行;從社會 和意識形態(tài)來講,企業(yè)訪問網(wǎng)絡中不健康的內容,反社會的穩(wěn)定及人類發(fā)展的言論 等,屬于國家明文禁止的,必須對其進行管控。

         1.2 網(wǎng)絡信息安全風險分析

         企業(yè)局域網(wǎng)是一個信息點較多的百兆或千兆局域網(wǎng)絡系統(tǒng),它所連接的上百個信息點為企業(yè)內部各部門辦公提供了一個快速方便的信息交流平臺,以及與互聯(lián)網(wǎng)通訊、溝通、交流的開放式平臺。企業(yè)局域網(wǎng)存在以下安全風險:

         ? 局域網(wǎng)與 Internet 之間的相互訪問,沒有專有設備對其進、出數(shù)據(jù)包進行分析、篩選及過濾,存在大量的垃圾數(shù)據(jù)包,造成網(wǎng)絡擁堵及癱瘓。

         ? 內部應用服務器發(fā)布到公網(wǎng)中使用,在 Internet 外部環(huán)境下,存在被不法分子攻擊、入侵及篡改企業(yè)安全數(shù)據(jù)信息。

         ? 企業(yè)內部終端在無約束條件下,隨意訪問、下載網(wǎng)絡上的資源,其中大量的網(wǎng)絡資源沒有經(jīng)過安全驗證,可能帶有病毒、以及資源版權糾紛等問題。

         ? 企業(yè)內部網(wǎng)絡環(huán)境在沒有做流控管理的情況下,造成一部分人占用大部分網(wǎng)絡資源,

          而其他人無法使用網(wǎng)絡資源正常辦公,不利于企業(yè)所有人員使用網(wǎng)絡資源正常辦公。

         ? 企業(yè)內部終端在無行為管理情況下,若訪問帶有宗教信仰、反人類、反政治等網(wǎng)站,以及個人發(fā)布不恰當?shù)难哉摰,企業(yè)需承擔網(wǎng)絡提供者的連帶責任。

         ? 企業(yè)內部終端電腦無管控情況下,用戶私自安裝、卸載未經(jīng)批準的軟件,私自拷貝企業(yè)機密文件,篡改電腦信息,給企業(yè)帶來經(jīng)濟損失等等。

         ? 企業(yè)內部終端無殺毒軟件防護,在網(wǎng)絡開放時代,易于感染釣魚、勒索等病毒。且企業(yè)局域網(wǎng)處于一個網(wǎng)絡環(huán)境下,病毒可擴散到全公司電腦。

         ? 企業(yè)中重要數(shù)據(jù)文件的保護與備份機制,數(shù)據(jù)文件存在被內部人員私自刪除、病毒入侵干擾以及天災造成的數(shù)據(jù)損壞及丟失。

         ? 2. 需求分析

         2.1 現(xiàn)有網(wǎng)絡拓撲圖

          2.2 規(guī)劃需求 ? 加強 Internet 對企業(yè)內部應用服務器的訪問,通過服務訪問規(guī)則策略、驗證工具、包過濾和應用網(wǎng)關等管控,從而保證內部網(wǎng)免受外部非法用戶及病毒的入侵。

          ? 建立總部與工廠之間的安全、加密的虛擬專用網(wǎng)互相訪問認證機制。

         ? 針對用戶使用網(wǎng)絡訪問 Internet 資源的管控,建立安全、合法的訪問規(guī)則以及流控的管理,讓所有用戶正常使用網(wǎng)絡辦公。

         ? 內部網(wǎng)絡的 vlan 的劃分,避免局部廣播風暴造成的整體網(wǎng)絡癱瘓。

         ? 加強對用戶電腦賬戶密碼的管理以及共享文件夾的分級權限管理,限制用戶私自安裝、卸載軟件,修改注冊表、IP,U 盤使用權限管理。

         ? 建立企業(yè)殺毒管理方案,通過局域網(wǎng)定時批量更新計算機病毒庫,保障所有電腦及數(shù)據(jù)免受病毒侵犯。

         ? 對公司服務器上各部門重要的數(shù)據(jù)文件,尤其是研發(fā)的設計、專利文件,進行異地備份。

         ? 3. 解決方案

         3.1 防火墻方案

         目前總部 ISP 接入帶寬為上行 8M,下行 200M 撥號光纖,工廠兩條 ISP 接入,一條為上下對等 10M 城域網(wǎng)(含公網(wǎng)靜態(tài) IP),另一條為上行 8M,下行為 200M 撥號光纖,兩地通過 IPSEC VPN 虛擬專用隧道互相通訊。且總部有外貿(mào)、電商、市場、營銷等對網(wǎng)絡資源要求較高的部門。建議采用集成具備防火墻、IPSEC VPN、SSL VPN、防病毒、IPS 入侵檢測、雙 ISP 接入等多種安全引擎功能的防火墻。針對防火墻做如下規(guī)則防護:

         ? 啟用 IPS 入侵檢測,監(jiān)視網(wǎng)絡及網(wǎng)絡設備不正;虿话踩木W(wǎng)絡傳輸行為及時中斷、調整或隔離。

         ? IDS 對異常、入侵行為等深層次侵略的數(shù)據(jù)進行檢測和預警,中斷外部異常連接。

         ? 內部 Trust 對訪問外部 Untrust 的數(shù)據(jù)包,根據(jù) TCP、UDP、dns 或是端口號的服

          務規(guī)則進行策略管控。

         ? 內部服務器端口映射出公網(wǎng)地址,針對外部 Untrust 對該服務器的公網(wǎng)地址訪問,根據(jù)服務規(guī)則、端口號等進行安全準入判斷。

         ? 通過防火墻 IPSEC VPN 功能,建立總部與工廠之間的虛擬安全專用隧道,規(guī)范兩地間電腦只能訪問對方的服務器網(wǎng)段,禁止其他電腦之間互相訪問。

         3.2 上網(wǎng)行為管理方案

         上網(wǎng)行為管理設備具有流控管理、訪問控制管理、入侵檢測管理、安全審計管理等功能。防范非法用戶非法訪問、防范合法用戶非授權訪問,節(jié)省網(wǎng)絡資源的流失,保障用戶合理合法的訪問外部資源信息。相關規(guī)范如下:

         ? 根據(jù) ISP 提供商提供的帶寬資源,合理規(guī)范流控設置,如每用戶限制最大上行 2M,下行 4M,保障了用戶均分網(wǎng)絡資源,正常辦公。

         ? 對準入終端綁定 IP 與 MAC 地址,禁止非法終端準入。

         ? 對不同部門不用應用制定不同的訪問授權,如人事部訪問招聘、社保等政企網(wǎng)站;電商部訪問購物、電商網(wǎng)站;財務部訪問網(wǎng)銀等網(wǎng)站授權。

         ? 禁止所有用戶使用除公司指定之外的網(wǎng)盤,防止公司數(shù)據(jù)文件外泄。

         ? 禁止所有用戶使用公司指定之外的郵件系統(tǒng),防止公司數(shù)據(jù)文件外泄。

         ? 禁止所有用戶利用公司網(wǎng)絡資源訪問娛樂影音、游戲、代理木馬、宗教信仰等網(wǎng)站。

         ? 對所有準入用戶實行安全審計、日志記錄功能。

         3.3 三層交換機方案

         出于安全和管理方便的考慮,主要為了減小廣播風暴造成的影響訪問,必須將大型局域網(wǎng)按功能或地域等因素劃分成多個小局域網(wǎng),三層交換機 vlan 功能將大型的局域網(wǎng)劃分成多個廣播域,降低了廣播風暴的危害,同時又保證了整個網(wǎng)絡之間不同 vlan

          之間的互相通信。

         ? 根據(jù)目前公司的網(wǎng)絡架構,在不變更服務器IP地址的前提下,將vlan規(guī)劃如下表:

         序號 網(wǎng)段 標示 備注 01 192.168.1.0/24 服務器網(wǎng)段

         02 192.168.2.0/24 有線網(wǎng)段

         03 192.168.3.0/24 無線網(wǎng)段 后續(xù)可根據(jù)實際需求制定 ACL,禁止訪問其他網(wǎng)段 ? 規(guī)劃后網(wǎng)絡架構拓撲圖:

         3.4 域控管理方案

         AD 域控主要作用是權限集中化管理、資源同步共享優(yōu)化?刂朴脩舻卿洐嘞蓿U蟽染W(wǎng)信息安全,安全性高;有利于企業(yè)的一些保密資料的管理,比如一個文件只能讓某一個人看,或者指定人員可以看,但不可以刪/改/移等;對軟件及其他共享可以集中發(fā)布,減少管理的工作量。

          ? OU 單位組織、用戶賬號密碼(賬號為“部門代碼+四位數(shù)流水號”,默認 Domain User 權限,無法安裝、卸載軟件)及用戶賬號對共享文件的權限(分別為“只讀”、“編輯”、“完全控制”權限)規(guī)劃。

         序號 OU 名稱 描述 備注 01 OFFICE_USER 所有域賬號管理

         02 OFFICE_COMPUTER 所有加域計算機管理

         03 OFFICE_SHARE 所有文件共享權限

          序號 部門名稱 部門代碼 備注 01 總經(jīng)辦 GM

         02 財務部 FIN

         03 人力資源部 HR

         04 行政部 AD

         05 市場部 MKT

         06 大海外區(qū) IM

         07 大中華區(qū) DM

         08 電商部 EC

         09 研發(fā)部 RD

         10 產(chǎn)品部 MFG

         11 物流部 LOG

          12 設計部 DES

         13 營銷部 SALES

          序號 共享權限名稱 描述 備注 01 File_All 對file文件擁有完全控制權

         02 File_Write 對 file 文件擁有編輯權

         03 File_Read 對 file 文件只有只讀權

          ? 組策略的建立

         序號 策略名稱 描述 備注 01 Close FireWall 關閉系統(tǒng)自帶防火墻

         02 Default Domain Controllers Policy 修改域賬號密碼規(guī)則,密碼長度為 6位數(shù),四個月提示修改一次密碼

         03 Deny FileShare 禁止用戶私自共享文件夾

          04 Deny CD/DVD 禁止使用移動光驅

         05 Deny Floppy 禁止使用軟驅

         06 Deny Regedit 禁止訪問和修改注冊表

         07 Deny Setting network 禁止私自修改網(wǎng)絡連接屬性

         08 Deny USB 禁止使用 U 盤

         09 Group policy refresh time 設置組策略生效刷新時間

         10 Deny run bat scripts 禁止運行 bat 腳本文件

          ? DHCP 服務自動分發(fā) IP 地址(IP 與 MAC 地址綁定,防止外部電腦接入獲得 IP 地址)

         3.5 企業(yè)殺毒方案

          目前我公司現(xiàn)有局域網(wǎng)辦公電腦230 左右,系統(tǒng)有win 7 旗艦版、win 10企業(yè)版、 等等,系統(tǒng)漏洞補丁包更新不完善,且辦公電腦U 盤 為開放狀態(tài)。辦公電腦采用的 360 殺毒軟件為一款免費的個人殺毒軟件,病毒庫更新需要聯(lián)網(wǎng)更新或每臺逐步手動 離線更新。公司殺毒軟件通過Internet更新病毒庫時占用大量的網(wǎng)絡資源,且夾帶太多 的附屬產(chǎn)品,如360安全衛(wèi)士、360軟件管家、360瀏覽器等等,占用電腦硬件資源。

         針對這些問題通過NOD32企業(yè)殺毒軟件解決。

         ? 安裝包較小,安裝快速,配置導入,無需每臺手動設置。

         ? 界面簡潔,具有常用防護及個人防火墻

         ? 病毒庫更新計劃

         ? 密碼保護,防止私自卸載

          ? 郵件客戶端集成,防止病毒垃圾郵件

         ? 局域網(wǎng)IIS 服務器更新病毒庫

          3.6 數(shù)據(jù)文件備份方案

         數(shù)據(jù)文件安全是一個企業(yè)中非常重要的課題,數(shù)據(jù)備份的任務與意義就在于,當災難發(fā)生后,通過備份的數(shù)據(jù)完整、快速、 簡捷、可靠地恢復原有系統(tǒng)。備份的方式又很多,其中最普通的為從一個硬盤拷貝到另一個硬盤中,或是通過腳本定時將文件拷貝到其他電腦上。但這些方式都是只是將數(shù)據(jù)文件存放在局域網(wǎng)的另一臺電腦上,依然不可避免的是病毒感染、物理機或是硬盤故障等等因素造成的損失。針對此,傳統(tǒng)企業(yè)選擇磁帶機備份的方式,每周通過完整備份、每天的差異備份等多種備份機制將數(shù)據(jù)文件備份到磁帶上,從而有效的完成了異地備份方案,保障了數(shù)據(jù)的安全性。

          ? 4. 設備清單

          序號 設備名稱 品牌比較 備注 01 防火墻 山石

         02 華為

         03 上網(wǎng)行為管理設備 深信服

         04 網(wǎng)康

         05 殺毒服務器 普通 PC 機

          ? 5. 實施計劃 序號(優(yōu)先級從上往下)

         方案 備注 01 安裝殺毒服務

         02 電腦加域及安裝殺毒軟件

         03 啟用三層交換機并做 DHCP,IP與 mac地址綁定

         04 上網(wǎng)行為管理實施

         05 搭建防火墻設備

          尋一處清幽,覓一分杳然 孤獨,是沉淀心性的一劑良藥 孤獨時的寡言罕語更甚過侃侃而痛不言,笑不語,此時無聲勝有聲

        相關熱詞搜索:信息安全 規(guī)劃 方案

        版權所有 蒲公英文摘 smilezhuce.com