網(wǎng)絡(luò)信息安全規(guī)劃方案

　制作人:XXX

　 日期:2018 年 4 月 5 日

　 目錄 1. 網(wǎng)絡(luò)信息安全概述..................................................................... 3

　1.1 網(wǎng)絡(luò)信息安全的概念........................................................... 3

　 1.2 網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析....................................................... 3 2. 需求分析....................................................................................... 4

　 2.1 現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D.................................................................... 4

　 2.2 規(guī)劃需求................................................................................ 4 3. 解決方案...................................................................................... 5

　 3.1 防火墻方案............................................................................ 5

　 3.2 上網(wǎng)行為管理方案................................................................ 6

　 3.3 三層交換機(jī)方案.................................................................... 6

　 3.4 域控管理方案........................................................................ 7

　 3.5 企業(yè)殺毒方案....................................................................... 11

　 3.6 數(shù)據(jù)文件備份方案.............................................................. 15 4. 設(shè)備清單...................................................................................... 16 5. 實(shí)施計(jì)劃...................................................................................... 16

　 ? 1. 網(wǎng)絡(luò)信息安全概述

　1.1 網(wǎng)絡(luò)信息安全的概念

　 網(wǎng)絡(luò)信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶 然或是惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù) 不中斷。

　 網(wǎng)絡(luò)信息安全從廣義來(lái)說(shuō)，凡是設(shè)計(jì)到網(wǎng)絡(luò)上信息的保密性、完整性、可用性

　 真實(shí)性和可控性的相關(guān)安全都屬于網(wǎng)絡(luò)信息安全范疇;從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō)， 網(wǎng)絡(luò)信息安全是避免企業(yè)網(wǎng)絡(luò)信息出現(xiàn)病毒、非法讀取、拒絕服務(wù)、網(wǎng)絡(luò)資源非法 占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊，保障網(wǎng)絡(luò)正常運(yùn)行;從社會(huì) 和意識(shí)形態(tài)來(lái)講，企業(yè)訪問(wèn)網(wǎng)絡(luò)中不健康的內(nèi)容，反社會(huì)的穩(wěn)定及人類發(fā)展的言論 等，屬于國(guó)家明文禁止的，必須對(duì)其進(jìn)行管控。

　1.2 網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析

　企業(yè)局域網(wǎng)是一個(gè)信息點(diǎn)較多的百兆或千兆局域網(wǎng)絡(luò)系統(tǒng)，它所連接的上百個(gè)信息點(diǎn)為企業(yè)內(nèi)部各部門辦公提供了一個(gè)快速方便的信息交流平臺(tái)，以及與互聯(lián)網(wǎng)通訊、溝通、交流的開(kāi)放式平臺(tái)。企業(yè)局域網(wǎng)存在以下安全風(fēng)險(xiǎn)：

　? 局域網(wǎng)與 Internet 之間的相互訪問(wèn)，沒(méi)有專有設(shè)備對(duì)其進(jìn)、出數(shù)據(jù)包進(jìn)行分析、篩選及過(guò)濾，存在大量的垃圾數(shù)據(jù)包，造成網(wǎng)絡(luò)擁堵及癱瘓。

　? 內(nèi)部應(yīng)用服務(wù)器發(fā)布到公網(wǎng)中使用，在 Internet 外部環(huán)境下，存在被不法分子攻擊、入侵及篡改企業(yè)安全數(shù)據(jù)信息。

　? 企業(yè)內(nèi)部終端在無(wú)約束條件下，隨意訪問(wèn)、下載網(wǎng)絡(luò)上的資源，其中大量的網(wǎng)絡(luò)資源沒(méi)有經(jīng)過(guò)安全驗(yàn)證，可能帶有病毒、以及資源版權(quán)糾紛等問(wèn)題。

　? 企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境在沒(méi)有做流控管理的情況下，造成一部分人占用大部分網(wǎng)絡(luò)資源，

　 而其他人無(wú)法使用網(wǎng)絡(luò)資源正常辦公，不利于企業(yè)所有人員使用網(wǎng)絡(luò)資源正常辦公。

　? 企業(yè)內(nèi)部終端在無(wú)行為管理情況下，若訪問(wèn)帶有宗教信仰、反人類、反政治等網(wǎng)站，以及個(gè)人發(fā)布不恰當(dāng)?shù)难哉摰�，企業(yè)需承擔(dān)網(wǎng)絡(luò)提供者的連帶責(zé)任。

　? 企業(yè)內(nèi)部終端電腦無(wú)管控情況下，用戶私自安裝、卸載未經(jīng)批準(zhǔn)的軟件，私自拷貝企業(yè)機(jī)密文件，篡改電腦信息，給企業(yè)帶來(lái)經(jīng)濟(jì)損失等等。

　? 企業(yè)內(nèi)部終端無(wú)殺毒軟件防護(hù)，在網(wǎng)絡(luò)開(kāi)放時(shí)代，易于感染釣魚(yú)、勒索等病毒。且企業(yè)局域網(wǎng)處于一個(gè)網(wǎng)絡(luò)環(huán)境下，病毒可擴(kuò)散到全公司電腦。

　? 企業(yè)中重要數(shù)據(jù)文件的保護(hù)與備份機(jī)制，數(shù)據(jù)文件存在被內(nèi)部人員私自刪除、病毒入侵干擾以及天災(zāi)造成的數(shù)據(jù)損壞及丟失。

　? 2. 需求分析

　2.1 現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D

　 2.2 規(guī)劃需求 ? 加強(qiáng) Internet 對(duì)企業(yè)內(nèi)部應(yīng)用服務(wù)器的訪問(wèn)，通過(guò)服務(wù)訪問(wèn)規(guī)則策略、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)等管控，從而保證內(nèi)部網(wǎng)免受外部非法用戶及病毒的入侵。

　 ? 建立總部與工廠之間的安全、加密的虛擬專用網(wǎng)互相訪問(wèn)認(rèn)證機(jī)制。

　? 針對(duì)用戶使用網(wǎng)絡(luò)訪問(wèn) Internet 資源的管控，建立安全、合法的訪問(wèn)規(guī)則以及流控的管理，讓所有用戶正常使用網(wǎng)絡(luò)辦公。

　? 內(nèi)部網(wǎng)絡(luò)的 vlan 的劃分，避免局部廣播風(fēng)暴造成的整體網(wǎng)絡(luò)癱瘓。

　? 加強(qiáng)對(duì)用戶電腦賬戶密碼的管理以及共享文件夾的分級(jí)權(quán)限管理，限制用戶私自安裝、卸載軟件，修改注冊(cè)表、IP，U 盤(pán)使用權(quán)限管理。

　? 建立企業(yè)殺毒管理方案，通過(guò)局域網(wǎng)定時(shí)批量更新計(jì)算機(jī)病毒庫(kù)，保障所有電腦及數(shù)據(jù)免受病毒侵犯。

　? 對(duì)公司服務(wù)器上各部門重要的數(shù)據(jù)文件，尤其是研發(fā)的設(shè)計(jì)、專利文件，進(jìn)行異地備份。

　? 3. 解決方案

　3.1 防火墻方案

　目前總部 ISP 接入帶寬為上行 8M,下行 200M 撥號(hào)光纖，工廠兩條 ISP 接入，一條為上下對(duì)等 10M 城域網(wǎng)（含公網(wǎng)靜態(tài) IP），另一條為上行 8M，下行為 200M 撥號(hào)光纖，兩地通過(guò) IPSEC VPN 虛擬專用隧道互相通訊。且總部有外貿(mào)、電商、市場(chǎng)、營(yíng)銷等對(duì)網(wǎng)絡(luò)資源要求較高的部門。建議采用集成具備防火墻、IPSEC VPN、SSL VPN、防病毒、IPS 入侵檢測(cè)、雙 ISP 接入等多種安全引擎功能的防火墻。針對(duì)防火墻做如下規(guī)則防護(hù)：

　? 啟用 IPS 入侵檢測(cè)，監(jiān)視網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備不正常或不安全的網(wǎng)絡(luò)傳輸行為及時(shí)中斷、調(diào)整或隔離。

　? IDS 對(duì)異常、入侵行為等深層次侵略的數(shù)據(jù)進(jìn)行檢測(cè)和預(yù)警，中斷外部異常連接。

　? 內(nèi)部 Trust 對(duì)訪問(wèn)外部 Untrust 的數(shù)據(jù)包，根據(jù) TCP、UDP、dns 或是端口號(hào)的服

　 務(wù)規(guī)則進(jìn)行策略管控。

　? 內(nèi)部服務(wù)器端口映射出公網(wǎng)地址，針對(duì)外部 Untrust 對(duì)該服務(wù)器的公網(wǎng)地址訪問(wèn)，根據(jù)服務(wù)規(guī)則、端口號(hào)等進(jìn)行安全準(zhǔn)入判斷。

　? 通過(guò)防火墻 IPSEC VPN 功能，建立總部與工廠之間的虛擬安全專用隧道，規(guī)范兩地間電腦只能訪問(wèn)對(duì)方的服務(wù)器網(wǎng)段，禁止其他電腦之間互相訪問(wèn)。

　3.2 上網(wǎng)行為管理方案

　上網(wǎng)行為管理設(shè)備具有流控管理、訪問(wèn)控制管理、入侵檢測(cè)管理、安全審計(jì)管理等功能。防范非法用戶非法訪問(wèn)、防范合法用戶非授權(quán)訪問(wèn)，節(jié)省網(wǎng)絡(luò)資源的流失，保障用戶合理合法的訪問(wèn)外部資源信息。相關(guān)規(guī)范如下：

　? 根據(jù) ISP 提供商提供的帶寬資源，合理規(guī)范流控設(shè)置，如每用戶限制最大上行 2M,下行 4M，保障了用戶均分網(wǎng)絡(luò)資源，正常辦公。

　? 對(duì)準(zhǔn)入終端綁定 IP 與 MAC 地址，禁止非法終端準(zhǔn)入。

　? 對(duì)不同部門不用應(yīng)用制定不同的訪問(wèn)授權(quán)，如人事部訪問(wèn)招聘、社保等政企網(wǎng)站;電商部訪問(wèn)購(gòu)物、電商網(wǎng)站;財(cái)務(wù)部訪問(wèn)網(wǎng)銀等網(wǎng)站授權(quán)。

　? 禁止所有用戶使用除公司指定之外的網(wǎng)盤(pán)，防止公司數(shù)據(jù)文件外泄。

　? 禁止所有用戶使用公司指定之外的郵件系統(tǒng)，防止公司數(shù)據(jù)文件外泄。

　? 禁止所有用戶利用公司網(wǎng)絡(luò)資源訪問(wèn)娛樂(lè)影音、游戲、代理木馬、宗教信仰等網(wǎng)站。

　? 對(duì)所有準(zhǔn)入用戶實(shí)行安全審計(jì)、日志記錄功能。

　3.3 三層交換機(jī)方案

　出于安全和管理方便的考慮，主要為了減小廣播風(fēng)暴造成的影響訪問(wèn)，必須將大型局域網(wǎng)按功能或地域等因素劃分成多個(gè)小局域網(wǎng)，三層交換機(jī) vlan 功能將大型的局域網(wǎng)劃分成多個(gè)廣播域，降低了廣播風(fēng)暴的危害，同時(shí)又保證了整個(gè)網(wǎng)絡(luò)之間不同 vlan

　 之間的互相通信。

　? 根據(jù)目前公司的網(wǎng)絡(luò)架構(gòu)，在不變更服務(wù)器IP地址的前提下，將vlan規(guī)劃如下表：

　序號(hào) 網(wǎng)段 標(biāo)示 備注 01 192.168.1.0/24 服務(wù)器網(wǎng)段

　02 192.168.2.0/24 有線網(wǎng)段

　03 192.168.3.0/24 無(wú)線網(wǎng)段 后續(xù)可根據(jù)實(shí)際需求制定 ACL，禁止訪問(wèn)其他網(wǎng)段 ? 規(guī)劃后網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D：

　3.4 域控管理方案

　AD 域控主要作用是權(quán)限集中化管理、資源同步共享優(yōu)化�？刂朴脩舻卿洐�(quán)限，保障內(nèi)網(wǎng)信息安全，安全性高;有利于企業(yè)的一些保密資料的管理，比如一個(gè)文件只能讓某一個(gè)人看,或者指定人員可以看,但不可以刪/改/移等;對(duì)軟件及其他共享可以集中發(fā)布，減少管理的工作量。

　 ? OU 單位組織、用戶賬號(hào)密碼（賬號(hào)為“部門代碼+四位數(shù)流水號(hào)”，默認(rèn) Domain User 權(quán)限，無(wú)法安裝、卸載軟件）及用戶賬號(hào)對(duì)共享文件的權(quán)限（分別為“只讀”、“編輯”、“完全控制”權(quán)限）規(guī)劃。

　序號(hào) OU 名稱 描述 備注 01 OFFICE_USER 所有域賬號(hào)管理

　02 OFFICE_COMPUTER 所有加域計(jì)算機(jī)管理

　03 OFFICE_SHARE 所有文件共享權(quán)限

　 序號(hào) 部門名稱 部門代碼 備注 01 總經(jīng)辦 GM

　02 財(cái)務(wù)部 FIN

　03 人力資源部 HR

　04 行政部 AD

　05 市場(chǎng)部 MKT

　06 大海外區(qū) IM

　07 大中華區(qū) DM

　08 電商部 EC

　09 研發(fā)部 RD

　10 產(chǎn)品部 MFG

　11 物流部 LOG

　 12 設(shè)計(jì)部 DES

　13 營(yíng)銷部 SALES

　 序號(hào) 共享權(quán)限名稱 描述 備注 01 File_All 對(duì)file文件擁有完全控制權(quán)

　02 File_Write 對(duì) file 文件擁有編輯權(quán)

　03 File_Read 對(duì) file 文件只有只讀權(quán)

　 ? 組策略的建立

　序號(hào) 策略名稱 描述 備注 01 Close FireWall 關(guān)閉系統(tǒng)自帶防火墻

　02 Default Domain Controllers Policy 修改域賬號(hào)密碼規(guī)則，密碼長(zhǎng)度為 6位數(shù)，四個(gè)月提示修改一次密碼

　03 Deny FileShare 禁止用戶私自共享文件夾

　 04 Deny CD/DVD 禁止使用移動(dòng)光驅(qū)

　05 Deny Floppy 禁止使用軟驅(qū)

　06 Deny Regedit 禁止訪問(wèn)和修改注冊(cè)表

　07 Deny Setting network 禁止私自修改網(wǎng)絡(luò)連接屬性

　08 Deny USB 禁止使用 U 盤(pán)

　09 Group policy refresh time 設(shè)置組策略生效刷新時(shí)間

　10 Deny run bat scripts 禁止運(yùn)行 bat 腳本文件

　 ? DHCP 服務(wù)自動(dòng)分發(fā) IP 地址(IP 與 MAC 地址綁定，防止外部電腦接入獲得 IP 地址)

　3.5 企業(yè)殺毒方案

　 目前我公司現(xiàn)有局域網(wǎng)辦公電腦230 左右，系統(tǒng)有win 7 旗艦版、win 10企業(yè)版、 等等，系統(tǒng)漏洞補(bǔ)丁包更新不完善，且辦公電腦U 盤(pán) 為開(kāi)放狀態(tài)。辦公電腦采用的 360 殺毒軟件為一款免費(fèi)的個(gè)人殺毒軟件，病毒庫(kù)更新需要聯(lián)網(wǎng)更新或每臺(tái)逐步手動(dòng) 離線更新。公司殺毒軟件通過(guò)Internet更新病毒庫(kù)時(shí)占用大量的網(wǎng)絡(luò)資源，且?jiàn)A帶太多 的附屬產(chǎn)品，如360安全衛(wèi)士、360軟件管家、360瀏覽器等等，占用電腦硬件資源。

　針對(duì)這些問(wèn)題通過(guò)NOD32企業(yè)殺毒軟件解決。

　? 安裝包較小，安裝快速，配置導(dǎo)入，無(wú)需每臺(tái)手動(dòng)設(shè)置。

　? 界面簡(jiǎn)潔，具有常用防護(hù)及個(gè)人防火墻

　? 病毒庫(kù)更新計(jì)劃

　? 密碼保護(hù)，防止私自卸載

　 ? 郵件客戶端集成，防止病毒垃圾郵件

　? 局域網(wǎng)IIS 服務(wù)器更新病毒庫(kù)

　 3.6 數(shù)據(jù)文件備份方案

　數(shù)據(jù)文件安全是一個(gè)企業(yè)中非常重要的課題，數(shù)據(jù)備份的任務(wù)與意義就在于，當(dāng)災(zāi)難發(fā)生后，通過(guò)備份的數(shù)據(jù)完整、快速、 簡(jiǎn)捷、可靠地恢復(fù)原有系統(tǒng)。備份的方式又很多，其中最普通的為從一個(gè)硬盤(pán)拷貝到另一個(gè)硬盤(pán)中，或是通過(guò)腳本定時(shí)將文件拷貝到其他電腦上。但這些方式都是只是將數(shù)據(jù)文件存放在局域網(wǎng)的另一臺(tái)電腦上，依然不可避免的是病毒感染、物理機(jī)或是硬盤(pán)故障等等因素造成的損失。針對(duì)此，傳統(tǒng)企業(yè)選擇磁帶機(jī)備份的方式，每周通過(guò)完整備份、每天的差異備份等多種備份機(jī)制將數(shù)據(jù)文件備份到磁帶上，從而有效的完成了異地備份方案，保障了數(shù)據(jù)的安全性。

　 ? 4. 設(shè)備清單

　 序號(hào) 設(shè)備名稱 品牌比較 備注 01 防火墻 山石

　02 華為

　03 上網(wǎng)行為管理設(shè)備 深信服

　04 網(wǎng)康

　05 殺毒服務(wù)器 普通 PC 機(jī)

　 ? 5. 實(shí)施計(jì)劃 序號(hào)（優(yōu)先級(jí)從上往下）

　方案 備注 01 安裝殺毒服務(wù)

　02 電腦加域及安裝殺毒軟件

　03 啟用三層交換機(jī)并做 DHCP,IP與 mac地址綁定

　04 上網(wǎng)行為管理實(shí)施

　05 搭建防火墻設(shè)備

　 尋一處清幽，覓一分杳然 孤獨(dú)，是沉淀心性的一劑良藥 孤獨(dú)時(shí)的寡言罕語(yǔ)更甚過(guò)侃侃而痛不言，笑不語(yǔ)，此時(shí)無(wú)聲勝有聲

相關(guān)熱詞搜索：信息安全 規(guī)劃 方案