網(wǎng)絡(luò)信息安全規(guī)劃方案
發(fā)布時間:2020-10-05 來源: 工作計劃 點擊:
網(wǎng)絡(luò)信息安全規(guī)劃方案
制作人:XXX
日期:2018 年 4 月 5 日
目錄 1. 網(wǎng)絡(luò)信息安全概述..................................................................... 3
1.1 網(wǎng)絡(luò)信息安全的概念........................................................... 3
1.2 網(wǎng)絡(luò)信息安全風險分析....................................................... 3 2. 需求分析....................................................................................... 4
2.1 現(xiàn)有網(wǎng)絡(luò)拓撲圖.................................................................... 4
2.2 規(guī)劃需求................................................................................ 4 3. 解決方案...................................................................................... 5
3.1 防火墻方案............................................................................ 5
3.2 上網(wǎng)行為管理方案................................................................ 6
3.3 三層交換機方案.................................................................... 6
3.4 域控管理方案........................................................................ 7
3.5 企業(yè)殺毒方案....................................................................... 11
3.6 數(shù)據(jù)文件備份方案.............................................................. 15 4. 設(shè)備清單...................................................................................... 16 5. 實施計劃...................................................................................... 16
? 1. 網(wǎng)絡(luò)信息安全概述
1.1 網(wǎng)絡(luò)信息安全的概念
網(wǎng)絡(luò)信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶 然或是惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù) 不中斷。
網(wǎng)絡(luò)信息安全從廣義來說,凡是設(shè)計到網(wǎng)絡(luò)上信息的保密性、完整性、可用性
真實性和可控性的相關(guān)安全都屬于網(wǎng)絡(luò)信息安全范疇;從網(wǎng)絡(luò)運行和管理者角度說, 網(wǎng)絡(luò)信息安全是避免企業(yè)網(wǎng)絡(luò)信息出現(xiàn)病毒、非法讀取、拒絕服務(wù)、網(wǎng)絡(luò)資源非法 占用和非法控制等威脅,制止和防御網(wǎng)絡(luò)黑客的攻擊,保障網(wǎng)絡(luò)正常運行;從社會 和意識形態(tài)來講,企業(yè)訪問網(wǎng)絡(luò)中不健康的內(nèi)容,反社會的穩(wěn)定及人類發(fā)展的言論 等,屬于國家明文禁止的,必須對其進行管控。
1.2 網(wǎng)絡(luò)信息安全風險分析
企業(yè)局域網(wǎng)是一個信息點較多的百兆或千兆局域網(wǎng)絡(luò)系統(tǒng),它所連接的上百個信息點為企業(yè)內(nèi)部各部門辦公提供了一個快速方便的信息交流平臺,以及與互聯(lián)網(wǎng)通訊、溝通、交流的開放式平臺。企業(yè)局域網(wǎng)存在以下安全風險:
? 局域網(wǎng)與 Internet 之間的相互訪問,沒有專有設(shè)備對其進、出數(shù)據(jù)包進行分析、篩選及過濾,存在大量的垃圾數(shù)據(jù)包,造成網(wǎng)絡(luò)擁堵及癱瘓。
? 內(nèi)部應(yīng)用服務(wù)器發(fā)布到公網(wǎng)中使用,在 Internet 外部環(huán)境下,存在被不法分子攻擊、入侵及篡改企業(yè)安全數(shù)據(jù)信息。
? 企業(yè)內(nèi)部終端在無約束條件下,隨意訪問、下載網(wǎng)絡(luò)上的資源,其中大量的網(wǎng)絡(luò)資源沒有經(jīng)過安全驗證,可能帶有病毒、以及資源版權(quán)糾紛等問題。
? 企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境在沒有做流控管理的情況下,造成一部分人占用大部分網(wǎng)絡(luò)資源,
而其他人無法使用網(wǎng)絡(luò)資源正常辦公,不利于企業(yè)所有人員使用網(wǎng)絡(luò)資源正常辦公。
? 企業(yè)內(nèi)部終端在無行為管理情況下,若訪問帶有宗教信仰、反人類、反政治等網(wǎng)站,以及個人發(fā)布不恰當?shù)难哉摰,企業(yè)需承擔網(wǎng)絡(luò)提供者的連帶責任。
? 企業(yè)內(nèi)部終端電腦無管控情況下,用戶私自安裝、卸載未經(jīng)批準的軟件,私自拷貝企業(yè)機密文件,篡改電腦信息,給企業(yè)帶來經(jīng)濟損失等等。
? 企業(yè)內(nèi)部終端無殺毒軟件防護,在網(wǎng)絡(luò)開放時代,易于感染釣魚、勒索等病毒。且企業(yè)局域網(wǎng)處于一個網(wǎng)絡(luò)環(huán)境下,病毒可擴散到全公司電腦。
? 企業(yè)中重要數(shù)據(jù)文件的保護與備份機制,數(shù)據(jù)文件存在被內(nèi)部人員私自刪除、病毒入侵干擾以及天災(zāi)造成的數(shù)據(jù)損壞及丟失。
? 2. 需求分析
2.1 現(xiàn)有網(wǎng)絡(luò)拓撲圖
2.2 規(guī)劃需求 ? 加強 Internet 對企業(yè)內(nèi)部應(yīng)用服務(wù)器的訪問,通過服務(wù)訪問規(guī)則策略、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)等管控,從而保證內(nèi)部網(wǎng)免受外部非法用戶及病毒的入侵。
? 建立總部與工廠之間的安全、加密的虛擬專用網(wǎng)互相訪問認證機制。
? 針對用戶使用網(wǎng)絡(luò)訪問 Internet 資源的管控,建立安全、合法的訪問規(guī)則以及流控的管理,讓所有用戶正常使用網(wǎng)絡(luò)辦公。
? 內(nèi)部網(wǎng)絡(luò)的 vlan 的劃分,避免局部廣播風暴造成的整體網(wǎng)絡(luò)癱瘓。
? 加強對用戶電腦賬戶密碼的管理以及共享文件夾的分級權(quán)限管理,限制用戶私自安裝、卸載軟件,修改注冊表、IP,U 盤使用權(quán)限管理。
? 建立企業(yè)殺毒管理方案,通過局域網(wǎng)定時批量更新計算機病毒庫,保障所有電腦及數(shù)據(jù)免受病毒侵犯。
? 對公司服務(wù)器上各部門重要的數(shù)據(jù)文件,尤其是研發(fā)的設(shè)計、專利文件,進行異地備份。
? 3. 解決方案
3.1 防火墻方案
目前總部 ISP 接入帶寬為上行 8M,下行 200M 撥號光纖,工廠兩條 ISP 接入,一條為上下對等 10M 城域網(wǎng)(含公網(wǎng)靜態(tài) IP),另一條為上行 8M,下行為 200M 撥號光纖,兩地通過 IPSEC VPN 虛擬專用隧道互相通訊。且總部有外貿(mào)、電商、市場、營銷等對網(wǎng)絡(luò)資源要求較高的部門。建議采用集成具備防火墻、IPSEC VPN、SSL VPN、防病毒、IPS 入侵檢測、雙 ISP 接入等多種安全引擎功能的防火墻。針對防火墻做如下規(guī)則防護:
? 啟用 IPS 入侵檢測,監(jiān)視網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備不正;虿话踩木W(wǎng)絡(luò)傳輸行為及時中斷、調(diào)整或隔離。
? IDS 對異常、入侵行為等深層次侵略的數(shù)據(jù)進行檢測和預警,中斷外部異常連接。
? 內(nèi)部 Trust 對訪問外部 Untrust 的數(shù)據(jù)包,根據(jù) TCP、UDP、dns 或是端口號的服
務(wù)規(guī)則進行策略管控。
? 內(nèi)部服務(wù)器端口映射出公網(wǎng)地址,針對外部 Untrust 對該服務(wù)器的公網(wǎng)地址訪問,根據(jù)服務(wù)規(guī)則、端口號等進行安全準入判斷。
? 通過防火墻 IPSEC VPN 功能,建立總部與工廠之間的虛擬安全專用隧道,規(guī)范兩地間電腦只能訪問對方的服務(wù)器網(wǎng)段,禁止其他電腦之間互相訪問。
3.2 上網(wǎng)行為管理方案
上網(wǎng)行為管理設(shè)備具有流控管理、訪問控制管理、入侵檢測管理、安全審計管理等功能。防范非法用戶非法訪問、防范合法用戶非授權(quán)訪問,節(jié)省網(wǎng)絡(luò)資源的流失,保障用戶合理合法的訪問外部資源信息。相關(guān)規(guī)范如下:
? 根據(jù) ISP 提供商提供的帶寬資源,合理規(guī)范流控設(shè)置,如每用戶限制最大上行 2M,下行 4M,保障了用戶均分網(wǎng)絡(luò)資源,正常辦公。
? 對準入終端綁定 IP 與 MAC 地址,禁止非法終端準入。
? 對不同部門不用應(yīng)用制定不同的訪問授權(quán),如人事部訪問招聘、社保等政企網(wǎng)站;電商部訪問購物、電商網(wǎng)站;財務(wù)部訪問網(wǎng)銀等網(wǎng)站授權(quán)。
? 禁止所有用戶使用除公司指定之外的網(wǎng)盤,防止公司數(shù)據(jù)文件外泄。
? 禁止所有用戶使用公司指定之外的郵件系統(tǒng),防止公司數(shù)據(jù)文件外泄。
? 禁止所有用戶利用公司網(wǎng)絡(luò)資源訪問娛樂影音、游戲、代理木馬、宗教信仰等網(wǎng)站。
? 對所有準入用戶實行安全審計、日志記錄功能。
3.3 三層交換機方案
出于安全和管理方便的考慮,主要為了減小廣播風暴造成的影響訪問,必須將大型局域網(wǎng)按功能或地域等因素劃分成多個小局域網(wǎng),三層交換機 vlan 功能將大型的局域網(wǎng)劃分成多個廣播域,降低了廣播風暴的危害,同時又保證了整個網(wǎng)絡(luò)之間不同 vlan
之間的互相通信。
? 根據(jù)目前公司的網(wǎng)絡(luò)架構(gòu),在不變更服務(wù)器IP地址的前提下,將vlan規(guī)劃如下表:
序號 網(wǎng)段 標示 備注 01 192.168.1.0/24 服務(wù)器網(wǎng)段
02 192.168.2.0/24 有線網(wǎng)段
03 192.168.3.0/24 無線網(wǎng)段 后續(xù)可根據(jù)實際需求制定 ACL,禁止訪問其他網(wǎng)段 ? 規(guī)劃后網(wǎng)絡(luò)架構(gòu)拓撲圖:
3.4 域控管理方案
AD 域控主要作用是權(quán)限集中化管理、資源同步共享優(yōu)化。控制用戶登錄權(quán)限,保障內(nèi)網(wǎng)信息安全,安全性高;有利于企業(yè)的一些保密資料的管理,比如一個文件只能讓某一個人看,或者指定人員可以看,但不可以刪/改/移等;對軟件及其他共享可以集中發(fā)布,減少管理的工作量。
? OU 單位組織、用戶賬號密碼(賬號為“部門代碼+四位數(shù)流水號”,默認 Domain User 權(quán)限,無法安裝、卸載軟件)及用戶賬號對共享文件的權(quán)限(分別為“只讀”、“編輯”、“完全控制”權(quán)限)規(guī)劃。
序號 OU 名稱 描述 備注 01 OFFICE_USER 所有域賬號管理
02 OFFICE_COMPUTER 所有加域計算機管理
03 OFFICE_SHARE 所有文件共享權(quán)限
序號 部門名稱 部門代碼 備注 01 總經(jīng)辦 GM
02 財務(wù)部 FIN
03 人力資源部 HR
04 行政部 AD
05 市場部 MKT
06 大海外區(qū) IM
07 大中華區(qū) DM
08 電商部 EC
09 研發(fā)部 RD
10 產(chǎn)品部 MFG
11 物流部 LOG
12 設(shè)計部 DES
13 營銷部 SALES
序號 共享權(quán)限名稱 描述 備注 01 File_All 對file文件擁有完全控制權(quán)
02 File_Write 對 file 文件擁有編輯權(quán)
03 File_Read 對 file 文件只有只讀權(quán)
? 組策略的建立
序號 策略名稱 描述 備注 01 Close FireWall 關(guān)閉系統(tǒng)自帶防火墻
02 Default Domain Controllers Policy 修改域賬號密碼規(guī)則,密碼長度為 6位數(shù),四個月提示修改一次密碼
03 Deny FileShare 禁止用戶私自共享文件夾
04 Deny CD/DVD 禁止使用移動光驅(qū)
05 Deny Floppy 禁止使用軟驅(qū)
06 Deny Regedit 禁止訪問和修改注冊表
07 Deny Setting network 禁止私自修改網(wǎng)絡(luò)連接屬性
08 Deny USB 禁止使用 U 盤
09 Group policy refresh time 設(shè)置組策略生效刷新時間
10 Deny run bat scripts 禁止運行 bat 腳本文件
? DHCP 服務(wù)自動分發(fā) IP 地址(IP 與 MAC 地址綁定,防止外部電腦接入獲得 IP 地址)
3.5 企業(yè)殺毒方案
目前我公司現(xiàn)有局域網(wǎng)辦公電腦230 左右,系統(tǒng)有win 7 旗艦版、win 10企業(yè)版、 等等,系統(tǒng)漏洞補丁包更新不完善,且辦公電腦U 盤 為開放狀態(tài)。辦公電腦采用的 360 殺毒軟件為一款免費的個人殺毒軟件,病毒庫更新需要聯(lián)網(wǎng)更新或每臺逐步手動 離線更新。公司殺毒軟件通過Internet更新病毒庫時占用大量的網(wǎng)絡(luò)資源,且夾帶太多 的附屬產(chǎn)品,如360安全衛(wèi)士、360軟件管家、360瀏覽器等等,占用電腦硬件資源。
針對這些問題通過NOD32企業(yè)殺毒軟件解決。
? 安裝包較小,安裝快速,配置導入,無需每臺手動設(shè)置。
? 界面簡潔,具有常用防護及個人防火墻
? 病毒庫更新計劃
? 密碼保護,防止私自卸載
? 郵件客戶端集成,防止病毒垃圾郵件
? 局域網(wǎng)IIS 服務(wù)器更新病毒庫
3.6 數(shù)據(jù)文件備份方案
數(shù)據(jù)文件安全是一個企業(yè)中非常重要的課題,數(shù)據(jù)備份的任務(wù)與意義就在于,當災(zāi)難發(fā)生后,通過備份的數(shù)據(jù)完整、快速、 簡捷、可靠地恢復原有系統(tǒng)。備份的方式又很多,其中最普通的為從一個硬盤拷貝到另一個硬盤中,或是通過腳本定時將文件拷貝到其他電腦上。但這些方式都是只是將數(shù)據(jù)文件存放在局域網(wǎng)的另一臺電腦上,依然不可避免的是病毒感染、物理機或是硬盤故障等等因素造成的損失。針對此,傳統(tǒng)企業(yè)選擇磁帶機備份的方式,每周通過完整備份、每天的差異備份等多種備份機制將數(shù)據(jù)文件備份到磁帶上,從而有效的完成了異地備份方案,保障了數(shù)據(jù)的安全性。
? 4. 設(shè)備清單
序號 設(shè)備名稱 品牌比較 備注 01 防火墻 山石
02 華為
03 上網(wǎng)行為管理設(shè)備 深信服
04 網(wǎng)康
05 殺毒服務(wù)器 普通 PC 機
? 5. 實施計劃 序號(優(yōu)先級從上往下)
方案 備注 01 安裝殺毒服務(wù)
02 電腦加域及安裝殺毒軟件
03 啟用三層交換機并做 DHCP,IP與 mac地址綁定
04 上網(wǎng)行為管理實施
05 搭建防火墻設(shè)備
尋一處清幽,覓一分杳然 孤獨,是沉淀心性的一劑良藥 孤獨時的寡言罕語更甚過侃侃而痛不言,笑不語,此時無聲勝有聲
熱點文章閱讀