網絡信息安全規(guī)劃方案

網絡信息安全規(guī)劃方案制作人:XXX日期:2018年4月5日目錄TOC\o"1-5"\h\z網絡信息安全概述 3網絡信息安全的概念 3網絡信息安全風險分析 3需求分析 4現有網絡拓撲圖 4規(guī)劃需求 4解決方案 5防火墻方案 5上網行為管理方案 6三層交換機方案 6域控管理方案 7企業(yè)殺毒方案 11數據文件備份方案 15設備清單 16實施計劃 161.網絡信息安全概述網絡信息安全的概念網絡信息安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然或是惡意的原因而遭到破壞、更改、泄露，系統連續(xù)可靠正常地運行，網絡服務不中斷。網絡信息安全從廣義來說，凡是設計到網絡上信息的保密性、完整性、可用性 真實性和可控性的相關安全都屬于網絡信息安全范疇;從網絡運行和管理者角度說，網絡信息安全是避免企業(yè)網絡信息出現病毒、非法讀取、拒絕服務、網絡資源非法占用和非法控制等威脅，制止和防御網絡黑客的攻擊，保障網絡正常運行;從社會和意識形態(tài)來講，企業(yè)訪問網絡中不健康的內容，反社會的穩(wěn)定及人類發(fā)展的言論等，屬于國家明文禁止的，必須對其進行管控。網絡信息安全風險分析企業(yè)局域網是一個信息點較多的百兆或千兆局域網絡系統，它所連接的上百個信息點為企業(yè)內部各部門辦公提供了一個快速方便的信息交流平臺，以及與互聯網通訊、溝通、交流的開放式平臺。企業(yè)局域網存在以下安全風險：?局域網與Internet之間的相互訪問，沒有專有設備對其進、出數據包進行分析、篩選及過濾，存在大量的垃圾數據包，造成網絡擁堵及癱瘓。?內部應用服務器發(fā)布到公網中使用，在Internet外部環(huán)境下，存在被不法分子攻擊、入侵及篡改企業(yè)安全數據信息。企業(yè)內部終端在無約束條件下，隨意訪問、下載網絡上的資源，其中大量的網絡資源沒有經過安全驗證，可能帶有病毒、以及資源版權糾紛等問題。企業(yè)內部網絡環(huán)境在沒有做流控管理的情況下，造成一部分人占用大部分網絡資源，而其他人無法使用網絡資源正常辦公，不利于企業(yè)所有人員使用網絡資源正常辦公。?企業(yè)內部終端在無行為管理情況下，若訪問帶有宗教信仰、反人類、反政治等網站，以及個人發(fā)布不恰當的言論等，企業(yè)需承擔網絡提供者的連帶責任。企業(yè)內部終端電腦無管控情況下，用戶私自安裝、卸載未經批準的軟件，私自拷貝企業(yè)機密文件，篡改電腦信息，給企業(yè)帶來經濟損失等等。企業(yè)內部終端無殺毒軟件防護，在網絡開放時代，易于感染釣魚、勒索等病毒。且企業(yè)局域網處于一個網絡環(huán)境下，病毒可擴散到全公司電腦。企業(yè)中重要數據文件的保護與備份機制，數據文件存在被內部人員私自刪除病毒入侵干擾以及天災造成的數據損壞及丟失。>2.需求分析現有網絡拓撲圖規(guī)劃需求加強Internet對企業(yè)內部應用服務器的訪問，通過服務訪問規(guī)則策略、驗證工具、包過濾和應用網關等管控，從而保證內部網免受外部非法用戶及病毒的入侵。建立總部與工廠之間的安全、加密的虛擬專用網互相訪問認證機制。針對用戶使用網絡訪問Internet資源的管控，建立安全、合法的訪問規(guī)則以及流控的管理，讓所有用戶正常使用網絡辦公。內部網絡的vlan的劃分，避免局部廣播風暴造成的整體網絡癱瘓。加強對用戶電腦賬戶密碼的管理以及共享文件夾的分級權限管理，限制用戶私自安裝、卸載軟件，修改注冊表、IP，U盤使用權限管理。建立企業(yè)殺毒管理方案，通過局域網定時批量更新計算機病毒庫，保障所有電腦及數據免受病毒侵犯。?對公司服務器上各部門重要的數據文件，尤其是硏發(fā)的設計、專利文件，進行異地備份。>3.解決方案防火墻方案目前總部ISP接入帶寬為上行8M,下行200M撥號光纖，工廠兩條ISP接入，一條為上下對等10M城域網（含公網靜態(tài)IP），另一條為上行8M，下行為200M撥號光纖，兩地通過IPSECVPN虛擬專用隧道互相通訊。且總部有外貿、電商、市場、營銷等對網絡資源要求較高的部門。建議采用集成具備防火墻、IPSECVPN、SSLVPN、防病毒、IPS入侵檢測、雙ISP接入等多種安全引擎功能的防火墻。針對防火墻做如下規(guī)則防護：啟用IPS入侵檢測，監(jiān)視網絡及網絡設備不正?；虿话踩木W絡傳輸行為及時中斷、調整或隔離。IDS對異常、入侵行為等深層次侵略的數據進行檢測和預警，中斷外部異常連接。?內部Trust對訪問外部Untrust的數據包，根據TCP、UDP、dns或是端口號的服務規(guī)則進行策略管控。?內部服務器端口映射出公網地址，針對外部Untrust對該服務器的公網地址訪問，根據服務規(guī)則、端口號等進行安全準入判斷。通過防火墻IPSECVPN功能，建立總部與工廠之間的虛擬安全專用隧道，規(guī)范兩地間電腦只能訪問對方的服務器網段，禁止其他電腦之間互相訪問。上網行為管理方案上網行為管理設備具有流控管理、訪問控制管理、入侵檢測管理、安全審計管理等功能。防范非法用戶非法訪問、防范合法用戶非授權訪問，節(jié)省網絡資源的流失，保障用戶合理合法的訪問外部資源信息。相關規(guī)范如下：?根據ISP提供商提供的帶寬資源，合理規(guī)范流控設置，如每用戶限制最大上行2M,下行4M，保障了用戶均分網絡資源，正常辦公。?對準入終端綁定IP與MAC地址，禁止非法終端準入。對不同部門不用應用制定不同的訪問授權，如人事部訪問招聘、社保等政企網站;電商部訪問購物、電商網站;財務部訪問網銀等網站授權。禁止所有用戶使用除公司指定之外的網盤，防止公司數據文件外泄。禁止所有用戶使用公司指定之外的郵件系統，防止公司數據文件外泄。禁止所有用戶利用公司網絡資源訪問娛樂影音、游戲、代理木馬、宗教信仰等網站。對所有準入用戶實行安全審計、日志記錄功能。3.3三層交換機方案出于安全和管理方便的考慮，主要為了減小廣播風暴造成的影響訪問，必須將大型局域網按功能或地域等因素劃分成多個小局域網，三層交換機vlan功能將大型的局域網劃分成多個廣播域，降低了廣播風暴的危害，同時又保證了整個網絡之間不同vlan之間的互相通信。?根據目前公司的網絡架構，在不變更服務器IP地址的前提下，將vlan規(guī)劃如下表：序號網段標示備注01服務器網段02有線網段

03無線網段后續(xù)可根據實際需求制定ACL，禁止訪問其他網段?規(guī)劃后網絡架構拓撲圖:3.4域控管理方案AD域控主要作用是權限集中化管理、資源同步共享優(yōu)化。控制用戶登錄權限，保障內網信息安全，安全性高;有利于企業(yè)的一些保密資料的管理，比如一個文件只能讓某一個人看,或者指定人員可以看，但不可以刪/改/移等;對軟件及其他共享可以集中發(fā)布，減少管理的工作量。?OU單位組織、用戶賬號密碼（賬號為“部門代碼+四位數流水號”，默認DomainUser權限，無法安裝、卸載軟件）及用戶賬號對共享文件的權限（分別為“只讀”、“編輯”、“完全控制”權限）規(guī)劃。序號OU名稱描述備注01OFFICE_USER所有域賬號管理02OFFICE_COMPUTER所有加域計算機管理

03OFFICE_SHARE所有文件共享權限序號部門名稱部門代碼備注01總經辦GM02財務部FIN03人力資源部HR04行政部AD05市場部MKT06大海外區(qū)IM07大中華區(qū)DM08電商部EC09研發(fā)部RD10產口口口部MFG11物流部LOG12設計部DES13營銷部SALES序號共享權限名稱描述備注01File_AII對file文件擁有完全控制權02File_Write對file文件擁有編輯權03File_Read對file文件只有只讀權組策略的建立序號策略名稱描述備注01CloseFireWall關閉系統自帶防火墻

02DefaultDomainControllersPolicy修改域賬號密碼規(guī)則，密碼長度為6位數，四個月提示修改一次密碼03DenyFileShare禁止用戶私自共享文件夾04DenyCD/DVD禁止使用移動光驅05DenyFloppy禁止使用軟驅06DenyRegedit禁止訪問和修改注冊表07DenySettingnetwork禁止私自修改網絡連接屬性08DenyUSB禁止使用U盤09Grouppolicyrefreshtime設置組策略生效刷新時間10Denyrunbatscripts禁止運行bat腳本文件?DHCP月服務自動分發(fā)IP地址（IP與MAC地址綁定，防止外部電腦接入獲得IP地址）3.5企業(yè)殺毒方案目前我公司現有局域網辦公電腦230左右，系統有win7旗艦版、win10企業(yè)版、等等，系統漏洞補丁包更新不完善，且辦公電腦U盤為開放狀態(tài)。辦公電腦采用的360殺毒軟件為一款免費的個人殺毒軟件，病毒庫更新需要聯網更新或每臺逐步手動離線更新。公司殺毒軟件通過Internet更新病毒庫時占用大量的網絡資源，且夾帶太多的附屬產品，如360安全衛(wèi)士、360軟件管家、360瀏覽器等等，占用電腦硬件資源。針對這些問題通過NOD32企業(yè)殺毒軟件解決。?安裝包較小，安裝快速，配置導入，無需每臺手動設置。?界面簡潔，具有常用防護及個人防火墻?病毒庫更新計劃密碼保護，防止私自卸載郵件客戶端集成，防止病毒垃圾郵件?局域網IIS月服務器更新病毒庫數據文件備份方案數據文件安全是一個企業(yè)中非常重要的課題，數據備份的任務與意義就在于，當災難發(fā)生后，通過備份的數據完整、快速、簡捷、可靠地恢復原有系統。備份的方式又很多，其中最普通的為從一個硬盤拷貝到另一個硬盤中，或是通過腳本定時將文件拷貝到其他電腦上。但這些方式都是只是將數據文件存放在局域網的另一臺電腦上，依然不可避免的是病毒感染、物理機或是硬盤故障等等因素造成的損失。針對此，傳統企業(yè)選擇磁帶機備份的方