網(wǎng)絡安全整體解決方案

微觀集團

網(wǎng)絡安全解決方案制作人：袁觀信2016-08-18網(wǎng)絡安全整體解決方案全文共13頁，當前為第1頁。網(wǎng)絡系統(tǒng)現(xiàn)狀潛在的安全風險安全需求與目標安全解決方案信息安全方案的設計思路網(wǎng)絡安全整體解決方案全文共13頁，當前為第2頁。網(wǎng)絡安全整體解決方案全文共13頁，當前為第3頁。企業(yè)網(wǎng)絡中的應用應用系統(tǒng)數(shù)據(jù)庫平臺易助ERPMSＳＱＬ2005Delphi6OA辦公ＭＹSQLASP格創(chuàng)CRMMSSQL2000Delphi格創(chuàng)HRMMSSQL2000Delphi輔材系統(tǒng)MSSQL2000Delphi郵箱系統(tǒng)代理富通天下電子商務平臺網(wǎng)絡安全整體解決方案全文共13頁，當前為第4頁。網(wǎng)絡安全類型與應用范圍用戶層/應用系統(tǒng)類別主要表現(xiàn)應用范圍1、身份識別登錄帳號電腦桌面、管理系統(tǒng)2、訪問權限權限設定電腦桌面、管理系統(tǒng)3、數(shù)據(jù)保密性職責分開管理系統(tǒng)、共享文件4、數(shù)據(jù)完整性數(shù)據(jù)流程管理系統(tǒng)5、IP唯一性上網(wǎng)權限網(wǎng)絡應用網(wǎng)絡安全整體解決方案全文共13頁，當前為第5頁。用戶操作系統(tǒng)層類別主要表現(xiàn)應用范圍1、系統(tǒng)補丁安全漏洞操作系統(tǒng)2、殺毒軟件預防為主操作系統(tǒng)3、硬件配置資產(chǎn)盤點個人電腦、服務器4、數(shù)據(jù)備份數(shù)據(jù)保存?zhèn)€人電腦、服務器5、輸入與輸出USB，郵件，網(wǎng)頁個人電腦網(wǎng)絡安全類型與應用范圍網(wǎng)絡安全整體解決方案全文共13頁，當前為第6頁。網(wǎng)絡/服務器類別主要表現(xiàn)應用范圍1、設備冗余重要服務器的冗余服務器2、線路冗余線路主線的冗余主線路3、路由器設置安全設置（VPN、NAT）機房4、防火墻防御防入侵機房5、機房安全6S機房6、備份界質移動備份界質安全機房7、監(jiān)控機制監(jiān)控攝象頭機房網(wǎng)絡安全類型與應用范圍網(wǎng)絡安全整體解決方案全文共13頁，當前為第7頁。用戶層/應用系統(tǒng)類別安全風險方案1、身份識別登錄帳號、密碼管理1、電腦登錄：實行1PC1密碼，用戶+密碼，密碼不能過于簡單，使用數(shù)字+字母組合，不少于6位；2、系統(tǒng)登錄：同上，操作、審核帳號不相同，不共用，查詢帳號可共用；3、電腦實行鎖屛管理，超2分鐘自動鎖屛，可設置；4、文件服務器按權限分請讀、寫、列表；2、訪問權限數(shù)據(jù)文件操作權限，系統(tǒng)審核權限，單據(jù)查看權限，公司需保密資料，防刪除防篡改，防病毒1、電腦權限：使用USER權限，特別審批部分人員的administrator權限；2、系統(tǒng)權限：開通操作、審核權限實行審批制，并清理離職人員和部門調動人員的權限；3、機密資料不存放共享文件夾，不存放公共服務器里，并對文件作加密處理；4、超4小時的待機時間，應關閉電腦和顯示器。3、數(shù)據(jù)保密性數(shù)據(jù)泄露的方式很多種，權限、USB、郵件、病毒1、與系統(tǒng)權限控制有關；關閉administrator權限；開能USER權限；2、與輸入輸出有關；3、關閉所有USB寫權限，針對特別需要讀寫權限需寫審請單；4、外發(fā)郵件限制附件大??；5、限制網(wǎng)絡共享，服務器共享夾按登錄權限授權；6、限制在ERP系統(tǒng)轉出檔案（如Excel檔）；4、數(shù)據(jù)完整性數(shù)據(jù)流程1、盡量避免后臺修改數(shù)據(jù)，要依流程退單撤單，或者財務平帳，或者倉庫盤點；2、整合公司OA系統(tǒng)、人事考勤、薪資系統(tǒng)；保持數(shù)據(jù)全系統(tǒng)一致性；3、可以設置ERP系統(tǒng)只能轉出PDF，防止修改；4、公司流程操作、審核、查詢系統(tǒng)化；5、IP唯一性上網(wǎng)權限,身份識別，財產(chǎn)安全1、IP地址與MAC地址綁定，與用戶權限綁定；2、使用IP地址，管控上網(wǎng)行為，管控登錄日志；3、IP與固定資產(chǎn)編號綁定；網(wǎng)絡安全風險評估與解決方案網(wǎng)絡安全整體解決方案全文共13頁，當前為第8頁。用戶操作系統(tǒng)層類別安全風險方案1、系統(tǒng)補丁安全漏洞，病毒入侵，系統(tǒng)變慢1、不是所有系統(tǒng)都需要自動安裝系統(tǒng)補丁，默認關閉，IT會通知更新包；2、IT技術人員第一次安裝時必須安裝必要的安全補丁；2、殺毒軟件數(shù)據(jù)丟失，網(wǎng)絡癱瘓，系統(tǒng)變慢1、所有電腦都需要安裝殺毒軟件，并及時更新病毒庫；2、電腦啟動時，自動運行垃圾清理包；3、硬件配置資產(chǎn)丟失，過失性破壞1、電腦編號納入固定資產(chǎn)管理；2、列電腦配置清單，年度部門盤點，部門負責制；3、機箱裝機處粘貼易碎紙，以防非IT人員隨意打開機箱；4、周邊易耗品實行以舊換新管理制度；4、數(shù)據(jù)備份數(shù)據(jù)丟失，數(shù)據(jù)損壞，災難性恢復個人PC：1、系統(tǒng)第一次安裝完畢后，應GHOST系統(tǒng)備份至D:盤；2、各部門在服務器建立以權限控制的部門資料夾，重要數(shù)據(jù)存放服務器；見服務器備份策略；3、關閉主機的自動備份功能，以提高運行速度；5、輸入與輸出USB，郵件，網(wǎng)頁，聊天軟件1、USB參考數(shù)據(jù)保密方案；2、嚴格管理郵件外發(fā)權限，限制附件大小，建議默認1M，特殊的需申請；3、網(wǎng)頁瀏覽控制，限制網(wǎng)購、游戲、色情、電影等網(wǎng)站；4、限制P2P/BT/磁力搜索和下載；5、列舉聊天軟件清單，限制直播類軟件；網(wǎng)絡安全風險評估與解決方案網(wǎng)絡安全整體解決方案全文共13頁，當前為第9頁。網(wǎng)絡/服務器類別安全風險方案1、設備冗余重要服務器的冗余PC機：1、IT部應建立至少一臺PC整機的配件安全庫存；特指CPU、主板、內(nèi)存、硬盤，耗材除外；服務器：1、服務器硬盤建議做Raid1/5陣列，實現(xiàn)硬盤的冗余，確保主系統(tǒng)運作正常；2、服務器主機系統(tǒng)兼容性要好，可以實現(xiàn)數(shù)據(jù)快速遷移（4H內(nèi)）；2、線路冗余線路主線的冗余，防老化，防斷裂，防長距離信號衰減1、主干線采用抗老化、2組（或以上）線的方式搭建主網(wǎng)絡；2、可利用交換機，組成多層級的網(wǎng)絡架構（8-24-24-8）；3、優(yōu)質網(wǎng)線；3、路由器設置安全設置（VPN、NAT），WIFI設置，上網(wǎng)行為管理1、要定期更改動態(tài)VPN和WIFI密碼；2、盡量少用NAT；3、使用上網(wǎng)行為管理控制和記錄上網(wǎng)行為；4、防火墻防御防入侵1、在服務器（軟件）和路由器（硬件）上設置防火墻，有選擇的接受外部訪問；2、屏蔽服務器的80\21\等常用端口；5、機房安全灰塵、溫度、工作垃圾都會影響服務器的壽命和安全1、機房只存放與服務器、路由器有關的設施；2、每周至少做一次機房內(nèi)部清潔；3、確保機房處于恒溫20－22度；4、機房門口要有滅火器；5、檢查動力接線是否規(guī)范，防止電力線老化、破皮；6、備份界質移動備份界質安全服務器：1、每天的主數(shù)據(jù)文件差異備份，備份文件實行服務器交叉存儲；2、每周的主數(shù)據(jù)文件完全備份，備份文件實行USB外接存儲，地點在機房；3、每月的主數(shù)據(jù)文件完全備份，包括每周備份記錄，實行USB外接存儲，地點是機房外；7、監(jiān)控機制人為破壞形為、其它非正常災難1、24H的監(jiān)控系統(tǒng)；2、監(jiān)控系統(tǒng)的30天備份記錄，以備查詢；網(wǎng)絡安全風險評估與解決方案網(wǎng)絡安全整體解決方案全文共13頁，當前為第10頁。安全機制和技術鑒別加密訪問控制安全管理病毒防范數(shù)字簽名鏈路加密機IP協(xié)議加密機郵件加密文件加密防火墻遠程用戶鑒別系統(tǒng)