安全整體規(guī)劃方案

珠海市XX股份企業(yè)信息網(wǎng)絡平安整體規(guī)劃方案目錄1.XX集團整體網(wǎng)絡概述22.網(wǎng)絡平安規(guī)劃范圍32.1.物理層平安范圍32.2.邏輯層平安范圍32.3.網(wǎng)絡拓撲圖及設備清單43.擴展描述43.1.物理平安類別43.2.邏輯平安類別5XX集團整體網(wǎng)絡概述珠海XX股份于2023年10月將原有網(wǎng)絡系統(tǒng)進行全方位升級、改造，包括網(wǎng)絡傳輸設備、整體網(wǎng)絡架構(gòu)、效勞器重新部署、平安規(guī)劃、平安高效管理等。于2011年6月1日正式運行OA系統(tǒng)，網(wǎng)絡整體已處于穩(wěn)定狀態(tài)，故此現(xiàn)針對網(wǎng)絡及其核心系統(tǒng)進行整體網(wǎng)絡平安規(guī)劃。網(wǎng)絡平安規(guī)劃范圍物理層平安范圍物理層：終端系統(tǒng)數(shù)字化通信系統(tǒng)〔暫無〕內(nèi)部網(wǎng)絡硬件系統(tǒng)連接外部網(wǎng)絡硬件系統(tǒng)外部網(wǎng)絡硬件系統(tǒng)〔暫無〕核心機房安防系統(tǒng)〔溫度、濕度、抗干擾、防靜電、門禁、消防〕整體門禁等安防系統(tǒng)綜合布線系統(tǒng)設備移動、增加、維修管理邏輯層平安范圍邏輯層：網(wǎng)絡信息平安防護系統(tǒng)網(wǎng)絡管控系統(tǒng)網(wǎng)絡監(jiān)控系統(tǒng)網(wǎng)絡架構(gòu)平安合理性網(wǎng)絡傳輸設備配置平安〔配置合理性、平安性、漏洞掃描〕各類效勞器配置平安〔漏洞掃描、屏蔽〕各類網(wǎng)絡傳輸設備、效勞器、其他設備等備份機制〔系統(tǒng)備份、配置備份〕各類系統(tǒng)維護管理機制各類系統(tǒng)密碼管理機制終端平安維護機制終端日常平安操作信息保密機制網(wǎng)絡拓撲圖及設備清單所涉及設備、系統(tǒng)清單詳見附錄1。所涉及網(wǎng)絡拓撲結(jié)構(gòu)詳見附錄2。擴展描述物理平安類別終端系統(tǒng)指集團公司內(nèi)部員工所使用工作系統(tǒng)終端，包括固定與移動終端；平安規(guī)那么：1、員工不得私自〔未經(jīng)公司允許〕將工作終端攜帶出辦公地點、移動、維修、拆裝、無故損壞、擅自插入未經(jīng)允許的移動存儲設備等，如需上述變更必須經(jīng)過信息開展部受理；2、終端電腦附近的水杯等儲水裝置應指定位置擺放；3、靠近窗戶的終端應考慮防雨水、防曬、防盜、防雷4、終端電腦都應做防靜電處理5、終端電腦的物理配置應做詳細統(tǒng)計6、終端電腦附近不應擺放產(chǎn)生強烈干擾的設備，如高功率無線設備等7、終端電腦附近不應擺放磁性物質(zhì)，如音響、帶有磁鐵的工藝品等8、有多數(shù)〔超過每2平方米一臺終端〕電腦存在的房間應注意溫度、濕度、防雷、防盜9、如遇特殊情況應立即先斷電再按照各類應急處理措施執(zhí)行數(shù)字化通信系統(tǒng)〔暫無〕內(nèi)部網(wǎng)絡硬件系統(tǒng)主要網(wǎng)絡設備應集中放置在核心機房，所有底層交換機等網(wǎng)絡傳輸設備應集中放置于有門鎖的機柜內(nèi)部，注意防靜電、防雷、防潮、溫濕度、防盜等；如無條件集中放置在機柜內(nèi)的必須單獨購置小型帶鎖機箱，至少距離地面25公分以上；不允許非工作人員隨意觸碰設備；連接外部網(wǎng)絡硬件系統(tǒng)應放置在核心機房內(nèi)部，單獨有鎖機柜，物理觸碰權(quán)限另外分配外部網(wǎng)絡硬件系統(tǒng)〔暫無〕核心機房安防系統(tǒng)〔溫度、濕度、抗干擾、防靜電、門禁、消防〕核心機房建設根本原那么：以通信行業(yè)標準規(guī)定的通信設備(交換設備、傳輸設備、數(shù)據(jù)網(wǎng)絡設備)的正常使用環(huán)境要求為根底，確定數(shù)據(jù)中心機房的環(huán)境要求。

·機房環(huán)境溫濕度要求：AA級、A級機房溫度為21-25?C，相對濕度40%-70%；B級、C級機房溫度為18-28?C，相對濕度40%-70%，溫度變化率小于5?C/h，且不結(jié)露。

·機房潔凈度要求。機房內(nèi)灰塵粒子應為非導電、非導磁及無腐蝕的粒子。灰塵粒子濃度應滿足：

(1)直徑大于等于0.5μm的灰塵粒子濃度≤18000粒/升。

(2)直徑大于等于5μm的灰塵粒子濃度≤300粒/升。

《電子計算機機房設計標準》國家標準對電子計算機機房的溫濕度要求如下：

·保持溫度恒定[溫度波動控制在24士(1~2?C之內(nèi)]。

·保持濕度恒定[相對濕度波動控制在(50%士5%)RH之內(nèi)]。

·空氣潔凈度為：在每升空氣中，大于等于0·5μm的顆粒應小于18000個。

·換氣次數(shù)>30次/小時。即給定的機房內(nèi)，空調(diào)的風量和機房容積的比值大于30。

·機房與室外正壓>9.8Pa：對無外窗的機房，相對相鄰房間保持正壓>4.9Pa。

·空調(diào)設備具備遠程監(jiān)控及來電自啟動功能。溫度：建議溫度為冬天24?C士l?C、夏天為22?C士1?C

機房溫度與計算機可靠性對照機房溫度10?C15?C25?C35?C40?C可靠性變化1.00?C1.22?C1.17?C0.87?C0.85?C濕度：最正確濕度范圍為45－60％氣流按照送、回風口布置位置和形式的不同，可以有各種各樣的氣流組織形式，大致可以歸納以下五種：上送下回、側(cè)送側(cè)回、中送上下回、上送上回及下送上回冷風循環(huán)次數(shù)大于30次，機房空調(diào)送風壓力75Pa門禁系統(tǒng)關注點：身份、權(quán)限、視頻監(jiān)視、審批陪伴責任原那么；重點于防盜與身份行為記錄防靜電、防雷按照國家機房標準執(zhí)行機房球狀范圍無干擾設備，范圍于干擾頻率大小可參考相關標準重點不得讓非公司工作人員或者在無陪同情況下進入機房并可直接接觸核心機房所有設備整體門禁等安防系統(tǒng)重點區(qū)域、辦公室〔如財務〕、機房等需要進行24小時視頻監(jiān)視以及身份驗證綜合布線系統(tǒng)根據(jù)企業(yè)新調(diào)整的綜合布線系統(tǒng)，已通過驗收，均符合相關標準，無調(diào)整。設備移動、增加、維修管理所有網(wǎng)絡傳輸設備、平安設備、無線設備、終端設備等的移動、維修、增加、報廢等均需要先通過信息化開展部部門確認后才可執(zhí)行，遵循“誰簽字，誰負責〞原那么；并進行詳細的數(shù)據(jù)記錄與統(tǒng)計。邏輯平安類別邏輯層：網(wǎng)絡信息平安防護系統(tǒng)已安裝ESETNOD32防病毒系統(tǒng)硬件防火墻各項參數(shù)24小時實時監(jiān)控硬件防火墻規(guī)那么需要重新調(diào)整〔初定時間為2023年7月中旬〕；檢測時間為2023年7月初調(diào)整后結(jié)果參數(shù)要求：符合集團信息化開展規(guī)模的運行能力按照實際信息量的最大化出現(xiàn)頻率考良系統(tǒng)穩(wěn)定性、可靠性、運行能力按照集團內(nèi)部需求制定平安策略擁有入侵檢測、防病毒、防垃圾郵件等根本功能無異常狀態(tài)時需要每周次將系統(tǒng)運行結(jié)果調(diào)用分析并出分析結(jié)果網(wǎng)絡管控系統(tǒng)網(wǎng)絡管控系統(tǒng)主要針對內(nèi)部網(wǎng)絡各邏輯分配、流量控制、數(shù)據(jù)類型管控〔相關設備已有〕，控制能力到接入層不要求到達物理級別。網(wǎng)絡監(jiān)控系統(tǒng)網(wǎng)絡監(jiān)控系統(tǒng)需要針對數(shù)據(jù)報的進出、流量等異常情況得出實時數(shù)據(jù)〔相關設備已有〕，并每周次分析及出具分析結(jié)果監(jiān)控層面：流量、數(shù)據(jù)報、視頻、核心設備工作狀態(tài)、運行配置參數(shù)網(wǎng)絡架構(gòu)平安合理性遵循原那么：符合集團內(nèi)部各部門具體需要，每功能、每設備均保存有剩余容易維護、監(jiān)管設備運行期間無功能沖突、無“急、慢性死亡〞現(xiàn)象〔此現(xiàn)象是指由于網(wǎng)絡架構(gòu)以及設備性能沒有正確配置、規(guī)劃、判定的情況下，導致某些設備之間工作性能慢性下降，也包括由于不合理性導致遇到突發(fā)流量或者其它異常情況出現(xiàn)時某些設備停止工作〕網(wǎng)絡傳輸設備配置平安〔配置合理性、平安性、漏洞掃描〕初定2023年7月初進行詳細檢測關注點：不能輕易物理觸及設備將原有必須開放的協(xié)議、端口進行評估，修改局部端口屏蔽掉原有開啟的無用的協(xié)議、端口配置符合現(xiàn)實需要，并做到即時可控各類效勞器配置平安〔漏洞掃描、屏蔽〕初定2023年7月初進行再次檢測〔時長為三個工作日〕將原有必須開放的協(xié)議、端口進行評估，修改局部端口屏蔽掉原有開啟的無用的協(xié)議、端口配置優(yōu)化各類網(wǎng)絡傳輸設備、效勞器、其他設備等備份機制〔系統(tǒng)備份、配置備份〕于初定2023年7月初進行再次檢測后制定完整備份機制關注點：各核心設備的操作系統(tǒng)備份、配置備份、日志備份備份機制分為：定期備份、增量備份、定量刪除、混合備份各類系統(tǒng)維護管理機制由集團公司信息化開展部門以及外包效勞商聯(lián)合協(xié)商工作〔詳見效勞外包合同以及集團公司內(nèi)部相關管理文件〕增加條例：核心設備根據(jù)不同操作系統(tǒng)及運行狀況定期進行手動重新啟動〔在檢測后對每核心設備定義重新啟動周期〕各類系統(tǒng)密碼管理機制密碼設立原那么：字母、數(shù)字、特殊字符〔個別系統(tǒng)不支持或只支持，具體可參考不同操作系統(tǒng)說明書〕的無規(guī)律交叉組合無規(guī)律，不得以管理員或者操作者的姓名拼音、、其它常用密碼、生日、數(shù)列組合、數(shù)列順序等作為密碼組合密碼長度不少于12位〔某些系統(tǒng)密碼設定為數(shù)位的上限〕根據(jù)設備性質(zhì)不同密碼更換周期如下：核心系統(tǒng)及終端設備密碼管理：核心網(wǎng)絡設備〔網(wǎng)絡設備及效勞器〕：每月門禁系統(tǒng)：每半年或者一年終端設備系統(tǒng)：每三個月重點設備：每月〔如財務終端及其系統(tǒng)〕各系統(tǒng)日志管理所有系統(tǒng)均必須建立日志存儲，核心系統(tǒng)定期查閱；無日志功能的設備除外終端平安維護機制1、定期根據(jù)核心監(jiān)管控系統(tǒng)針對每終端進行異常檢測，如發(fā)現(xiàn)異常那么立即網(wǎng)絡隔離并檢查2、每終端必須裝有正版查殺毒軟體3、員工不得隨意上傳、下載公司文件4、員工不得隨意攜帶為經(jīng)過公司系統(tǒng)授權(quán)過的移動存儲設備上傳、下載終端內(nèi)任何數(shù)據(jù)5、各別部門不能使用未指定通信工具〔如QQ、MSN、WEBQQ、SKYPE等〕6、如終端電腦發(fā)生異常應立即通告信息化部門，不得自行處理注釋：以上功能還需要其他軟硬件手段協(xié)助處理，以及管理機制控制終端日常平安操作與培訓于2023年7月初針對系統(tǒng)全面檢測后，并針對集團公司具體情況〔部門性質(zhì)、人數(shù)等〕制定培訓方案，培訓的主要目的：提升員工日常平安操作水平、集團公司信息保密意識、保密方法、泄密責任、網(wǎng)絡平安法律法規(guī)根據(jù)各部門人數(shù)不同、工作量不同、工作性質(zhì)不同與集團公司協(xié)商后另行制定培訓方案。信息保密機制詳細見保密協(xié)議注釋：此方案為規(guī)劃方案，具體執(zhí)行參見每關注點！信息網(wǎng)絡平安重點為人員管理機制，此項機制須與集團公司相關領導及相關部門規(guī)劃性完善。工作日程表:檢測完畢后2個工作日內(nèi)按照上述規(guī)劃方案及關注點,出具詳細的平安檢測報告及平安加固方案.檢測時長平安加固時長需配合人員情況備注效勞器檢測7月5日