網(wǎng)絡信息安全規(guī)劃設計方案

1、. 網(wǎng)絡信息平安規(guī)劃方案制作人:*日期:2018年4月5日目錄1. 網(wǎng)絡信息平安概述. 31.1 網(wǎng)絡信息平安的概念. 3 1.2 網(wǎng)絡信息平安風險分析. 32. 需求分析. 42.1 現(xiàn)有網(wǎng)絡拓撲圖. 4 2.2 規(guī)劃需求. 43. 解決方案. 53.1 防火墻方案. 5 3.2 上網(wǎng)行為管理方案. 6 3.3 三層交換機方案. 6 3.4 域控管理方案. 7 3.5 企業(yè)殺毒方案. 11 3.6 數(shù)據(jù)文件備份方案. 154. 設備清單. 165. 實施方案. 161. 網(wǎng)絡信息平安概述1.1 網(wǎng)絡信息平安的概念網(wǎng)絡信息平安是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或是惡意的

2、原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡效勞不中斷。網(wǎng)絡信息平安從廣義來說，但凡設計到網(wǎng)絡上信息的性、完整性、可用性真實性和可控性的相關(guān)平安都屬于網(wǎng)絡信息平安疇;從網(wǎng)絡運行和管理者角度說，網(wǎng)絡信息平安是防止企業(yè)網(wǎng)絡信息出現(xiàn)病毒、非法讀取、拒絕效勞、網(wǎng)絡資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡黑客的攻擊，保障網(wǎng)絡正常運行;從社會和意識形態(tài)來講，企業(yè)網(wǎng)絡中不*的容，反社會的穩(wěn)定及人類開展的言論等，屬于國家明文制止的，必須對其進展管控。1.2 網(wǎng)絡信息平安風險分析企業(yè)局域網(wǎng)是一個信息點較多的百兆或千兆局域網(wǎng)絡系統(tǒng)，它所連接的上百個信息點為企業(yè)部各部門辦公提供了一個快速方便的信息交

3、流平臺，以及與互聯(lián)網(wǎng)通訊、溝通、交流的開放式平臺。企業(yè)局域網(wǎng)存在以下平安風險：局域網(wǎng)與Internet之間的相互，沒有專有設備對其進、出數(shù)據(jù)包進展分析、篩選及過濾，存在大量的垃圾數(shù)據(jù)包，造成網(wǎng)絡擁堵及癱瘓。部應用效勞器發(fā)布到公網(wǎng)中使用，在Internet外部環(huán)境下，存在被不法分子攻擊、入侵及篡改企業(yè)平安數(shù)據(jù)信息。企業(yè)部終端在無約束條件下，隨意、下載網(wǎng)絡上的資源，其量的網(wǎng)絡資源沒有經(jīng)過平安驗證，可能帶有病毒、以及資源糾紛等問題。企業(yè)部網(wǎng)絡環(huán)境在沒有做流控管理的情況下，造成一局部人占用大局部網(wǎng)絡資源，而其他人無法使用網(wǎng)絡資源正常辦公，不利于企業(yè)所有人員使用網(wǎng)絡資源正常辦公。企業(yè)部終端在無行為管理情

4、況下，假設帶有信仰、反人類、反政治等，以及個人發(fā)布不恰當?shù)难哉摰龋髽I(yè)需承當網(wǎng)絡提供者的連帶責任。企業(yè)部終端電腦無管控情況下，用戶私自安裝、卸載未經(jīng)批準的軟件，私自拷貝企業(yè)文件，篡改電腦信息，給企業(yè)帶來經(jīng)濟損失等等。企業(yè)部終端無殺毒軟件防護，在網(wǎng)絡開放時代，易于感染釣魚、訛詐等病毒。且企業(yè)局域網(wǎng)處于一個網(wǎng)絡環(huán)境下，病毒可擴散到全公司電腦。企業(yè)中重要數(shù)據(jù)文件的保護與備份機制，數(shù)據(jù)文件存在被部人員私自刪除、病毒入侵干擾以及天災造成的數(shù)據(jù)損壞及喪失。2. 需求分析 2.1 現(xiàn)有網(wǎng)絡拓撲圖 2.2 規(guī)劃需求加強Internet對企業(yè)部應用效勞器的，通過效勞規(guī)則策略、驗證工具、包過濾和應用網(wǎng)關(guān)等管控，從

5、而保證部網(wǎng)免受外部非法用戶及病毒的入侵。建立總部與工廠之間的平安、加密的虛擬專用網(wǎng)互相認證機制。針對用戶使用網(wǎng)絡Internet資源的管控，建立平安、合法的規(guī)則以及流控的管理，讓所有用戶正常使用網(wǎng)絡辦公。部網(wǎng)絡的vlan的劃分，防止局部播送風暴造成的整體網(wǎng)絡癱瘓。加強對用戶電腦賬戶密碼的管理以及共享文件夾的分級權(quán)限管理，限制用戶私自安裝、卸載軟件，修改注冊表、IP，U盤使用權(quán)限管理。建立企業(yè)殺毒管理方案，通過局域網(wǎng)定時批量更新計算機病毒庫，保障所有電腦及數(shù)據(jù)免受病毒侵犯。對公司效勞器上各部門重要的數(shù)據(jù)文件，尤其是研發(fā)的設計、專利文件，進展異地備份。3. 解決方案 3.1 防火墻方案目前總部IS

6、P接入帶寬為上行8M,下行200M撥號光纖，工廠兩條ISP接入，一條為上下對等10M城域網(wǎng)含公網(wǎng)靜態(tài)IP，另一條為上行8M，下行為200M撥號光纖，兩地通過IPSEC VPN虛擬專用隧道互相通訊。且總部有外貿(mào)、電商、市場、營銷等對網(wǎng)絡資源要求較高的部門。建議采用集成具備防火墻、IPSEC VPN、SSL VPN、防病毒、IPS入侵檢測、雙ISP接入等多種平安引擎功能的防火墻。針對防火墻做如下規(guī)則防護：啟用IPS入侵檢測，監(jiān)視網(wǎng)絡及網(wǎng)絡設備不正常或不平安的網(wǎng)絡傳輸行為及時中斷、調(diào)整或隔離。IDS對異常、入侵行為等深層次侵略的數(shù)據(jù)進展檢測和預警，中斷外部異常連接。部Trust對外部Untrust的

7、數(shù)據(jù)包，根據(jù)TCP、UDP、dns或是端口號的效勞規(guī)則進展策略管控。部效勞器端口映射出公網(wǎng)地址，針對外部Untrust對該效勞器的公網(wǎng)地址，根據(jù)效勞規(guī)則、端口號等進展平安準入判斷。通過防火墻IPSEC VPN功能，建立總部與工廠之間的虛擬平安專用隧道，規(guī)兩地間電腦只能對方的效勞器網(wǎng)段，制止其他電腦之間互相。 3.2上網(wǎng)行為管理方案上網(wǎng)行為管理設備具有流控管理、控制管理、入侵檢測管理、平安審計管理等功能。防非法用戶非法、防合法用戶非授權(quán)，節(jié)省網(wǎng)絡資源的流失，保障用戶合理合法的外部資源信息。相關(guān)規(guī)如下：根據(jù)ISP提供商提供的帶寬資源，合理規(guī)流控設置，如每用戶限制最大上行2M,下行4M，保障了用戶均

8、分網(wǎng)絡資源，正常辦公。對準入終端綁定IP與MAC地址，制止非法終端準入。對不同部門不用應用制定不同的授權(quán)，如人事部招聘、社保等政企;電商部購物、電商;財務部網(wǎng)銀等授權(quán)。制止所有用戶使用除公司指定之外的網(wǎng)盤，防止公司數(shù)據(jù)文件外泄。制止所有用戶使用公司指定之外的系統(tǒng)，防止公司數(shù)據(jù)文件外泄。制止所有用戶利用公司網(wǎng)絡資源娛樂影音、游戲、代理木馬、信仰等。對所有準入用戶實行平安審計、日志記錄功能。 3.3三層交換機方案出于平安和管理方便的考慮，主要為了減小播送風暴造成的影響，必須將大型局域網(wǎng)按功能或地域等因素劃分成多個小局域網(wǎng)，三層交換機vlan功能將大型的局域網(wǎng)劃分成多個播送域，降低了播送風暴的危害，

9、同時又保證了整個網(wǎng)絡之間不同vlan之間的互相通信。根據(jù)目前公司的網(wǎng)絡架構(gòu)，在不變更效勞器IP地址的前提下，將vlan規(guī)劃如下表：序號網(wǎng)段標示備注01效勞器網(wǎng)段02有線網(wǎng)段03無線網(wǎng)段后續(xù)可根據(jù)實際需求制定ACL，制止其他網(wǎng)段規(guī)劃后網(wǎng)絡架構(gòu)拓撲圖： 3.4 域控管理方案AD域控主要作用是權(quán)限集中化管理、資源同步共享優(yōu)化?？刂朴脩舻卿洐?quán)限，保障網(wǎng)信息平安，平安性高;有利于企業(yè)的一些資料的管理，比方一個文件只能讓*一個人看,或者指定人員可以看,但不可以刪/改/移等;對軟件及其他共享可以集中發(fā)布，減少管理的工作量。OU單位組織、用戶賬號密碼賬號為部門代碼+四位數(shù)流水號，默認Domain User權(quán)限

10、，無法安裝、卸載軟件及用戶賬號對共享文件的權(quán)限分別為只讀、編輯、完全控制權(quán)限規(guī)劃。序號OU名稱描述備注01OFFICE_USER所有域賬號管理02OFFICE_PUTER所有加域計算機管理03OFFICE_SHARE所有文件共享權(quán)限序號部門名稱部門代碼備注01總經(jīng)辦GM02財務部FIN03人力資源部HR04行政部AD05市場部MKT06大海外區(qū)IM07大中華區(qū)DM08電商部EC09研發(fā)部RD10產(chǎn)品部MFG11物流部LOG12設計部DES13營銷部SALES序號共享權(quán)限名稱描述備注01File_All對file文件擁有完全控制權(quán)02File_Write對file文件擁有編輯權(quán)03File_Re

11、ad對file文件只有只讀權(quán)組策略的建立序號策略名稱描述備注01Close FireWall關(guān)閉系統(tǒng)自帶防火墻02Default Domain Controllers Policy修改域賬號密碼規(guī)則，密碼長度為6位數(shù)，四個月提示修改一次密碼03Deny FileShare制止用戶私自共享文件夾04Deny CD/DVD制止使用移動光驅(qū)05Deny Floppy制止使用軟驅(qū)06Deny Regedit制止和修改注冊表07Deny Setting network制止私自修改網(wǎng)絡連接屬性08Deny USB制止使用U盤09Group policy refresh time設置組策略生效刷新時間10D

12、eny run bat scripts制止運行bat腳本文件DHCP效勞自動分發(fā)IP地址(IP與MAC地址綁定，防止外部電腦接入獲得IP地址) 3.5 企業(yè)殺毒方案目前我公司現(xiàn)有局域網(wǎng)辦公電腦230 左右，系統(tǒng)有win 7 旗艦版、win 10企業(yè)版、等等，系統(tǒng)漏洞補丁包更新不完善，且辦公電腦U 盤為開放狀態(tài)。辦公電腦采用的360 殺毒軟件為一款免費的個人殺毒軟件，病毒庫更新需要聯(lián)網(wǎng)更新或每臺逐步手動離線更新。公司殺毒軟件通過Internet更新病毒庫時占用大量的網(wǎng)絡資源，且夾帶太多的附屬產(chǎn)品，如360平安衛(wèi)士、360軟件管家、360瀏覽器等等，占用電腦硬件資源。針對這些問題通過NOD32企業(yè)

13、殺毒軟件解決。安裝包較小，安裝快速，配置導入，無需每臺手動設置。界面簡潔，具有常用防護及個人防火墻病毒庫更新方案密碼保護，防止私自卸載客戶端集成，防止病毒垃圾局域網(wǎng)IIS 效勞器更新病毒庫 3.6 數(shù)據(jù)文件備份方案數(shù)據(jù)文件平安是一個企業(yè)中非常重要的課題，數(shù)據(jù)備份的任務與意義就在于，當災難發(fā)生后，通過備份的數(shù)據(jù)完整、快速、簡捷、可靠地恢復原有系統(tǒng)。備份的方式又很多，其中最普通的為從一個硬盤拷貝到另一個硬盤中，或是通過腳本定時將文件拷貝到其他電腦上。但這些方式都是只是將數(shù)據(jù)文件存放在局域網(wǎng)的另一臺電腦上，依然不可防止的是病毒感染、物理機或是硬盤故障等等因素造成的損失。針對此，傳統(tǒng)企業(yè)選擇磁帶機備份的方式，