網(wǎng)絡(luò)信息安全規(guī)劃方案

網(wǎng)絡(luò)信息安全規(guī)劃方案制作人:XXX日期:2018年4月5日目錄1.網(wǎng)絡(luò)信息安全概述.....................................................................31.1網(wǎng)絡(luò)信息安全的概念...........................................................31.2網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析.......................................................32.需求分析.......................................................................................42.1現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D....................................................................42.2規(guī)劃需求................................................................................43.解決方案......................................................................................53.1防火墻方案............................................................................53.2上網(wǎng)行為管理方案................................................................63.3三層交換機(jī)方案....................................................................63.4域控管理方案........................................................................73.5企業(yè)殺毒方案.......................................................................113.6數(shù)據(jù)文件備份方案..............................................................154.設(shè)備清單......................................................................................165.實(shí)施計(jì)劃......................................................................................161.網(wǎng)絡(luò)信息安全概述1.1網(wǎng)絡(luò)信息安全的概念 網(wǎng)絡(luò)信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶 然或是惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù) 不中斷。 網(wǎng)絡(luò)信息安全從廣義來說，凡是設(shè)計(jì)到網(wǎng)絡(luò)上信息的保密性、完整性、可用性 真實(shí)性和可控性的相關(guān)安全都屬于網(wǎng)絡(luò)信息安全范疇;從網(wǎng)絡(luò)運(yùn)行和管理者角度說， 網(wǎng)絡(luò)信息安全是避免企業(yè)網(wǎng)絡(luò)信息出現(xiàn)病毒、非法讀取、拒絕服務(wù)、網(wǎng)絡(luò)資源非法 占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊，保障網(wǎng)絡(luò)正常運(yùn)行;從社會 和意識形態(tài)來講，企業(yè)訪問網(wǎng)絡(luò)中不健康的內(nèi)容，反社會的穩(wěn)定及人類發(fā)展的言論 等，屬于國家明文禁止的，必須對其進(jìn)行管控。1.2網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)分析 企業(yè)局域網(wǎng)是一個(gè)信息點(diǎn)較多的百兆或千兆局域網(wǎng)絡(luò)系統(tǒng)，它所連接的上百個(gè)信息點(diǎn)為企業(yè)內(nèi)部各部門辦公提供了一個(gè)快速方便的信息交流平臺，以及與互聯(lián)網(wǎng)通訊、溝通、交流的開放式平臺。企業(yè)局域網(wǎng)存在以下安全風(fēng)險(xiǎn)：局域網(wǎng)與Internet之間的相互訪問，沒有專有設(shè)備對其進(jìn)、出數(shù)據(jù)包進(jìn)行分析、篩選及過濾，存在大量的垃圾數(shù)據(jù)包，造成網(wǎng)絡(luò)擁堵及癱瘓。內(nèi)部應(yīng)用服務(wù)器發(fā)布到公網(wǎng)中使用，在Internet外部環(huán)境下，存在被不法分子攻擊、入侵及篡改企業(yè)安全數(shù)據(jù)信息。企業(yè)內(nèi)部終端在無約束條件下，隨意訪問、下載網(wǎng)絡(luò)上的資源，其中大量的網(wǎng)絡(luò)資源沒有經(jīng)過安全驗(yàn)證，可能帶有病毒、以及資源版權(quán)糾紛等問題。企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境在沒有做流控管理的情況下，造成一部分人占用大部分網(wǎng)絡(luò)資源，而其他人無法使用網(wǎng)絡(luò)資源正常辦公，不利于企業(yè)所有人員使用網(wǎng)絡(luò)資源正常辦公。企業(yè)內(nèi)部終端在無行為管理情況下，若訪問帶有宗教信仰、反人類、反政治等網(wǎng)站，以及個(gè)人發(fā)布不恰當(dāng)?shù)难哉摰?，企業(yè)需承擔(dān)網(wǎng)絡(luò)提供者的連帶責(zé)任。企業(yè)內(nèi)部終端電腦無管控情況下，用戶私自安裝、卸載未經(jīng)批準(zhǔn)的軟件，私自拷貝企業(yè)機(jī)密文件，篡改電腦信息，給企業(yè)帶來經(jīng)濟(jì)損失等等。企業(yè)內(nèi)部終端無殺毒軟件防護(hù)，在網(wǎng)絡(luò)開放時(shí)代，易于感染釣魚、勒索等病毒。且企業(yè)局域網(wǎng)處于一個(gè)網(wǎng)絡(luò)環(huán)境下，病毒可擴(kuò)散到全公司電腦。企業(yè)中重要數(shù)據(jù)文件的保護(hù)與備份機(jī)制，數(shù)據(jù)文件存在被內(nèi)部人員私自刪除、病毒入侵干擾以及天災(zāi)造成的數(shù)據(jù)損壞及丟失。2.需求分析2.1現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D2.2規(guī)劃需求加強(qiáng)Internet對企業(yè)內(nèi)部應(yīng)用服務(wù)器的訪問，通過服務(wù)訪問規(guī)則策略、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)等管控，從而保證內(nèi)部網(wǎng)免受外部非法用戶及病毒的入侵。建立總部與工廠之間的安全、加密的虛擬專用網(wǎng)互相訪問認(rèn)證機(jī)制。針對用戶使用網(wǎng)絡(luò)訪問Internet資源的管控，建立安全、合法的訪問規(guī)則以及流控的管理，讓所有用戶正常使用網(wǎng)絡(luò)辦公。內(nèi)部網(wǎng)絡(luò)的vlan的劃分，避免局部廣播風(fēng)暴造成的整體網(wǎng)絡(luò)癱瘓。加強(qiáng)對用戶電腦賬戶密碼的管理以及共享文件夾的分級權(quán)限管理，限制用戶私自安裝、卸載軟件，修改注冊表、IP，U盤使用權(quán)限管理。建立企業(yè)殺毒管理方案，通過局域網(wǎng)定時(shí)批量更新計(jì)算機(jī)病毒庫，保障所有電腦及數(shù)據(jù)免受病毒侵犯。對公司服務(wù)器上各部門重要的數(shù)據(jù)文件，尤其是研發(fā)的設(shè)計(jì)、專利文件，進(jìn)行異地備份。3.解決方案3.1防火墻方案 目前總部ISP接入帶寬為上行8M,下行200M撥號光纖，工廠兩條ISP接入，一條為上下對等10M城域網(wǎng)（含公網(wǎng)靜態(tài)IP），另一條為上行8M，下行為200M撥號光纖，兩地通過IPSECVPN虛擬專用隧道互相通訊。且總部有外貿(mào)、電商、市場、營銷等對網(wǎng)絡(luò)資源要求較高的部門。建議采用集成具備防火墻、IPSECVPN、SSLVPN、防病毒、IPS入侵檢測、雙ISP接入等多種安全引擎功能的防火墻。針對防火墻做如下規(guī)則防護(hù)：啟用IPS入侵檢測，監(jiān)視網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備不正?；虿话踩木W(wǎng)絡(luò)傳輸行為及時(shí)中斷、調(diào)整或隔離。IDS對異常、入侵行為等深層次侵略的數(shù)據(jù)進(jìn)行檢測和預(yù)警，中斷外部異常連接。內(nèi)部Trust對訪問外部Untrust的數(shù)據(jù)包，根據(jù)TCP、UDP、dns或是端口號的服務(wù)規(guī)則進(jìn)行策略管控。內(nèi)部服務(wù)器端口映射出公網(wǎng)地址，針對外部Untrust對該服務(wù)器的公網(wǎng)地址訪問，根據(jù)服務(wù)規(guī)則、端口號等進(jìn)行安全準(zhǔn)入判斷。通過防火墻IPSECVPN功能，建立總部與工廠之間的虛擬安全專用隧道，規(guī)范兩地間電腦只能訪問對方的服務(wù)器網(wǎng)段，禁止其他電腦之間互相訪問。3.2上網(wǎng)行為管理方案 上網(wǎng)行為管理設(shè)備具有流控管理、訪問控制管理、入侵檢測管理、安全審計(jì)管理等功能。防范非法用戶非法訪問、防范合法用戶非授權(quán)訪問，節(jié)省網(wǎng)絡(luò)資源的流失，保障用戶合理合法的訪問外部資源信息。相關(guān)規(guī)范如下：根據(jù)ISP提供商提供的帶寬資源，合理規(guī)范流控設(shè)置，如每用戶限制最大上行2M,下行4M，保障了用戶均分網(wǎng)絡(luò)資源，正常辦公。對準(zhǔn)入終端綁定IP與MAC地址，禁止非法終端準(zhǔn)入。對不同部門不用應(yīng)用制定不同的訪問授權(quán)，如人事部訪問招聘、社保等政企網(wǎng)站;電商部訪問購物、電商網(wǎng)站;財(cái)務(wù)部訪問網(wǎng)銀等網(wǎng)站授權(quán)。禁止所有用戶使用除公司指定之外的網(wǎng)盤，防止公司數(shù)據(jù)文件外泄。禁止所有用戶使用公司指定之外的郵件系統(tǒng)，防止公司數(shù)據(jù)文件外泄。禁止所有用戶利用公司網(wǎng)絡(luò)資源訪問娛樂影音、游戲、代理木馬、宗教信仰等網(wǎng)站。對所有準(zhǔn)入用戶實(shí)行安全審計(jì)、日志記錄功能。3.3三層交換機(jī)方案 出于安全和管理方便的考慮，主要為了減小廣播風(fēng)暴造成的影響訪問，必須將大型局域網(wǎng)按功能或地域等因素劃分成多個(gè)小局域網(wǎng)，三層交換機(jī)vlan功能將大型的局域網(wǎng)劃分成多個(gè)廣播域，降低了廣播風(fēng)暴的危害，同時(shí)又保證了整個(gè)網(wǎng)絡(luò)之間不同vlan之間的互相通信。根據(jù)目前公司的網(wǎng)絡(luò)架構(gòu)，在不變更服務(wù)器IP地址的前提下，將vlan規(guī)劃如下表：序號網(wǎng)段標(biāo)示備注01服務(wù)器網(wǎng)段02有線網(wǎng)段03無線網(wǎng)段后續(xù)可根據(jù)實(shí)際需求制定ACL，禁止訪問其他網(wǎng)段規(guī)劃后網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D：3.4域控管理方案 AD域控主要作用是權(quán)限集中化管理、資源同步共享優(yōu)化。控制用戶登錄權(quán)限，保障內(nèi)網(wǎng)信息安全，安全性高;有利于企業(yè)的一些保密資料的管理，比如一個(gè)文件只能讓某一個(gè)人看,或者指定人員可以看,但不可以刪/改/移等;對軟件及其他共享可以集中發(fā)布，減少管理的工作量。OU單位組織、用戶賬號密碼（賬號為“部門代碼+四位數(shù)流水號”，默認(rèn)DomainUser權(quán)限，無法安裝、卸載軟件）及用戶賬號對共享文件的權(quán)限（分別為“只讀”、“編輯”、“完全控制”權(quán)限）規(guī)劃。序號OU名稱描述備注01OFFICE_USER所有域賬號管理02OFFICE_COMPUTER所有加域計(jì)算機(jī)管理03OFFICE_SHARE所有文件共享權(quán)限序號部門名稱部門代碼備注01總經(jīng)辦GM02財(cái)務(wù)部FIN03人力資源部HR04行政部AD05市場部MKT06大海外區(qū)IM07大中華區(qū)DM08電商部EC09研發(fā)部RD10產(chǎn)品部MFG11物流部LOG12設(shè)計(jì)部DES13營銷部SALES序號共享權(quán)限名稱描述備注01File_All對file文件擁有完全控制權(quán)02File_Write對file文件擁有編輯權(quán)03File_Read對file文件只有只讀權(quán)組策略的建立序號策略名稱描述備注01CloseFireWall關(guān)閉系統(tǒng)自帶防火墻02DefaultDomainControllersPolicy修改域賬號密碼規(guī)則，密碼長度為6位數(shù)，四個(gè)月提示修改一次密碼03DenyFileShare禁止用戶私自共享文件夾04DenyCD/DVD禁止使用移動光驅(qū)05DenyFloppy禁止使用軟驅(qū)06DenyRegedit禁止訪問和修改注冊表07DenySettingnetwork禁止私自修改網(wǎng)絡(luò)連接屬性08DenyUSB禁止使用U盤09Grouppolicyrefreshtime設(shè)置組策略生效刷新時(shí)間10Denyrunbatscripts禁止運(yùn)行bat腳本文件DHCP服務(wù)自動分發(fā)IP地址(IP與MAC地址綁定，防止外部電腦接入獲得IP地址)3.5企業(yè)殺毒方案 目前我公司現(xiàn)有局域網(wǎng)辦公電腦230左右，系統(tǒng)有win7旗艦版、win10企業(yè)版、 等等，系統(tǒng)漏洞補(bǔ)丁包更新不完善，且辦公電腦U盤 為開放狀態(tài)。辦公電腦采用的 360殺毒軟件為一款免費(fèi)的個(gè)人殺毒軟件，病毒庫更新需要聯(lián)網(wǎng)更新或每臺逐步手動 離線更新。公司殺毒軟件通過Internet更新病毒庫時(shí)占用大量的網(wǎng)絡(luò)資源，且夾帶太多 的附屬產(chǎn)品，如360安全衛(wèi)士、360軟件管家、360瀏覽器等等，占用電腦硬件資源。 針對這些問題通過NOD32企業(yè)殺毒軟件解決。安裝包較小，安裝快速，配置導(dǎo)入，無需每臺手動設(shè)置。界面簡潔，具有常用防護(hù)及個(gè)人防火墻病毒庫更新計(jì)劃密碼保護(hù)，防止私自卸載郵件客戶端集成，防止病毒垃圾郵件局域網(wǎng)IIS服務(wù)器更新病毒庫3.6數(shù)據(jù)文件備份方案 數(shù)據(jù)文件安全是一個(gè)企業(yè)中非常重要的課題，數(shù)據(jù)備份的任務(wù)與意義就在于，當(dāng)災(zāi)難發(fā)生后，通過備份的數(shù)據(jù)完整、快速、簡捷、可靠地恢復(fù)原有系統(tǒng)。備份的方式又很多，其中最普通的為從一個(gè)硬盤拷貝到另一個(gè)硬盤中，或是通過腳本定時(shí)將文件拷貝到其他電腦上。但這些方式都是只是將數(shù)據(jù)文件存放在局域網(wǎng)的另