企業(yè)信息安全整體方案設(shè)計(jì)

企業(yè)信息安全整體方案設(shè)計(jì)一、企業(yè)安全背景與現(xiàn)狀全球信息網(wǎng)的消滅和信息化社會(huì)的降臨，使得社會(huì)的生產(chǎn)方傳輸、加工、存貯、查詢以及推測決策等工作量越來越大，原來的電腦只是停留在單機(jī)工作的模式，各科室間的數(shù)據(jù)不能實(shí)現(xiàn)共享，致使工作效率大大下降，純粹手工治理方式和手段已不能適應(yīng)需求，這將嚴(yán)峻阻礙公司的生存和進(jìn)展。企業(yè)組織機(jī)構(gòu)和信息系統(tǒng)簡介該企業(yè)包括生產(chǎn)，市場，財(cái)務(wù)，資源等部門.員工需要實(shí)時(shí)地進(jìn)展信息傳輸和資源共享等。用戶安全需求分析在日常的企業(yè)辦公中，企業(yè)總部和各地的分公司、辦事處以在日常的企業(yè)辦公中，企業(yè)總部和各地的分公司、辦事處以及出差的員工需要實(shí)時(shí)地進(jìn)展信息傳輸和資源共享等，企業(yè)之間及出差的員工需要實(shí)時(shí)地進(jìn)展信息傳輸和資源共享等，企業(yè)之間的業(yè)務(wù)來往越來越多地依靠于網(wǎng)絡(luò)。但是由于互聯(lián)網(wǎng)的開放性和的業(yè)務(wù)來往越來越多地依靠于網(wǎng)絡(luò)。但是由于互聯(lián)網(wǎng)的開放性和通信協(xié)議原始設(shè)計(jì)的局限性影響，全部信息承受明文傳輸，導(dǎo)致通信協(xié)議原始設(shè)計(jì)的局限性影響，全部信息承受明文傳輸，導(dǎo)致互聯(lián)網(wǎng)的安全性問題日益嚴(yán)峻，非法訪問、網(wǎng)絡(luò)攻擊、信息竊取互聯(lián)網(wǎng)的安全性問題日益嚴(yán)峻，非法訪問、網(wǎng)絡(luò)攻擊、信息竊取等頻頻發(fā)生，給公司的正常運(yùn)行帶來安全隱患，甚至造成不行估等頻頻發(fā)生，給公司的正常運(yùn)行帶來安全隱患，甚至造成不行估量的損失。量的損失。3.信息安全威逼類型目前企業(yè)信息化的安全威逼主要來自以下幾個(gè)方面：目前企業(yè)信息化的安全威逼主要來自以下幾個(gè)方面：站癱瘓。、來自信息竊取的威逼，造成我們的商業(yè)機(jī)密泄漏，內(nèi)部效勞器被非法訪問，破壞傳輸信息的完整性或者被直接假冒。網(wǎng)絡(luò)癱瘓。為了便利，設(shè)置成全開放狀態(tài)等等，從而消滅網(wǎng)絡(luò)漏洞。二．企業(yè)安全需求分析1、對信息的保護(hù)方式進(jìn)展安全需求分析該企業(yè)目前已建成掩蓋整個(gè)企業(yè)的網(wǎng)絡(luò)平臺(tái)，網(wǎng)絡(luò)設(shè)備以Cisco二．企業(yè)安全需求分析1、對信息的保護(hù)方式進(jìn)展安全需求分析該企業(yè)目前已建成掩蓋整個(gè)企業(yè)的網(wǎng)絡(luò)平臺(tái)，網(wǎng)絡(luò)設(shè)備以Cisco為主。在數(shù)據(jù)通信方面，以企業(yè)所在地為中心與數(shù)個(gè)城市通過1M幀中繼專線實(shí)現(xiàn)點(diǎn)對點(diǎn)連接，其他城市和移動(dòng)用戶使用ADSLCDMAVPNPSTN撥號連接。在公司的網(wǎng)絡(luò)平臺(tái)上運(yùn)行著辦公自動(dòng)化系統(tǒng)、SAPERP系統(tǒng)、電子郵件系統(tǒng)、網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)、VoIP語音系統(tǒng)、企業(yè)企業(yè)Web網(wǎng)站，以及FHS自動(dòng)加油系統(tǒng)接口、互聯(lián)網(wǎng)接入、網(wǎng)上撐作用。全需求分析主要從以下幾個(gè)方面進(jìn)展考慮：1、網(wǎng)絡(luò)傳輸保護(hù)：主要是數(shù)據(jù)加密，防竊聽保護(hù)。止泄露些可能攜帶病毒的設(shè)備進(jìn)展防護(hù)與查殺。4、廣域網(wǎng)接入局部的入侵檢測：承受入侵檢測系統(tǒng)補(bǔ)?！?〕與風(fēng)險(xiǎn)的對抗方式進(jìn)展安全需求分析1計(jì)2、重要數(shù)據(jù)的備份：對一些重要交易，客戶信息備份34、網(wǎng)絡(luò)設(shè)備防雷5、重要信息點(diǎn)的防電磁泄露三、安全解決方案1、物理安全和運(yùn)行安全及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。是指對網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過程和運(yùn)行狀態(tài)的保護(hù)。主要的保護(hù)方式有防火墻與物理隔離、風(fēng)險(xiǎn)分析與漏洞掃描、應(yīng)急響應(yīng)、病毒防治、訪問掌握、安全審計(jì)、入侵檢測、源路由過濾、降級使用、數(shù)據(jù)備份等。2、選擇和購置安全硬件和軟件產(chǎn)品〔1、硬件產(chǎn)品主要是防火墻的選購。對于防火墻的選購要具備明確防火墻的保護(hù)對象和需求的安全等級、依據(jù)安全級別確供給良好地售后效勞的產(chǎn)品等要求?！?、軟件產(chǎn)品主要是殺毒軟件的選擇，本方案中在選擇系統(tǒng)資源占用低，性能優(yōu)越、可治理性高，易于使用、產(chǎn)品集成度高、高牢靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動(dòng)升級等優(yōu)點(diǎn)?！?、產(chǎn)品推舉產(chǎn)品 型號

數(shù)關(guān)鍵參數(shù)及備量 注防火墻

SNS-FW-1500TC

總公司與分1公司

機(jī)架式發(fā)連接/150M吞吐量防火墻

SNS-FW-4500TC網(wǎng)絡(luò)總出口

機(jī)架式發(fā)連接/800M吞吐量墻

SNS-VW-250

辦公室

機(jī)架式/4FE/1 供給相應(yīng)客戶端軟件系統(tǒng)

TS-TC-100 網(wǎng)絡(luò)出口 1SNS-NAM-500T 辦公區(qū)

機(jī)架式/4FE機(jī)架式/4FE機(jī) 架 式VPN

SNS-SSL-100T 效勞器區(qū) 1

/4FE/ACPOWER/100并發(fā)用戶3、網(wǎng)絡(luò)規(guī)劃與子網(wǎng)劃分企業(yè)的電腦會(huì)不斷增加。比較環(huán)形、星形、總線形三種根本拓?fù)錁?gòu)造，星形連接在將用戶接入網(wǎng)絡(luò)時(shí)具有更大的敏捷性。當(dāng)系統(tǒng)不斷進(jìn)展或系統(tǒng)發(fā)生重大變化時(shí)，這種優(yōu)點(diǎn)將變得更加突出，所以選擇星形網(wǎng)絡(luò)最好?！?、實(shí)際的具體的設(shè)計(jì)拓?fù)鋱D如下2、子網(wǎng)的劃分和地址的安排經(jīng)理辦子網(wǎng)(vlan2)： 子網(wǎng)掩碼:網(wǎng)關(guān)：生產(chǎn)子網(wǎng)(vlan3)： 子網(wǎng)掩碼:網(wǎng)關(guān)：市場子網(wǎng)(vlan4)： 子網(wǎng)掩碼:網(wǎng)關(guān)：財(cái)務(wù)子網(wǎng)(vlan5)： 子網(wǎng)掩碼:網(wǎng)關(guān)：資源子網(wǎng)(vlan6): 子網(wǎng)掩碼:網(wǎng)關(guān)：4、網(wǎng)絡(luò)隔離與訪問掌握直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)VPN設(shè)備，由上級的VPN認(rèn)證效勞器通過網(wǎng)絡(luò)對下一級的VPN設(shè)備進(jìn)展集中統(tǒng)一的網(wǎng)絡(luò)化治理。下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配由于網(wǎng)絡(luò)安全的是一個(gè)綜合的系統(tǒng)工程，是由很多因素打算的，而不是僅僅承受高檔的安全產(chǎn)品就能解決，因此對安全設(shè)備的治理就顯得尤為重要。由于一般的安全產(chǎn)品在治理上是各自治理，因而很簡潔由于某個(gè)設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)消滅重相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。所以，在安全設(shè)備的選擇上應(yīng)中選擇可以進(jìn)展網(wǎng)絡(luò)化集中治理的設(shè)備，這樣，由少量的專業(yè)人員對主要安全設(shè)備進(jìn)展治理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。〔2、訪問權(quán)限掌握策略A、經(jīng)理辦VLAN2可以訪問其余全部VLAN。B、財(cái)務(wù)VLAN5可以訪問生產(chǎn)VLAN3、市場VLAN4、資源VLAN6，不行以訪問經(jīng)理辦VLAN2。CVLAN4VLAN3VLAN6都不能訪問經(jīng)理辦VLAN2、財(cái)務(wù)VLAN5。D、生產(chǎn)VLAN4和銷售VLAN3可以互訪。5、操作系統(tǒng)安全增加能被利用的后門程序要準(zhǔn)時(shí)進(jìn)展系統(tǒng)的補(bǔ)丁升級。企業(yè)網(wǎng)絡(luò)系統(tǒng)在主要的應(yīng)用效勞平臺(tái)中承受國內(nèi)自主開發(fā)的OS方式、文件系統(tǒng)、網(wǎng)絡(luò)傳輸、安全日志審計(jì)、加密算法及算法替換的支持和完整性保護(hù)等方面進(jìn)展安全改造和性能增加。一般用戶運(yùn)行在PCNTNT應(yīng)加強(qiáng)監(jiān)控治理。6、應(yīng)用系統(tǒng)安全企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用平臺(tái)安全，一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與掌握，以及使用網(wǎng)絡(luò)資源的權(quán)限治理和訪問掌握，對安全相關(guān)操作進(jìn)展的審計(jì)等。其中的用戶應(yīng)同時(shí)包括各級治理員WWWE-MAILFTPTELNET效勞的安全。在選擇這些應(yīng)用系統(tǒng)時(shí)，應(yīng)當(dāng)盡量選擇國內(nèi)軟件開發(fā)商進(jìn)展開發(fā)，系統(tǒng)類型也應(yīng)當(dāng)盡量承受國內(nèi)自主開發(fā)的應(yīng)用定期的安全評估及安全分析同樣相當(dāng)重要。由于網(wǎng)絡(luò)安全系統(tǒng)在建立后并不是長期保持很高的安全性，而是隨著時(shí)間的推移和技術(shù)的進(jìn)展而不斷下降的，同時(shí)，在使用過程中會(huì)消滅的安全問參考意見，提示網(wǎng)絡(luò)安全治理員作好相應(yīng)調(diào)整。7、重點(diǎn)主機(jī)防護(hù)為重點(diǎn)主機(jī)，堡壘機(jī)建立主機(jī)防范系統(tǒng)，簡稱HIPS。HIPS是一種能監(jiān)控你電腦中文件的運(yùn)行和文件運(yùn)用了其軟件。當(dāng)主機(jī)入侵防范系統(tǒng)具有的程序訪問掌握列表 能使得同樣一個(gè)用戶訪問同樣的資源的時(shí)候，假設(shè)承受不同定不同應(yīng)用程序的訪問權(quán)限，只允許的合法的應(yīng)用程序訪問這些資源。這樣，即使入侵者在被攻擊的效勞器上運(yùn)行了木馬程序，但是木馬程序需要竊取關(guān)鍵信息的時(shí)候必需要經(jīng)過主機(jī)入侵防范系統(tǒng)的安全驗(yàn)證。由于PACL馬程序的訪問權(quán)限，依據(jù)默認(rèn)權(quán)限是不能夠訪問的，由此就起到了對木馬信息竊取的防范。8、連接與傳輸安全由于企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等;另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級INTERNETINTERNET就缺乏有效的安全保護(hù)，假設(shè)不實(shí)行相應(yīng)的安全措施，易受到來自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)峻的后果。VPN(VPN-CA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)VPNVPN集中統(tǒng)一的網(wǎng)絡(luò)化治理。這樣可到達(dá)以下幾個(gè)目的：1、網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù);輸加密保護(hù)，并可同時(shí)實(shí)行加密或隧道的方式進(jìn)展傳輸2、網(wǎng)絡(luò)隔離保護(hù)INTERNET3、集中統(tǒng)一治理，提高網(wǎng)絡(luò)安全性4、降低本錢(設(shè)備本錢和維護(hù)本錢9、安全綜合治理與掌握方案設(shè)計(jì)性的規(guī)章審核。固然，還需要建立高效的治理平臺(tái)。安全治理〕，對無權(quán)操作人員進(jìn)展掌握；密鑰治理平臺(tái)。安全治理的實(shí)現(xiàn)的保密性，制定相應(yīng)的治理制度或承受相應(yīng)的標(biāo)準(zhǔn)。制訂相應(yīng)的機(jī)房出入治理制度、制訂嚴(yán)格的操作規(guī)程、制訂完備的系統(tǒng)維護(hù)制度及制訂應(yīng)急措施。四、安全運(yùn)維措施1HP1/89動(dòng)裝載磁帶，自動(dòng)執(zhí)行定義好的備份策略，壓縮后最大存儲(chǔ)容量為640GB。備份軟件承受LegatoNetWorker網(wǎng)絡(luò)備份治理系統(tǒng)。該系統(tǒng)運(yùn)行穩(wěn)定，備份和恢復(fù)效果較好。由于企業(yè)內(nèi)部存在大量的數(shù)據(jù)，而這里面又有很多重要的、機(jī)密的信息。而整個(gè)數(shù)據(jù)的安全保護(hù)就顯得特別重要，對數(shù)據(jù)進(jìn)展定期備份是必不行少的安全措施。在實(shí)行數(shù)據(jù)備份時(shí)應(yīng)當(dāng)留意以下幾點(diǎn)：、存儲(chǔ)介質(zhì)安全方式。、數(shù)據(jù)安全即數(shù)據(jù)在備份前是真實(shí)數(shù)據(jù)，沒有經(jīng)過篡改或含有病毒。、備份過程安全電而使數(shù)據(jù)備份中斷的或其它狀況。、備份數(shù)據(jù)的保管保數(shù)據(jù)安全。對重要備份數(shù)據(jù)的異地、多處備份。2、日志審計(jì)和備份〔或〕運(yùn)行進(jìn)展記錄、分析是格外重要的，它可以讓用的審計(jì)結(jié)果進(jìn)展備份保存。3、制定災(zāi)難恢復(fù)安全存儲(chǔ)與備份、恢復(fù)是網(wǎng)絡(luò)安全的根底，假設(shè)不能實(shí)現(xiàn)安全存儲(chǔ)和牢靠的備份恢復(fù)，一切數(shù)字資產(chǎn)的安全都無從談起