網絡信息安全規(guī)劃設計方案_第1頁
網絡信息安全規(guī)劃設計方案_第2頁
網絡信息安全規(guī)劃設計方案_第3頁
網絡信息安全規(guī)劃設計方案_第4頁
網絡信息安全規(guī)劃設計方案_第5頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

網絡信息安全規(guī)劃設計方案.可修編-網絡信息安全規(guī)劃方案制作人:XXX網絡信息安全規(guī)劃設計方案全文共13頁,當前為第1頁。日期:2018年4月5日網絡信息安全規(guī)劃設計方案全文共13頁,當前為第1頁。目錄1.網絡信息安全概述.....................................................................31.1網絡信息安全的概念...........................................................31.2網絡信息安全風險分析.......................................................32.需求分析.......................................................................................42.1現有網絡拓撲圖....................................................................42.2規(guī)劃需求................................................................................43.解決方案......................................................................................53.1防火墻方案............................................................................53.2上網行為管理方案................................................................63.3三層交換機方案....................................................................63.4域控管理方案........................................................................73.5企業(yè)殺毒方案.......................................................................113.6數據文件備份方案..............................................................154.設備清單......................................................................................165.實施計劃......................................................................................16網絡信息安全規(guī)劃設計方案全文共13頁,當前為第2頁。網絡信息安全規(guī)劃設計方案全文共13頁,當前為第2頁。1.網絡信息安全概述1.1網絡信息安全的概念網絡信息安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護,不受偶然或是惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網絡服務不中斷。網絡信息安全從廣義來說,凡是設計到網絡上信息的性、完整性、可用性真實性和可控性的相關安全都屬于網絡信息安全疇;從網絡運行和管理者角度說,網絡信息安全是避免企業(yè)網絡信息出現病毒、非法讀取、拒絕服務、網絡資源非法占用和非法控制等威脅,制止和防御網絡黑客的攻擊,保障網絡正常運行;從社會和意識形態(tài)來講,企業(yè)訪問網絡中不健康的容,反社會的穩(wěn)定及人類發(fā)展的言論等,屬于國家明文禁止的,必須對其進行管控。1.2網絡信息安全風險分析企業(yè)局域網是一個信息點較多的百兆或千兆局域網絡系統(tǒng),它所連接的上百個信息點為企業(yè)部各部門辦公提供了一個快速方便的信息交流平臺,以及與互聯(lián)網通訊、溝通、交流的開放式平臺。企業(yè)局域網存在以下安全風險:局域網與Internet之間的相互訪問,沒有專有設備對其進、出數據包進行分析、篩選及過濾,存在大量的垃圾數據包,造成網絡擁堵及癱瘓。部應用服務器發(fā)布到公網中使用,在Internet外部環(huán)境下,存在被不法分子攻擊、入侵及篡改企業(yè)安全數據信息。企業(yè)部終端在無約束條件下,隨意訪問、下載網絡上的資源,其量的網絡資源沒有經過安全驗證,可能帶有病毒、以及資源糾紛等問題。企業(yè)部網絡環(huán)境在沒有做流控管理的情況下,造成一部分人占用大部分網絡資源,而其他人無法使用網絡資源正常辦公,不利于企業(yè)所有人員使用網絡資源正常辦公。企業(yè)部終端在無行為管理情況下,若訪問帶有信仰、反人類、反政治等,以及個人發(fā)布不恰當的言論等,企業(yè)需承擔網絡提供者的連帶責任。企業(yè)部終端電腦無管控情況下,用戶私自安裝、卸載未經批準的軟件,私自拷貝企業(yè)文件,篡改電腦信息,給企業(yè)帶來經濟損失等等。企業(yè)部終端無殺毒軟件防護,在網絡開放時代,易于感染釣魚、勒索等病毒。且企業(yè)局域網處于一個網絡環(huán)境下,病毒可擴散到全公司電腦。企業(yè)中重要數據文件的保護與備份機制,數據文件存在被部人員私自刪除、病毒入侵干擾以及天災造成的數據損壞及丟失。2.需求分析網絡信息安全規(guī)劃設計方案全文共13頁,當前為第3頁。2.1現有網絡拓撲圖網絡信息安全規(guī)劃設計方案全文共13頁,當前為第3頁。2.2規(guī)劃需求加強Internet對企業(yè)部應用服務器的訪問,通過服務訪問規(guī)則策略、驗證工具、包過濾和應用網關等管控,從而保證部網免受外部非法用戶及病毒的入侵。建立總部與工廠之間的安全、加密的虛擬專用網互相訪問認證機制。針對用戶使用網絡訪問Internet資源的管控,建立安全、合法的訪問規(guī)則以及流控的管理,讓所有用戶正常使用網絡辦公。部網絡的vlan的劃分,避免局部廣播風暴造成的整體網絡癱瘓。加強對用戶電腦賬戶密碼的管理以及共享文件夾的分級權限管理,限制用戶私自安裝、卸載軟件,修改注冊表、IP,U盤使用權限管理。建立企業(yè)殺毒管理方案,通過局域網定時批量更新計算機病毒庫,保障所有電腦及數據免受病毒侵犯。對公司服務器上各部門重要的數據文件,尤其是研發(fā)的設計、專利文件,進行異地備份。3.解決方案3.1防火墻方案目前總部ISP接入帶寬為上行8M,下行200M撥號光纖,工廠兩條ISP接入,一條為上下對等10M城域網(含公網靜態(tài)IP),另一條為上行8M,下行為200M撥號光纖,兩地通過IPSECVPN虛擬專用隧道互相通訊。且總部有外貿、電商、市場、營銷等對網絡資源要求較高的部門。建議采用集成具備防火墻、IPSECVPN、SSLVPN、防病毒、IPS入侵檢測、雙ISP接入等多種安全引擎功能的防火墻。針對防火墻做如下規(guī)則防護:啟用IPS入侵檢測,監(jiān)視網絡及網絡設備不正常或不安全的網絡傳輸行為及時中斷、調整或隔離。IDS對異常、入侵行為等深層次侵略的數據進行檢測和預警,中斷外部異常連接。部Trust對訪問外部Untrust的數據包,根據TCP、UDP、dns或是端口號的服務規(guī)則進行策略管控。部服務器端口映射出公網地址,針對外部Untrust對該服務器的公網地址訪問,根據服務規(guī)則、端口號等進行安全準入判斷。網絡信息安全規(guī)劃設計方案全文共13頁,當前為第4頁。通過防火墻IPSECVPN功能,建立總部與工廠之間的虛擬安全專用隧道,規(guī)兩地間電腦只能訪問對方的服務器網段,禁止其他電腦之間互相訪問。網絡信息安全規(guī)劃設計方案全文共13頁,當前為第4頁。3.2上網行為管理方案上網行為管理設備具有流控管理、訪問控制管理、入侵檢測管理、安全審計管理等功能。防非法用戶非法訪問、防合法用戶非授權訪問,節(jié)省網絡資源的流失,保障用戶合理合法的訪問外部資源信息。相關規(guī)如下:根據ISP提供商提供的帶寬資源,合理規(guī)流控設置,如每用戶限制最大上行2M,下行4M,保障了用戶均分網絡資源,正常辦公。對準入終端綁定IP與MAC地址,禁止非法終端準入。對不同部門不用應用制定不同的訪問授權,如人事部訪問招聘、社保等政企;電商部訪問購物、電商;財務部訪問網銀等授權。禁止所有用戶使用除公司指定之外的網盤,防止公司數據文件外泄。禁止所有用戶使用公司指定之外的系統(tǒng),防止公司數據文件外泄。禁止所有用戶利用公司網絡資源訪問娛樂影音、游戲、代理木馬、信仰等。對所有準入用戶實行安全審計、日志記錄功能。3.3三層交換機方案出于安全和管理方便的考慮,主要為了減小廣播風暴造成的影響訪問,必須將大型局域網按功能或地域等因素劃分成多個小局域網,三層交換機vlan功能將大型的局域網劃分成多個廣播域,降低了廣播風暴的危害,同時又保證了整個網絡之間不同vlan之間的互相通信。根據目前公司的網絡架構,在不變更服務器IP地址的前提下,將vlan規(guī)劃如下表:序號網段標示備注01192.168.1.0/24服務器網段02192.168.2.0/24有線網段03192.168.3.0/24無線網段后續(xù)可根據實際需求制定ACL,禁止訪問其他網段規(guī)劃后網絡架構拓撲圖:3.4域控管理方案網絡信息安全規(guī)劃設計方案全文共13頁,當前為第5頁。AD域控主要作用是權限集中化管理、資源同步共享優(yōu)化??刂朴脩舻卿洐嘞?,保障網信息安全,安全性高;有利于企業(yè)的一些資料的管理,比如一個文件只能讓某一個人看,或者指定人員可以看,但不可以刪/改/移等;對軟件及其他共享可以集中發(fā)布,減少管理的工作量。網絡信息安全規(guī)劃設計方案全文共13頁,當前為第5頁。OU單位組織、用戶賬號密碼(賬號為“部門代碼+四位數流水號”,默認DomainUser權限,無法安裝、卸載軟件)及用戶賬號對共享文件的權限(分別為“只讀”、“編輯”、“完全控制”權限)規(guī)劃。序號OU名稱描述備注01OFFICE_USER所有域賬號管理02OFFICE_COMPUTER所有加域計算機管理03OFFICE_SHARE所有文件共享權限序號部門名稱部門代碼備注01總經辦GM02財務部FIN03人力資源部HR04行政部AD05市場部MKT06大海外區(qū)IM07大中華區(qū)DM08電商部EC09研發(fā)部RD10產品部MFG11物流部LOG12設計部DES13營銷部SALES序號共享權限名稱描述備注01File_All對file文件擁有完全控制權02File_Write對file文件擁有編輯權03File_Read對file文件只有只讀權網絡信息安全規(guī)劃設計方案全文共13頁,當前為第6頁。組策略的建立網絡信息安全規(guī)劃設計方案全文共13頁,當前為第6頁。序號策略名稱描述備注01CloseFireWall關閉系統(tǒng)自帶防火墻02DefaultDomainControllersPolicy修改域賬號密碼規(guī)則,密碼長度為6位數,四個月提示修改一次密碼03DenyFileShare禁止用戶私自共享文件夾04DenyCD/DVD禁止使用移動光驅05DenyFloppy禁止使用軟驅06DenyRegedit禁止訪問和修改注冊表07DenySettingnetwork禁止私自修改網絡連接屬性08DenyUSB禁止使用U盤09Grouppolicyrefreshtime設置組策略生效刷新時間10Denyrunbatscripts禁止運行bat腳本文件網絡信息安全規(guī)劃設計方案全文共13頁,當前為第7頁。DHCP服務自動分發(fā)IP地址(IP與MAC地址綁定,防止外部電腦接入獲得IP地址)網絡信息安全規(guī)劃設計方案全文共13頁,當前為第7頁。3.5企業(yè)殺毒方案目前我公司現有局域網辦公電腦230左右,系統(tǒng)有win7旗艦版、win10企業(yè)版、等等,系統(tǒng)漏洞補丁包更新不完善,且辦公電腦U盤為開放狀態(tài)。辦公電腦采用的360殺毒軟件為一款免費的個人殺毒軟件,病毒庫更新需要聯(lián)網更新或每臺逐步手動離線更新。公司殺毒軟件通過Internet更新病毒庫時占用大量的網絡資源,且夾帶太多的附屬產品,如360安全衛(wèi)士、360軟件管家、360瀏覽器等等,占用電腦硬件資源。針對這些問題通過NOD32企業(yè)殺毒軟件解決。網絡信息安全規(guī)劃設計方案全文共13頁,當前為第8頁。安裝包較小,安裝快速,配置導入,無需每臺手動設置。網絡信息安全規(guī)劃設計方案全文共13頁,當前為第8頁。網絡信息安全規(guī)劃設計方案全文共13頁,當前為第9頁。網絡信息安全規(guī)劃設計方案全文共13頁,當前為第9頁。界面簡潔,具有常用防護及個人防火墻病毒庫更新計劃網絡信息安全規(guī)劃設計方案全文共13頁,當前為第10頁。密碼保護,防止私自卸載網絡信息安全規(guī)劃設計方案全文共13頁,當前為第10

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論