網(wǎng)絡(luò)安全整體解決方案

微觀集團(tuán)

網(wǎng)絡(luò)安全解決方案制作人：袁觀信2016-08-18網(wǎng)絡(luò)安全整體解決方案全文共13頁(yè)，當(dāng)前為第1頁(yè)。網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀潛在的安全風(fēng)險(xiǎn)安全需求與目標(biāo)安全解決方案信息安全方案的設(shè)計(jì)思路網(wǎng)絡(luò)安全整體解決方案全文共13頁(yè)，當(dāng)前為第2頁(yè)。網(wǎng)絡(luò)安全整體解決方案全文共13頁(yè)，當(dāng)前為第3頁(yè)。企業(yè)網(wǎng)絡(luò)中的應(yīng)用應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)平臺(tái)易助ERPMSＳＱＬ2005Delphi6OA辦公ＭＹSQLASP格創(chuàng)CRMMSSQL2000Delphi格創(chuàng)HRMMSSQL2000Delphi輔材系統(tǒng)MSSQL2000Delphi郵箱系統(tǒng)代理富通天下電子商務(wù)平臺(tái)網(wǎng)絡(luò)安全整體解決方案全文共13頁(yè)，當(dāng)前為第4頁(yè)。網(wǎng)絡(luò)安全類型與應(yīng)用范圍用戶層/應(yīng)用系統(tǒng)類別主要表現(xiàn)應(yīng)用范圍1、身份識(shí)別登錄帳號(hào)電腦桌面、管理系統(tǒng)2、訪問(wèn)權(quán)限權(quán)限設(shè)定電腦桌面、管理系統(tǒng)3、數(shù)據(jù)保密性職責(zé)分開管理系統(tǒng)、共享文件4、數(shù)據(jù)完整性數(shù)據(jù)流程管理系統(tǒng)5、IP唯一性上網(wǎng)權(quán)限網(wǎng)絡(luò)應(yīng)用網(wǎng)絡(luò)安全整體解決方案全文共13頁(yè)，當(dāng)前為第5頁(yè)。用戶操作系統(tǒng)層類別主要表現(xiàn)應(yīng)用范圍1、系統(tǒng)補(bǔ)丁安全漏洞操作系統(tǒng)2、殺毒軟件預(yù)防為主操作系統(tǒng)3、硬件配置資產(chǎn)盤點(diǎn)個(gè)人電腦、服務(wù)器4、數(shù)據(jù)備份數(shù)據(jù)保存?zhèn)€人電腦、服務(wù)器5、輸入與輸出USB，郵件，網(wǎng)頁(yè)個(gè)人電腦網(wǎng)絡(luò)安全類型與應(yīng)用范圍網(wǎng)絡(luò)安全整體解決方案全文共13頁(yè)，當(dāng)前為第6頁(yè)。網(wǎng)絡(luò)/服務(wù)器類別主要表現(xiàn)應(yīng)用范圍1、設(shè)備冗余重要服務(wù)器的冗余服務(wù)器2、線路冗余線路主線的冗余主線路3、路由器設(shè)置安全設(shè)置（VPN、NAT）機(jī)房4、防火墻防御防入侵機(jī)房5、機(jī)房安全6S機(jī)房6、備份界質(zhì)移動(dòng)備份界質(zhì)安全機(jī)房7、監(jiān)控機(jī)制監(jiān)控?cái)z象頭機(jī)房網(wǎng)絡(luò)安全類型與應(yīng)用范圍網(wǎng)絡(luò)安全整體解決方案全文共13頁(yè)，當(dāng)前為第7頁(yè)。用戶層/應(yīng)用系統(tǒng)類別安全風(fēng)險(xiǎn)方案1、身份識(shí)別登錄帳號(hào)、密碼管理1、電腦登錄：實(shí)行1PC1密碼，用戶+密碼，密碼不能過(guò)于簡(jiǎn)單，使用數(shù)字+字母組合，不少于6位；2、系統(tǒng)登錄：同上，操作、審核帳號(hào)不相同，不共用，查詢帳號(hào)可共用；3、電腦實(shí)行鎖屛管理，超2分鐘自動(dòng)鎖屛，可設(shè)置；4、文件服務(wù)器按權(quán)限分請(qǐng)讀、寫、列表；2、訪問(wèn)權(quán)限數(shù)據(jù)文件操作權(quán)限，系統(tǒng)審核權(quán)限，單據(jù)查看權(quán)限，公司需保密資料，防刪除防篡改，防病毒1、電腦權(quán)限：使用USER權(quán)限，特別審批部分人員的administrator權(quán)限；2、系統(tǒng)權(quán)限：開通操作、審核權(quán)限實(shí)行審批制，并清理離職人員和部門調(diào)動(dòng)人員的權(quán)限；3、機(jī)密資料不存放共享文件夾，不存放公共服務(wù)器里，并對(duì)文件作加密處理；4、超4小時(shí)的待機(jī)時(shí)間，應(yīng)關(guān)閉電腦和顯示器。3、數(shù)據(jù)保密性數(shù)據(jù)泄露的方式很多種，權(quán)限、USB、郵件、病毒1、與系統(tǒng)權(quán)限控制有關(guān)；關(guān)閉administrator權(quán)限；開能USER權(quán)限；2、與輸入輸出有關(guān)；3、關(guān)閉所有USB寫權(quán)限，針對(duì)特別需要讀寫權(quán)限需寫審請(qǐng)單；4、外發(fā)郵件限制附件大?。?、限制網(wǎng)絡(luò)共享，服務(wù)器共享夾按登錄權(quán)限授權(quán)；6、限制在ERP系統(tǒng)轉(zhuǎn)出檔案（如Excel檔）；4、數(shù)據(jù)完整性數(shù)據(jù)流程1、盡量避免后臺(tái)修改數(shù)據(jù)，要依流程退單撤單，或者財(cái)務(wù)平帳，或者倉(cāng)庫(kù)盤點(diǎn)；2、整合公司OA系統(tǒng)、人事考勤、薪資系統(tǒng)；保持?jǐn)?shù)據(jù)全系統(tǒng)一致性；3、可以設(shè)置ERP系統(tǒng)只能轉(zhuǎn)出PDF，防止修改；4、公司流程操作、審核、查詢系統(tǒng)化；5、IP唯一性上網(wǎng)權(quán)限,身份識(shí)別，財(cái)產(chǎn)安全1、IP地址與MAC地址綁定，與用戶權(quán)限綁定；2、使用IP地址，管控上網(wǎng)行為，管控登錄日志；3、IP與固定資產(chǎn)編號(hào)綁定；網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與解決方案網(wǎng)絡(luò)安全整體解決方案全文共13頁(yè)，當(dāng)前為第8頁(yè)。用戶操作系統(tǒng)層類別安全風(fēng)險(xiǎn)方案1、系統(tǒng)補(bǔ)丁安全漏洞，病毒入侵，系統(tǒng)變慢1、不是所有系統(tǒng)都需要自動(dòng)安裝系統(tǒng)補(bǔ)丁，默認(rèn)關(guān)閉，IT會(huì)通知更新包；2、IT技術(shù)人員第一次安裝時(shí)必須安裝必要的安全補(bǔ)?。?、殺毒軟件數(shù)據(jù)丟失，網(wǎng)絡(luò)癱瘓，系統(tǒng)變慢1、所有電腦都需要安裝殺毒軟件，并及時(shí)更新病毒庫(kù)；2、電腦啟動(dòng)時(shí)，自動(dòng)運(yùn)行垃圾清理包；3、硬件配置資產(chǎn)丟失，過(guò)失性破壞1、電腦編號(hào)納入固定資產(chǎn)管理；2、列電腦配置清單，年度部門盤點(diǎn)，部門負(fù)責(zé)制；3、機(jī)箱裝機(jī)處粘貼易碎紙，以防非IT人員隨意打開機(jī)箱；4、周邊易耗品實(shí)行以舊換新管理制度；4、數(shù)據(jù)備份數(shù)據(jù)丟失，數(shù)據(jù)損壞，災(zāi)難性恢復(fù)個(gè)人PC：1、系統(tǒng)第一次安裝完畢后，應(yīng)GHOST系統(tǒng)備份至D:盤；2、各部門在服務(wù)器建立以權(quán)限控制的部門資料夾，重要數(shù)據(jù)存放服務(wù)器；見(jiàn)服務(wù)器備份策略；3、關(guān)閉主機(jī)的自動(dòng)備份功能，以提高運(yùn)行速度；5、輸入與輸出USB，郵件，網(wǎng)頁(yè)，聊天軟件1、USB參考數(shù)據(jù)保密方案；2、嚴(yán)格管理郵件外發(fā)權(quán)限，限制附件大小，建議默認(rèn)1M，特殊的需申請(qǐng)；3、網(wǎng)頁(yè)瀏覽控制，限制網(wǎng)購(gòu)、游戲、色情、電影等網(wǎng)站；4、限制P2P/BT/磁力搜索和下載；5、列舉聊天軟件清單，限制直播類軟件；網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與解決方案網(wǎng)絡(luò)安全整體解決方案全文共13頁(yè)，當(dāng)前為第9頁(yè)。網(wǎng)絡(luò)/服務(wù)器類別安全風(fēng)險(xiǎn)方案1、設(shè)備冗余重要服務(wù)器的冗余PC機(jī)：1、IT部應(yīng)建立至少一臺(tái)PC整機(jī)的配件安全庫(kù)存；特指CPU、主板、內(nèi)存、硬盤，耗材除外；服務(wù)器：1、服務(wù)器硬盤建議做Raid1/5陣列，實(shí)現(xiàn)硬盤的冗余，確保主系統(tǒng)運(yùn)作正常；2、服務(wù)器主機(jī)系統(tǒng)兼容性要好，可以實(shí)現(xiàn)數(shù)據(jù)快速遷移（4H內(nèi)）；2、線路冗余線路主線的冗余，防老化，防斷裂，防長(zhǎng)距離信號(hào)衰減1、主干線采用抗老化、2組（或以上）線的方式搭建主網(wǎng)絡(luò)；2、可利用交換機(jī)，組成多層級(jí)的網(wǎng)絡(luò)架構(gòu)（8-24-24-8）；3、優(yōu)質(zhì)網(wǎng)線；3、路由器設(shè)置安全設(shè)置（VPN、NAT），WIFI設(shè)置，上網(wǎng)行為管理1、要定期更改動(dòng)態(tài)VPN和WIFI密碼；2、盡量少用NAT；3、使用上網(wǎng)行為管理控制和記錄上網(wǎng)行為；4、防火墻防御防入侵1、在服務(wù)器（軟件）和路由器（硬件）上設(shè)置防火墻，有選擇的接受外部訪問(wèn)；2、屏蔽服務(wù)器的80\21\等常用端口；5、機(jī)房安全灰塵、溫度、工作垃圾都會(huì)影響服務(wù)器的壽命和安全1、機(jī)房只存放與服務(wù)器、路由器有關(guān)的設(shè)施；2、每周至少做一次機(jī)房?jī)?nèi)部清潔；3、確保機(jī)房處于恒溫20－22度；4、機(jī)房門口要有滅火器；5、檢查動(dòng)力接線是否規(guī)范，防止電力線老化、破皮；6、備份界質(zhì)移動(dòng)備份界質(zhì)安全服務(wù)器：1、每天的主數(shù)據(jù)文件差異備份，備份文件實(shí)行服務(wù)器交叉存儲(chǔ)；2、每周的主數(shù)據(jù)文件完全備份，備份文件實(shí)行USB外接存儲(chǔ)，地點(diǎn)在機(jī)房；3、每月的主數(shù)據(jù)文件完全備份，包括每周備份記錄，實(shí)行USB外接存儲(chǔ)，地點(diǎn)是機(jī)房外；7、監(jiān)控機(jī)制人為破壞形為、其它非正常災(zāi)難1、24H的監(jiān)控系統(tǒng)；2、監(jiān)控系統(tǒng)的30天備份記錄，以備查詢；網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與解決方案網(wǎng)絡(luò)安全整體解決方案全文共13頁(yè)，當(dāng)前為第10頁(yè)。安全機(jī)制和技術(shù)鑒別加密訪問(wèn)控制安全管理病毒防范數(shù)字簽名鏈路加密機(jī)IP協(xié)議加密機(jī)郵件加密文件加密防火墻遠(yuǎn)程用戶鑒別系統(tǒng)