网络信息安全规划方案.docx
《网络信息安全规划方案.docx》由会员分享,可在线阅读,更多相关《网络信息安全规划方案.docx(13页珍藏版)》请在冰豆网上搜索。
网络信息安全规划方案
网络信息安全规划方案
制作人:
XXX
日期:
2018年4月5日
1、网络信息安全概述、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、3
1、1网络信息安全的概念、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、3
1、2网络信息安全风险分析、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、3
2、需求分析、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、4
2、1现有网络拓扑图、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、4
2、2规划需求、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、4
3、解决方案、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、5
3、1防火墙方案、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、5
3、2上网行为管理方案、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、6
3、3三层交换机方案、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、6
3、4域控管理方案、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、7
3、5企业杀毒方案、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、11
3、6数据文件备份方案、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、15
4、设备清单、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、16
5、实施计划、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、16
Ø1、网络信息安全概述
1、1网络信息安全的概念
网络信息安全就是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或就是恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络信息安全从广义来说,凡就是设计到网络上信息的保密性、完整性、可用性真实性与可控性的相关安全都属于网络信息安全范畴;从网络运行与管理者角度说,网络信息安全就是避免企业网络信息出现病毒、非法读取、拒绝服务、网络资源非法占用与非法控制等威胁,制止与防御网络黑客的攻击,保障网络正常运行;从社会与意识形态来讲,企业访问网络中不健康的内容,反社会的稳定及人类发展的言论等,属于国家明文禁止的,必须对其进行管控。
1、2网络信息安全风险分析
企业局域网就是一个信息点较多的百兆或千兆局域网络系统,它所连接的上百个信息点为企业内部各部门办公提供了一个快速方便的信息交流平台,以及与互联网通讯、沟通、交流的开放式平台。
企业局域网存在以下安全风险:
●局域网与Internet之间的相互访问,没有专有设备对其进、出数据包进行分析、筛选及过滤,存在大量的垃圾数据包,造成网络拥堵及瘫痪。
●内部应用服务器发布到公网中使用,在Internet外部环境下,存在被不法分子攻击、入侵及篡改企业安全数据信息。
●企业内部终端在无约束条件下,随意访问、下载网络上的资源,其中大量的网络资源没有经过安全验证,可能带有病毒、以及资源版权纠纷等问题。
●企业内部网络环境在没有做流控管理的情况下,造成一部分人占用大部分网络资源,而其她人无法使用网络资源正常办公,不利于企业所有人员使用网络资源正常办公。
●企业内部终端在无行为管理情况下,若访问带有宗教信仰、反人类、反政治等网站,以及个人发布不恰当的言论等,企业需承担网络提供者的连带责任。
●企业内部终端电脑无管控情况下,用户私自安装、卸载未经批准的软件,私自拷贝企业机密文件,篡改电脑信息,给企业带来经济损失等等。
●企业内部终端无杀毒软件防护,在网络开放时代,易于感染钓鱼、勒索等病毒。
且企业局域网处于一个网络环境下,病毒可扩散到全公司电脑。
●企业中重要数据文件的保护与备份机制,数据文件存在被内部人员私自删除、病毒入侵干扰以及天灾造成的数据损坏及丢失。
Ø2、需求分析
2、1现有网络拓扑图
2、2规划需求
●加强Internet对企业内部应用服务器的访问,通过服务访问规则策略、验证工具、包过滤与应用网关等管控,从而保证内部网免受外部非法用户及病毒的入侵。
●建立总部与工厂之间的安全、加密的虚拟专用网互相访问认证机制。
●针对用户使用网络访问Internet资源的管控,建立安全、合法的访问规则以及流控的管理,让所有用户正常使用网络办公。
●内部网络的vlan的划分,避免局部广播风暴造成的整体网络瘫痪。
●加强对用户电脑账户密码的管理以及共享文件夹的分级权限管理,限制用户私自安装、卸载软件,修改注册表、IP,U盘使用权限管理。
●建立企业杀毒管理方案,通过局域网定时批量更新计算机病毒库,保障所有电脑及数据免受病毒侵犯。
●对公司服务器上各部门重要的数据文件,尤其就是研发的设计、专利文件,进行异地备份。
Ø3、解决方案
3、1防火墙方案
目前总部ISP接入带宽为上行8M,下行200M拨号光纤,工厂两条ISP接入,一条为上下对等10M城域网(含公网静态IP),另一条为上行8M,下行为200M拨号光纤,两地通过IPSECVPN虚拟专用隧道互相通讯。
且总部有外贸、电商、市场、营销等对网络资源要求较高的部门。
建议采用集成具备防火墙、IPSECVPN、SSLVPN、防病毒、IPS入侵检测、双ISP接入等多种安全引擎功能的防火墙。
针对防火墙做如下规则防护:
●启用IPS入侵检测,监视网络及网络设备不正常或不安全的网络传输行为及时中断、调整或隔离。
●IDS对异常、入侵行为等深层次侵略的数据进行检测与预警,中断外部异常连接。
●内部Trust对访问外部Untrust的数据包,根据TCP、UDP、dns或就是端口号的服务规则进行策略管控。
●内部服务器端口映射出公网地址,针对外部Untrust对该服务器的公网地址访问,根据服务规则、端口号等进行安全准入判断。
●通过防火墙IPSECVPN功能,建立总部与工厂之间的虚拟安全专用隧道,规范两地间电脑只能访问对方的服务器网段,禁止其她电脑之间互相访问。
3、2上网行为管理方案
上网行为管理设备具有流控管理、访问控制管理、入侵检测管理、安全审计管理等功能。
防范非法用户非法访问、防范合法用户非授权访问,节省网络资源的流失,保障用户合理合法的访问外部资源信息。
相关规范如下:
●根据ISP提供商提供的带宽资源,合理规范流控设置,如每用户限制最大上行2M,下行4M,保障了用户均分网络资源,正常办公。
●对准入终端绑定IP与MAC地址,禁止非法终端准入。
●对不同部门不用应用制定不同的访问授权,如人事部访问招聘、社保等政企网站;电商部访问购物、电商网站;财务部访问网银等网站授权。
●禁止所有用户使用除公司指定之外的网盘,防止公司数据文件外泄。
●禁止所有用户使用公司指定之外的邮件系统,防止公司数据文件外泄。
●禁止所有用户利用公司网络资源访问娱乐影音、游戏、代理木马、宗教信仰等网站。
●对所有准入用户实行安全审计、日志记录功能。
3、3三层交换机方案
出于安全与管理方便的考虑,主要为了减小广播风暴造成的影响访问,必须将大型局域网按功能或地域等因素划分成多个小局域网,三层交换机vlan功能将大型的局域网划分成多个广播域,降低了广播风暴的危害,同时又保证了整个网络之间不同vlan之间的互相通信。
●根据目前公司的网络架构,在不变更服务器IP地址的前提下,将vlan规划如下表:
序号
网段
标示
备注
01
192、168、1、0/24
服务器网段
02
192、168、2、0/24
有线网段
03
192、168、3、0/24
无线网段
后续可根据实际需求制定ACL,禁止访问其她网段
●规划后网络架构拓扑图:
3、4域控管理方案
AD域控主要作用就是权限集中化管理、资源同步共享优化。
控制用户登录权限,保障内网信息安全,安全性高;有利于企业的一些保密资料的管理,比如一个文件只能让某一个人瞧,或者指定人员可以瞧,但不可以删/改/移等;对软件及其她共享可以集中发布,减少管理的工作量。
●OU单位组织、用户账号密码(账号为“部门代码+四位数流水号”,默认DomainUser权限,无法安装、卸载软件)及用户账号对共享文件的权限(分别为“只读”、“编辑”、“完全控制”权限)规划。
序号
OU名称
描述
备注
01
OFFICE_USER
所有域账号管理
02
OFFICE_COMPUTER
所有加域计算机管理
03
OFFICE_SHARE
所有文件共享权限
序号
部门名称
部门代码
备注
01
总经办
GM
02
财务部
FIN
03
人力资源部
HR
04
行政部
AD
05
市场部
MKT
06
大海外区
IM
07
大中华区
DM
08
电商部
EC
09
研发部
RD
10
产品部
MFG
11
物流部
LOG
12
设计部
DES
13
营销部
SALES
序号
共享权限名称
描述
备注
01
File_All
对file文件拥有完全控制权
02
File_Write
对file文件拥有编辑权
03
File_Read
对file文件只有只读权
●组策略的建立
序号
策略名称
描述
备注
01
CloseFireWall
关闭系统自带防火墙
02
DefaultDomainControllersPolicy
修改域账号密码规则,密码长度为6位数,四个月提示修改一次密码
03
DenyFileShare
禁止用户私自共享文件夹
04
DenyCD/DVD
禁止使用移动光驱
05
DenyFloppy
禁止使用软驱
06
DenyRegedit
禁止访问与修改注册表
07
DenySettingne