网络信息安全规划方案样本.docx

网络信息安全规划方案样本.docx

《网络信息安全规划方案样本.docx》由会员分享，可在线阅读，更多相关《网络信息安全规划方案样本.docx（14页珍藏版）》请在冰豆网上搜索。

网络信息安全规划方案样本

网络信息安全规划方案

制作人:

XXX

日期:

4月5日

1.网络信息安全概述.....................................................................3

1.1网络信息安全概念...........................................................3

1.2网络信息安全风险分析.......................................................3

2.需求分析.......................................................................................4

2.1既有网络拓扑图....................................................................4

2.2规划需求................................................................................4

3.解决方案......................................................................................5

3.1防火墙方案............................................................................5

3.2上网行为管理方案................................................................6

3.3三层互换机方案....................................................................6

3.4域控管理方案........................................................................7

3.5公司杀毒方案.......................................................................11

3.6数据文献备份方案..............................................................15

4.设备清单......................................................................................16

5.实行筹划......................................................................................16

Ø1.网络信息安全概述

1.1网络信息安全概念

网络信息安全是指网络系统硬件、软件及其系统中数据受到保护，不受偶然或是恶意因素而遭到破坏、更改、泄露，系统持续可靠正常地运营，网络服务不中断。

网络信息安全从广义来说，凡是设计到网络上信息保密性、完整性、可用性真实性和可控性有关安全都属于网络信息安全范畴;从网络运营和管理者角度说，网络信息安全是避免公司网络信息浮现病毒、非法读取、回绝服务、网络资源非法占用和非法控制等威胁，制止和防御网络黑客袭击，保障网络正常运营;从社会和意识形态来讲，公司访问网络中不健康内容，反社会稳定及人类发展言论等，属于国家明文禁止，必要对其进行管控。

1.2网络信息安全风险分析

公司局域网是一种信息点较多百兆或千兆局域网络系统，它所连接上百个信息点为公司内部各部门办公提供了一种迅速以便信息交流平台，以及与互联网通讯、沟通、交流开放式平台。

公司局域网存在如下安全风险：

●局域网与Internet之间互相访问，没有专有设备对其进、出数据包进行分析、筛选及过滤，存在大量垃圾数据包，导致网络拥堵及瘫痪。

●内部应用服务器发布到公网中使用，在Internet外部环境下，存在被不法分子袭击、入侵及篡改公司安全数据信息。

●公司内部终端在无约束条件下，随意访问、下载网络上资源，其中大量网络资源没有通过安全验证，也许带有病毒、以及资源版权纠纷等问题。

●公司内部网络环境在没有做流控管理状况下，导致一某些人占用大某些网络资源，而其她人无法使用网络资源正常办公，不利于公司所有人员使用网络资源正常办公。

●公司内部终端在无行为管理状况下，若访问带有宗教信奉、反人类、反政治等网站，以及个人发布不恰当言论等，公司需承担网络提供者连带责任。

●公司内部终端电脑无管控状况下，顾客擅自安装、卸载未经批准软件，擅自拷贝公司机密文献，篡改电脑信息，给公司带来经济损失等等。

●公司内部终端无杀毒软件防护，在网络开放时代，易于感染钓鱼、勒索等病毒。

且公司局域网处在一种网络环境下，病毒可扩散到全公司电脑。

●公司中重要数据文献保护与备份机制，数据文献存在被内部人员擅自删除、病毒入侵干扰以及天灾导致数据损坏及丢失。

Ø2.需求分析

2.1既有网络拓扑图

2.2规划需求

●加强Internet对公司内部应用服务器访问，通过服务访问规则方略、验证工具、包过滤和应用网关等管控，从而保证内部网免受外部非法顾客及病毒入侵。

●建立总部与工厂之间安全、加密虚拟专用网互相访问认证机制。

●针对顾客使用网络访问Internet资源管控，建立安全、合法访问规则以及流控管理，让所有顾客正常使用网络办公。

●内部网络vlan划分，避免局部广播风暴导致整体网络瘫痪。

●加强对顾客电脑账户密码管理以及共享文献夹分级权限管理，限制顾客擅自安装、卸载软件，修改注册表、IP，U盘使用权限管理。

●建立公司杀毒管理方案，通过局域网定期批量更新计算机病毒库，保障所有电脑及数据免受病毒侵犯。

●对公司服务器上各部门重要数据文献，特别是研发设计、专利文献，进行异地备份。

Ø3.解决方案

3.1防火墙方案

当前总部ISP接入带宽为上行8M,下行200M拨号光纤，工厂两条ISP接入，一条为上下对等10M城域网（含公网静态IP），另一条为上行8M，下行为200M拨号光纤，两地通过IPSECVPN虚拟专用隧道互相通讯。

且总部有外贸、电商、市场、营销等对网络资源规定较高部门。

建议采用集成具备防火墙、IPSECVPN、SSLVPN、防病毒、IPS入侵检测、双ISP接入等各种安全引擎功能防火墙。

针对防火墙做如下规则防护：

●启用IPS入侵检测，监视网络及网络设备不正常或不安全网络传播行为及时中断、调节或隔离。

●IDS对异常、入侵行为等深层次侵略数据进行检测和预警，中断外部异常连接。

●内部Trust对访问外部Untrust数据包，依照TCP、UDP、dns或是端标语服务规则进行方略管控。

●内部服务器端口映射出公网地址，针对外部Untrust对该服务器公网地址访问，依照服务规则、端标语等进行安全准入判断。

●通过防火墙IPSECVPN功能，建立总部与工厂之间虚拟安全专用隧道，规范两地间电脑只能访问对方服务器网段，禁止其她电脑之间互相访问。

3.2上网行为管理方案

上网行为管理设备具备流控管理、访问控制管理、入侵检测管理、安全审计管理等功能。

防范非法顾客非法访问、防范合法顾客非授权访问，节约网络资源流失，保障顾客合理合法访问外部资源信息。

有关规范如下：

●依照ISP提供商提供带宽资源，合理规范流控设立，如每顾客限制最大上行2M,下行4M，保障了顾客均分网络资源，正常办公。

●对准入终端绑定IP与MAC地址，禁止非法终端准入。

●对不同部门不用应用制定不同访问授权，如人事部访问招聘、社保等政企网站;电商部访问购物、电商网站;财务部访问网银等网站授权。

●禁止所有顾客使用除公司指定之外网盘，防止公司数据文献外泄。

●禁止所有顾客使用公司指定之外邮件系统，防止公司数据文献外泄。

●禁止所有顾客运用公司网络资源访问娱乐影音、游戏、代理木马、宗教信奉等网站。

●对所有准入顾客实行安全审计、日记记录功能。

3.3三层互换机方案

出于安全和管理以便考虑，重要为了减小广播风暴导致影响访问，必要将大型局域网按功能或地区等因素划提成各种小局域网，三层互换机vlan功能将大型局域网划提成各种广播域，减少了广播风暴危害，同步又保证了整个网络之间不同vlan之间互相通信。

●依照当前公司网络架构，在不变更服务器IP地址前提下，将vlan规划如下表：

序号

网段

标示

备注

01

192.168.1.0/24

服务器网段

02

192.168.2.0/24

有线网段

03

192.168.3.0/24

无线网段

后续可依照实际需求制定ACL，禁止访问其她网段

●规划后网络架构拓扑图：

3.4域控管理方案

AD域控重要作用是权限集中化管理、资源同步共享优化。

控制顾客登录权限，保障内网信息安全，安全性高;有助于公司某些保密资料管理，例如一种文献只能让某一种人看,或者指定人员可以看,但不可以删/改/移等;对软件及其她共享可以集中发布，减少管理工作量。

●OU单位组织、顾客账号密码（账号为“部门代码+四位数流水号”，默认DomainUser权限，无法安装、卸载软件）及顾客账号对共享文献权限（分别为“只读”、“编辑”、“完全控制”权限）规划。

序号

OU名称

描述

备注

01

OFFICE_USER

所有域账号管理

02

OFFICE_COMPUTER

所有加域计算机管理

03

OFFICE_SHARE

所有文献共享权限

序号

部门名称

部门代码

备注

01

总经办

GM

02

财务部

FIN

03

人力资源部

HR

04

行政部

AD

05

市场部

MKT

06

大海外区

IM

07

大中华区

DM

08

电商部

EC

09

研发部

RD

10

产品部

MFG

11

物流部

LOG

12

设计部

DES

13

营销部

SALES

序号

共享权限名称

描述

备注

01

File_All

对file文献拥有完全控制权

02

File_Write

对file文献拥有编辑权

03

File_Read

对file文献只有只读权

●组方略建立

序号

方略名称

描述

备注

01

CloseFireWall

关闭系统自带防火墙

02

DefaultDomainControllersPolicy

修改域账号密码规则，密码长度为6位数，四个月提示修改一次密码

03

DenyFileShare

禁止顾客擅自共享文献夹

04

DenyCD/DVD

禁止使用移动光驱

05

DenyFloppy

禁止使用软驱

06

DenyRegedit

禁止访问和修改注册表

07

DenySettingnetwork

禁止擅自修改网络连接属性

08

DenyUSB

禁止使用U盘

09

Grouppolicyrefreshtime

设立组方略生效刷新时间

10

Denyrunbatscripts

禁止运营bat脚本文献

●DHCP服务自动分发IP地址（IP与MAC地址绑定，防止外部电脑接入获得IP地址）

3.5公司杀毒方案

当前我公司既有局域网办公电脑230左右，系统有win7旗舰版、win10公司版、等等，系统漏洞补丁包更新不完善，且办公电脑U盘为开放状态。

办公电脑采用360杀毒软件为一款免费个人杀毒软件，病毒库更新需要联网更新或每台逐渐手动离线更新。

公司杀毒软件通过Internet更新病毒库时占用大量网络资源，且夹带太多附属产品，如360安全卫士、360软件管家、360浏览器等等，占用电脑硬件资源。

针对这些问题通过NOD32公司杀毒软件解决。

●安装包较小，安装迅速，配备导入，无需每台手动设立。

●界面简洁，具备惯用防护及个人防火墙

●病毒库更新筹划

●密码保护，防止擅自卸载

●邮件客户端集成，防止病毒垃圾邮件

●局域网IIS服务器更新病毒库

3.6数据文献备份方案

数据文献安全是一种公司中非常重要课题，数据备份任务与意义就在于，当劫难发生后，通过备份数据完整、迅速、简捷、可靠地恢复原有系统。

备份方式又诸多，其中最普通为从一种硬盘拷贝到另一种硬盘中，或是通过脚本定期将文献拷贝到其她电脑上。

但这些方式都是只是将数据文献存储在局域网另一台电脑上，依然不可避免是病毒感染、物理机或是硬盘故障等等因素导致损失。

针对此，老式公司选取磁带机备份方式，每周通过完整备份、每天差别备份等各种备份机制将数据文献备份到磁带上，从而有效完毕了异地备份方案，保障了数据安全性。

Ø4.设备清单

序号

设备名称

品牌比较

备注

01

防火墙

山石

02

华为

03

上网行为管理设备

深信服

04

网康

05

杀毒服务器

普通PC机

Ø5.实行筹划

序号（优先级从上往下）

方案

备注

01

安装杀毒服务

02

电脑加域及安装杀毒软件

03

启用三层互换机并做DHCP,IP与mac地址绑定

04

上网行为管理实行

05

搭建防火墙设备