网络信息安全规划方案样本.docx

1、网络信息安全规划方案样本网络信息安全规划方案制作人:XXX日期:4月5日1. 网络信息安全概述. 3 1.1 网络信息安全概念. 3 1.2 网络信息安全风险分析. 32. 需求分析. 4 2.1 既有网络拓扑图. 4 2.2 规划需求. 43. 解决方案. 5 3.1 防火墙方案. 5 3.2 上网行为管理方案. 6 3.3 三层互换机方案. 6 3.4 域控管理方案. 7 3.5 公司杀毒方案. 11 3.6 数据文献备份方案. 154. 设备清单. 165. 实行筹划. 161. 网络信息安全概述 1.1 网络信息安全概念 网络信息安全是指网络系统硬件、软件及其系统中数据受到保护，不受偶

2、 然或是恶意因素而遭到破坏、更改、泄露，系统持续可靠正常地运营，网络服务 不中断。 网络信息安全从广义来说，凡是设计到网络上信息保密性、完整性、可用性 真实性和可控性有关安全都属于网络信息安全范畴;从网络运营和管理者角度说， 网络信息安全是避免公司网络信息浮现病毒、非法读取、回绝服务、网络资源非法 占用和非法控制等威胁，制止和防御网络黑客袭击，保障网络正常运营;从社会 和意识形态来讲，公司访问网络中不健康内容，反社会稳定及人类发展言论 等，属于国家明文禁止，必要对其进行管控。1.2 网络信息安全风险分析 公司局域网是一种信息点较多百兆或千兆局域网络系统，它所连接上百个信息点为公司内部各部门办公

3、提供了一种迅速以便信息交流平台，以及与互联网通讯、沟通、交流开放式平台。公司局域网存在如下安全风险：局域网与Internet之间互相访问，没有专有设备对其进、出数据包进行分析、筛选及过滤，存在大量垃圾数据包，导致网络拥堵及瘫痪。内部应用服务器发布到公网中使用，在Internet外部环境下，存在被不法分子袭击、入侵及篡改公司安全数据信息。公司内部终端在无约束条件下，随意访问、下载网络上资源，其中大量网络资源没有通过安全验证，也许带有病毒、以及资源版权纠纷等问题。公司内部网络环境在没有做流控管理状况下，导致一某些人占用大某些网络资源，而其她人无法使用网络资源正常办公，不利于公司所有人员使用网络资源

4、正常办公。公司内部终端在无行为管理状况下，若访问带有宗教信奉、反人类、反政治等网站，以及个人发布不恰当言论等，公司需承担网络提供者连带责任。公司内部终端电脑无管控状况下，顾客擅自安装、卸载未经批准软件，擅自拷贝公司机密文献，篡改电脑信息，给公司带来经济损失等等。公司内部终端无杀毒软件防护，在网络开放时代，易于感染钓鱼、勒索等病毒。且公司局域网处在一种网络环境下，病毒可扩散到全公司电脑。公司中重要数据文献保护与备份机制，数据文献存在被内部人员擅自删除、病毒入侵干扰以及天灾导致数据损坏及丢失。2. 需求分析 2.1 既有网络拓扑图 2.2 规划需求加强Internet对公司内部应用服务器访问，通过

5、服务访问规则方略、验证工具、包过滤和应用网关等管控，从而保证内部网免受外部非法顾客及病毒入侵。 建立总部与工厂之间安全、加密虚拟专用网互相访问认证机制。针对顾客使用网络访问Internet资源管控，建立安全、合法访问规则以及流控管理，让所有顾客正常使用网络办公。内部网络vlan划分，避免局部广播风暴导致整体网络瘫痪。加强对顾客电脑账户密码管理以及共享文献夹分级权限管理，限制顾客擅自安装、卸载软件，修改注册表、IP，U盘使用权限管理。建立公司杀毒管理方案，通过局域网定期批量更新计算机病毒库，保障所有电脑及数据免受病毒侵犯。对公司服务器上各部门重要数据文献，特别是研发设计、专利文献，进行异地备份。

6、3. 解决方案 3.1 防火墙方案 当前总部ISP接入带宽为上行8M,下行200M拨号光纤，工厂两条ISP接入，一条为上下对等10M城域网（含公网静态IP），另一条为上行8M，下行为200M拨号光纤，两地通过IPSEC VPN虚拟专用隧道互相通讯。且总部有外贸、电商、市场、营销等对网络资源规定较高部门。建议采用集成具备防火墙、IPSEC VPN、SSL VPN、防病毒、IPS入侵检测、双ISP接入等各种安全引擎功能防火墙。针对防火墙做如下规则防护：启用IPS入侵检测，监视网络及网络设备不正常或不安全网络传播行为及时中断、调节或隔离。IDS对异常、入侵行为等深层次侵略数据进行检测和预警，中断外部

7、异常连接。内部Trust对访问外部Untrust数据包，依照TCP、UDP、dns或是端标语服务规则进行方略管控。内部服务器端口映射出公网地址，针对外部Untrust对该服务器公网地址访问，依照服务规则、端标语等进行安全准入判断。通过防火墙IPSEC VPN功能，建立总部与工厂之间虚拟安全专用隧道，规范两地间电脑只能访问对方服务器网段，禁止其她电脑之间互相访问。 3.2上网行为管理方案 上网行为管理设备具备流控管理、访问控制管理、入侵检测管理、安全审计管理等功能。防范非法顾客非法访问、防范合法顾客非授权访问，节约网络资源流失，保障顾客合理合法访问外部资源信息。有关规范如下：依照ISP提供商提供

8、带宽资源，合理规范流控设立，如每顾客限制最大上行2M,下行4M，保障了顾客均分网络资源，正常办公。对准入终端绑定IP与MAC地址，禁止非法终端准入。对不同部门不用应用制定不同访问授权，如人事部访问招聘、社保等政企网站;电商部访问购物、电商网站;财务部访问网银等网站授权。禁止所有顾客使用除公司指定之外网盘，防止公司数据文献外泄。禁止所有顾客使用公司指定之外邮件系统，防止公司数据文献外泄。禁止所有顾客运用公司网络资源访问娱乐影音、游戏、代理木马、宗教信奉等网站。对所有准入顾客实行安全审计、日记记录功能。 3.3三层互换机方案 出于安全和管理以便考虑，重要为了减小广播风暴导致影响访问，必要将大型局域

9、网按功能或地区等因素划提成各种小局域网，三层互换机vlan功能将大型局域网划提成各种广播域，减少了广播风暴危害，同步又保证了整个网络之间不同vlan之间互相通信。依照当前公司网络架构，在不变更服务器IP地址前提下，将vlan规划如下表：序号网段标示备注01192.168.1.0/24服务器网段02192.168.2.0/24有线网段03192.168.3.0/24无线网段后续可依照实际需求制定ACL，禁止访问其她网段规划后网络架构拓扑图： 3.4 域控管理方案 AD域控重要作用是权限集中化管理、资源同步共享优化。控制顾客登录权限，保障内网信息安全，安全性高;有助于公司某些保密资料管理，例如一种

10、文献只能让某一种人看,或者指定人员可以看,但不可以删/改/移等;对软件及其她共享可以集中发布，减少管理工作量。OU单位组织、顾客账号密码（账号为“部门代码+四位数流水号”，默认Domain User权限，无法安装、卸载软件）及顾客账号对共享文献权限（分别为“只读”、“编辑”、“完全控制”权限）规划。序号OU名称描述备注01OFFICE_USER所有域账号管理02OFFICE_COMPUTER所有加域计算机管理03OFFICE_SHARE所有文献共享权限序号部门名称部门代码备注01总经办GM02财务部FIN03人力资源部HR04行政部AD05市场部MKT06大海外区IM07大中华区DM08电商部

11、EC09研发部RD10产品部MFG11物流部LOG12设计部DES13营销部SALES序号共享权限名称描述备注01File_All对file文献拥有完全控制权02File_Write对file文献拥有编辑权03File_Read对file文献只有只读权组方略建立序号方略名称描述备注01Close FireWall关闭系统自带防火墙02Default Domain Controllers Policy修改域账号密码规则，密码长度为6位数，四个月提示修改一次密码03Deny FileShare禁止顾客擅自共享文献夹04Deny CD/DVD禁止使用移动光驱05Deny Floppy禁止使用软驱06

12、Deny Regedit禁止访问和修改注册表07Deny Setting network禁止擅自修改网络连接属性08Deny USB禁止使用U盘09Group policy refresh time设立组方略生效刷新时间10Deny run bat scripts禁止运营bat脚本文献DHCP服务自动分发IP地址(IP与MAC地址绑定，防止外部电脑接入获得IP地址) 3.5 公司杀毒方案 当前我公司既有局域网办公电脑230 左右，系统有win 7 旗舰版、win 10公司版、 等等，系统漏洞补丁包更新不完善，且办公电脑U 盘 为开放状态。办公电脑采用 360 杀毒软件为一款免费个人杀毒软件，病

13、毒库更新需要联网更新或每台逐渐手动 离线更新。公司杀毒软件通过Internet更新病毒库时占用大量网络资源，且夹带太多 附属产品，如360安全卫士、360软件管家、360浏览器等等，占用电脑硬件资源。 针对这些问题通过NOD32公司杀毒软件解决。安装包较小，安装迅速，配备导入，无需每台手动设立。界面简洁，具备惯用防护及个人防火墙病毒库更新筹划密码保护，防止擅自卸载邮件客户端集成，防止病毒垃圾邮件局域网IIS 服务器更新病毒库 3.6 数据文献备份方案 数据文献安全是一种公司中非常重要课题，数据备份任务与意义就在于，当劫难发生后，通过备份数据完整、迅速、简捷、可靠地恢复原有系统。备份方式又诸多，

14、其中最普通为从一种硬盘拷贝到另一种硬盘中，或是通过脚本定期将文献拷贝到其她电脑上。但这些方式都是只是将数据文献存储在局域网另一台电脑上，依然不可避免是病毒感染、物理机或是硬盘故障等等因素导致损失。针对此，老式公司选取磁带机备份方式，每周通过完整备份、每天差别备份等各种备份机制将数据文献备份到磁带上，从而有效完毕了异地备份方案，保障了数据安全性。4. 设备清单序号设备名称品牌比较备注01防火墙山石02华为03上网行为管理设备深信服04网康05杀毒服务器普通PC机5. 实行筹划序号（优先级从上往下）方案备注01安装杀毒服务02电脑加域及安装杀毒软件03启用三层互换机并做DHCP,IP与mac地址绑定04上网行为管理实行05搭建防火墙设备