版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
**欧阳光明*创编2021.03.07**欧阳光明*创编2021.03.07**欧阳光明*创编2021.03.07网络信息安全规划方案欧阳光明(2021.03.07)制作人:XXX日期:4月5日目录TOC\o"1-5"\h\z1.网络信息安全概述31.1网络信息安全的概念3网络信息安全风险分析32.需求分析42.1现有网络拓扑图42.2规划需求43.解决方案53.1防火墙方案53.2上网行为管理方案63.3三层交换机方案63.4域控管理方案73.5企业杀毒方案113.6数据文件备份方案154.设备清单165.实施计划161.网络信息安全概述2021.03.072021.03.072021.03.072021.03.07**欧阳光明*创编2021.03.07**欧阳光明*创编2021.03.07*欧阳光明*创编1.1网络信息安全的概念网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或是恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络信息安全从广义来说,凡是设计到网络上信息的保密性、完整性、可用性真实性和可控性的相关安全都属于网络信息安全范畴;从网络运行和管理者角度说,网络信息安全是避免企业网络信息出现病毒、非法读取、拒绝服务、网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击,保障网络正常运行;从社会和意识形态来讲,企业访问网络中不健康的内容,反社会的稳定及人类发展的言论等,属于国家明文禁止的,必须对其进行管控。网络信息安全风险分析企业局域网是一个信息点较多的百兆或千兆局域网络系统,它所连接的上百个信息点为企业内部各部门办公提供了一个快速方便的信息交流平台,以及与互联网通讯、沟通、交流的开放式平台。企业局域网存在以下安全风险:•局域网与Internet之间的相互访问,没有专有设备对其进、出数据包进行分析、筛选及过滤,存在大量的垃圾数据包,造成网络拥堵及瘫痪。内部应用服务器发布到公网中使用,在Internet外部环境下,存在被不法分子攻击、入侵及篡改企业安全数据信息。企业内部终端在无约束条件下,随意访问、下载网络上的资**欧阳光明*创编2021.03.07**欧阳光明*创编2021.03.07**欧阳光明*创编2021.03.07源,其中大量的网络资源没有经过安全验证,可能带有病毒、以及资源版权纠纷等问题。•企业内部网络环境在没有做流控管理的情况下,造成一部分人占用大部分网络资源,而其他人无法使用网络资源正常办公,不利于企业所有人员使用网络资源正常办公。企业内部终端在无行为管理情况下,若访问带有宗教信仰、反人类、反政治等网站,以及个人发布不恰当的言论等,企业需承担网络提供者的连带责任。企业内部终端电脑无管控情况下,用户私自安装、卸载未经批准的软件,私自拷贝企业机密文件,篡改电脑信息,给企业带来经济损失等等。企业内部终端无杀毒软件防护,在网络开放时代,易于感染钓鱼、勒索等病毒。且企业局域网处于一个网络环境下,病毒可扩散到全公司电脑。企业中重要数据文件的保护与备份机制,数据文件存在被内部人员私自删除、病毒入侵干扰以及天灾造成的数据损坏及丢失。A2.需求分析2.1现有网络拓扑图2.2规划需求•加强Internet对企业内部应用服务器的访问,通过服务访问规则策略、验证工具、包过滤和应用网关等管控,从而保证内部网免受外部非法用户及病毒的入侵。*欧阳光明*创编2021.03.07•建立总部与工厂之间的安全、加密的虚拟专用网互相访问认证机制。针对用户使用网络访问Internet资源的管控,建立安全、合法的访问规则以及流控的管理,让所有用户正常使用网络办公。内部网络的vlan的划分,避免局部广播风暴造成的整体网络瘫痪。加强对用户电脑账户密码的管理以及共享文件夹的分级权限管理,限制用户私自安装、卸载软件,修改注册表、IP,U盘使用权限管理。建立企业杀毒管理方案,通过局域网定时批量更新计算机病毒库,保障所有电脑及数据免受病毒侵犯。对公司服务器上各部门重要的数据文件,尤其是研发的设计、专利文件,进行异地备份。>3.解决方案3.1防火墙方案目前总部ISP接入带宽为上行8M,下行200M拨号光纤,工厂两条ISP接入,一条为上下对等10M城域网(含公网静态IP),另一条为上行8M,下行为200M拨号光纤,两地通过IPSECVPN虚拟专用隧道互相通讯。且总部有外贸、电商、市场、营销等对网络资源要求较高的部门。建议采用集成具备防火墙、IPSECVPN、SSLVPN、防病毒、IPS入侵检测、双ISP接入等多种安全引擎功能的防火墙。针对防火墙做如下规则防护:•启用IPS入侵检测,监视网络及网络设备不正常或不安全的网络传输行为及时中断、调整或隔离。IDS对异常、入侵行为等深层次侵略的数据进行检测和预警,中断外部异常连接。•内部Trust对访问外部Untrust的数据包,根据TCP、UDP、dns或是端□号的服务规则进行策略管控。•内部服务器端□映射出公网地址,针对外部Untrust对该服务器的公网地址访问,根据服务规则、端□号等进行安全准入判断。通过防火墙IPSECVPN功能,建立总部与工厂之间的虚拟安全专用隧道,规范两地间电脑只能访问对方的服务器网段,禁止其他电脑之间互相访问。上网行为管理方案上网行为管理设备具有流控管理、访问控制管理、入侵检测管理、安全审计管理等功能。防范非法用户非法访问、防范合法用户非授权访问,节省网络资源的流失,保障用户合理合法的访问外部资源信息。相关规范如下:•根据ISP提供商提供的带宽资源,合理规范流控设置,如每用户限制最大上行2M,下行4M,保障了用户均分网络资源,正常办公。•对准入终端绑定IP与MAC地址,禁止非法终端准入。对不同部门不用应用制定不同的访问授权,如人事部访问招聘、社保等政企网站;电商部访问购物、电商网站;财务部访2021.03.072021.03.072021.03.072021.03.07**欧阳光明*创编2021.03.07**欧阳光明*创编2021.03.07*欧阳光明*创编问网银等网站授权。•禁止所有用户使用除公司指定之外的网盘,防止公司数据文件外泄。禁止所有用户使用公司指定之外的邮件系统,防止公司数据文件外泄。禁止所有用户利用公司网络资源访问娱乐影音、游戏、代理木马、宗教信仰等网站。对所有准入用户实行安全审计、日志记录功能。3.3三层交换机方案出于安全和管理方便的考虑,主要为了减小广播风暴造成的影响访问,必须将大型局域网按功能或地域等因素划分成多个小局域网,三层交换机vlan功能将大型的局域网划分成多个广播域,降低了广播风暴的危害,同时又保证了整个网络之间不同vlan之间的互相通信。•根据目前公司的网络架构,在不变更服务器IP地址的前提下,将vlan规划如下表:序号网段标示备注01192.168.1.0/24服务器网段02192.168.2.0/24有线网段03192.168.3.0/24无线网段后续可根据实际需求制定ACL,禁止访问其他网段•规划后网络架构拓扑图:**欧阳光明*创编2021.03.07**欧阳光明*创编2021.03.073.4域控管理方案AD域控主要作用是权限集中化管理、资源同步共享优化。控制用户登录权限,保障内网信息安全,安全性高;有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等;对软件及其他共享可以集中发布,减少管理的工作量。OU单位组织、用户账号密码(账号为“部门代码+四位数流水号”,默认DomainUser权限,无法安装、卸载软件)及用户账号对共享文件的权限(分别为“只读”、“编辑”、“完全控制”权限)规划。序号OU名称描述备注01OFFICEJJSER所有域账号管理02OFFICE_COMPUTER所有加域计算机管理03OFFICE_SHARE所有文件共享权限序号部门名称部门代码备注01总经办GM02财务部FIN03人力资源部HR04行政部AD05市场部MKT*欧阳光1明*创编2021.03.07**欧阳光明*创编2021.03.07**欧阳光明*创编2021.03.07**欧阳光明*创编2021.03.07**欧阳光明*创编2021.03.0706大海外区IM07大中华区DM08电商部EC09研发部RD10产品部MFG11物流部LOG12设计部DES13营销部SALES序号共享权限名称描述备注01File_AII对file文件拥有完全控制权02File_Write对file文件拥有编辑权03FiIe_Read对file文件只有只读权•组策略的建立序号策略名称描述备注01CloseFireWall关闭系统自带防火墙02DefaultDomainControllersPolicy修改域账号密码规则,密码长度为6位数,四个月提示修改一次密码03DenyFileShare禁止用户私自共享文件夹04DenyCD/DVD禁止使用移动光驱05DenyFloppy禁止使用软驱06DenyRegedit禁止访问和修改注册表07DenySettingnetwork禁止私自修改网络连接属性08DenyUSB禁止使用U盘09Grouppolicyrefresh廿me设置组策略生效刷新时间10Denyrunbatscripts禁止运彳丁bat脚本文件•DHCP服务自动分发IP地址(IP与MAC地址绑定,防止外部电脑接入获得IP地址)3.5企业杀毒方案目前我公司现有局域网办公电脑230左右,系统有win7旗舰版、win10企业版、等等,系统漏洞补丁包更新不完善,且办公电脑U盘为开放状态。办公电脑采用的360杀毒软件为一款免费的个人杀毒软件,病毒库更新需要联网更新或每台逐步手动离线更新。公司杀毒软件通过Internet更新病毒库时占用大量的网络资源,且夹带太多的附属产品,如360安全卫士、360软件管家、360浏览器等等,占用电脑硬件资源。针对这些问题通过NOD32企业杀毒软件解决。•安装包较小,安装快速,配置导入,无需每台手动设置。•界面简洁,具有常用防护及个人防火墙病毒库更新计划密码保护,防止私自卸载邮件客户端集成,防止病毒垃圾邮件•局域网IIS服务器更新病毒库3.6数据文件备份方案数据文件安全是一个企业中非常重要的课题,数据备份的任务与意义就在于,当灾难发生后,通过备份的数据完整、快速、简捷、可靠地恢复原有系统。备份的方式又很多,其中最普通的为从一个硬盘拷贝到另一个硬盘中,或是通过脚本定时将文件拷贝到其他电脑上。但这些方式都是只是将数据文件存放在局域网的另一台电脑上,依然不可避免的是病毒感染、物理机或是硬盘故障等等因素
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度建筑工程项目承揽合同
- 2024年度农产品风险管理合同
- 2024年度三人餐饮供应链管理与采购合同
- 2024年度仓储保管合同范本保管期限
- 2024年度演员经纪人与制片方代理合同
- 2024年度原材料供应与成品回购合同
- 2024年度专利实施许可合同:科技公司与医疗机构之间的专利实施许可协议
- 2024年度教育培训合同:在线课程研发与教学
- 2024年度建筑施工脚手架供应合同
- 2024年度版权许可及表演合同
- 痢菌净与6种抗菌药对鸡大肠埃希菌的体外联合药敏试验研究
- 高中数学一元二次不等式教案(共5页)
- 危险性较大工程确认报审表.docx
- 小升初阅读能力提升 综合训练(一)――找线索
- POLYSIUS公司第四代篦冷机操作优化及维护经验介绍
- GB 1886.64-2015 食品安全国家标准 食品添加剂 焦糖色(高清版)
- 中职学校《金属加工与实训》全套电子教案(含教学进度计划)(配套教材:高教版中职统编)云天课件
- 核专业英语词汇(共9页)
- 【英语】英语过去将来时练习题及答案
- ISO9001-2015&ISO14001-2015质量和环境管理体系各部门内审检查表
- 开料工序作业指导书
评论
0/150
提交评论