网络安全整体解决方案

微观集团

网络安全解决方案制作人：袁观信2016-08-18网络安全整体解决方案全文共13页，当前为第1页。网络系统现状潜在的安全风险安全需求与目标安全解决方案信息安全方案的设计思路网络安全整体解决方案全文共13页，当前为第2页。网络安全整体解决方案全文共13页，当前为第3页。企业网络中的应用应用系统数据库平台易助ERPMSＳＱＬ2005Delphi6OA办公ＭＹSQLASP格创CRMMSSQL2000Delphi格创HRMMSSQL2000Delphi辅材系统MSSQL2000Delphi邮箱系统代理富通天下电子商务平台网络安全整体解决方案全文共13页，当前为第4页。网络安全类型与应用范围用户层/应用系统类别主要表现应用范围1、身份识别登录帐号电脑桌面、管理系统2、访问权限权限设定电脑桌面、管理系统3、数据保密性职责分开管理系统、共享文件4、数据完整性数据流程管理系统5、IP唯一性上网权限网络应用网络安全整体解决方案全文共13页，当前为第5页。用户操作系统层类别主要表现应用范围1、系统补丁安全漏洞操作系统2、杀毒软件预防为主操作系统3、硬件配置资产盘点个人电脑、服务器4、数据备份数据保存个人电脑、服务器5、输入与输出USB，邮件，网页个人电脑网络安全类型与应用范围网络安全整体解决方案全文共13页，当前为第6页。网络/服务器类别主要表现应用范围1、设备冗余重要服务器的冗余服务器2、线路冗余线路主线的冗余主线路3、路由器设置安全设置（VPN、NAT）机房4、防火墙防御防入侵机房5、机房安全6S机房6、备份界质移动备份界质安全机房7、监控机制监控摄象头机房网络安全类型与应用范围网络安全整体解决方案全文共13页，当前为第7页。用户层/应用系统类别安全风险方案1、身份识别登录帐号、密码管理1、电脑登录：实行1PC1密码，用户+密码，密码不能过于简单，使用数字+字母组合，不少于6位；2、系统登录：同上，操作、审核帐号不相同，不共用，查询帐号可共用；3、电脑实行锁屛管理，超2分钟自动锁屛，可设置；4、文件服务器按权限分请读、写、列表；2、访问权限数据文件操作权限，系统审核权限，单据查看权限，公司需保密资料，防删除防篡改，防病毒1、电脑权限：使用USER权限，特别审批部分人员的administrator权限；2、系统权限：开通操作、审核权限实行审批制，并清理离职人员和部门调动人员的权限；3、机密资料不存放共享文件夹，不存放公共服务器里，并对文件作加密处理；4、超4小时的待机时间，应关闭电脑和显示器。3、数据保密性数据泄露的方式很多种，权限、USB、邮件、病毒1、与系统权限控制有关；关闭administrator权限；开能USER权限；2、与输入输出有关；3、关闭所有USB写权限，针对特别需要读写权限需写审请单；4、外发邮件限制附件大小；5、限制网络共享，服务器共享夹按登录权限授权；6、限制在ERP系统转出档案（如Excel档）；4、数据完整性数据流程1、尽量避免后台修改数据，要依流程退单撤单，或者财务平帐，或者仓库盘点；2、整合公司OA系统、人事考勤、薪资系统；保持数据全系统一致性；3、可以设置ERP系统只能转出PDF，防止修改；4、公司流程操作、审核、查询系统化；5、IP唯一性上网权限,身份识别，财产安全1、IP地址与MAC地址绑定，与用户权限绑定；2、使用IP地址，管控上网行为，管控登录日志；3、IP与固定资产编号绑定；网络安全风险评估与解决方案网络安全整体解决方案全文共13页，当前为第8页。用户操作系统层类别安全风险方案1、系统补丁安全漏洞，病毒入侵，系统变慢1、不是所有系统都需要自动安装系统补丁，默认关闭，IT会通知更新包；2、IT技术人员第一次安装时必须安装必要的安全补丁；2、杀毒软件数据丢失，网络瘫痪，系统变慢1、所有电脑都需要安装杀毒软件，并及时更新病毒库；2、电脑启动时，自动运行垃圾清理包；3、硬件配置资产丢失，过失性破坏1、电脑编号纳入固定资产管理；2、列电脑配置清单，年度部门盘点，部门负责制；3、机箱装机处粘贴易碎纸，以防非IT人员随意打开机箱；4、周边易耗品实行以旧换新管理制度；4、数据备份数据丢失，数据损坏，灾难性恢复个人PC：1、系统第一次安装完毕后，应GHOST系统备份至D:盘；2、各部门在服务器建立以权限控制的部门资料夹，重要数据存放服务器；见服务器备份策略；3、关闭主机的自动备份功能，以提高运行速度；5、输入与输出USB，邮件，网页，聊天软件1、USB参考数据保密方案；2、严格管理邮件外发权限，限制附件大小，建议默认1M，特殊的需申请；3、网页浏览控制，限制网购、游戏、色情、电影等网站；4、限制P2P/BT/磁力搜索和下载；5、列举聊天软件清单，限制直播类软件；网络安全风险评估与解决方案网络安全整体解决方案全文共13页，当前为第9页。网络/服务器类别安全风险方案1、设备冗余重要服务器的冗余PC机：1、IT部应建立至少一台PC整机的配件安全库存；特指CPU、主板、内存、硬盘，耗材除外；服务器：1、服务器硬盘建议做Raid1/5阵列，实现硬盘的冗余，确保主系统运作正常；2、服务器主机系统兼容性要好，可以实现数据快速迁移（4H内）；2、线路冗余线路主线的冗余，防老化，防断裂，防长距离信号衰减1、主干线采用抗老化、2组（或以上）线的方式搭建主网络；2、可利用交换机，组成多层级的网络架构（8-24-24-8）；3、优质网线；3、路由器设置安全设置（VPN、NAT），WIFI设置，上网行为管理1、要定期更改动态VPN和WIFI密码；2、尽量少用NAT；3、使用上网行为管理控制和记录上网行为；4、防火墙防御防入侵1、在服务器（软件）和路由器（硬件）上设置防火墙，有选择的接受外部访问；2、屏蔽服务器的80\21\等常用端口；5、机房安全灰尘、温度、工作垃圾都会影响服务器的寿命和安全1、机房只存放与服务器、路由器有关的设施；2、每周至少做一次机房内部清洁；3、确保机房处于恒温20－22度；4、机房门口要有灭火器；5、检查动力接线是否规范，防止电力线老化、破皮；6、备份界质移动备份界质安全服务器：1、每天的主数据文件差异备份，备份文件实行服务器交叉存储；2、每周的主数据文件完全备份，备份文件实行USB外接存储，地点在机房；3、每月的主数据文件完全备份，包括每周备份记录，实行USB外接存储，地点是机房外；7、监控机制人为破坏形为、其它非正常灾难1、24H的监控系统；2、监控系统的30天备份记录，以备查询；网络安全风险评估与解决方案网络安全整体解决方案全文共13页，当前为第10页。安全机制和技术鉴别加密访问控制安全管理病毒防范数字签名链路加密机IP协议加密机邮件加密文件加密防火墙远程用户鉴别系统