《企业信息安全整体方案设计概要.docx》由会员分享,可在线阅读,更多相关《企业信息安全整体方案设计概要.docx(13页珍藏版)》请在课桌文档上搜索。
1、企业信息平安整体方案设计一、企业平安背景与现状全球信息网的出现和信息化社会的来临,使得社会的生产方式发生深刻的改变.面对着激烈的市场竞争,公司对信息的收集、传输、加工、存贮、杳ifu以及预料决策等工作量越来越大,原来的电脑只是停留在单机工作的模式,各科室间的数据不能实现共享,致使工作效率大大下降,纯粹手工管理方式和手段已不能适应需求,这将严峻阻碍公司的生存和发展。1 .企业组织机构和信息系统简介该企业包括生产,市场,财务,资源等部门.该企业的的信息系统包括公司内部员工信息沟通,部门之间的消息公告,还有企业总部和各地的分公司、办事处以及出差的员工须要实时地进行信息传输和资源共享等。2 .用户平安
2、需求分析在日常的企业办公中,企业总部和各地的分公司、办事处以及出差的员工须要实时地进行信息传输和资源共享等,企业之间的业务来往越来越多地依靠网络.但是由于互联网的开放性和通信协议原始设计的同限性影响,全部信息采纳明文传输,导致互联网的平安性问题日益严竣,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来平安隐患,甚至造成不行估量的损失。3 .信息平安威逼类型目前企业信息化的平安威逼主要来自以卜几个方面:(1)、来自网络攻击的成逼,会造成我们的服务器或拧工作站瘫痪。(2)、来自信息窃取的威逼,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被干脆假冒.(3)、来自
3、公共网络中计算机病毒的威逼,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪“(4)、管理及操作人员缺乏平安学问。由于信息和网络技术发展迅猛,信息的应用和平安技术相对滞后,用户在引入和采纳平安设备和系统时,缺乏全面和深化的培训和学习,对信息平安的重要性与技术相识不足,很简单使平安设备系统成为摆设,不能使其发挥正确的作用,如原来对某些通信和操作须要限制,为了便利,设巴成全开放状态等等,从而出现网络漏洞。(5)、雷击。由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络搬痪,设备损坏,造成严峻后果。
4、二.企业平安需求分析1、对侑息的爱护方式进行平安需求分析该企业目前已建成覆盖整个企业的网络平台,网络设备以CiSCo为主.在数据通信方面,以企业所在地为中心与数个城市通过IM帧中继专线实现点对点连接,其他城市和移动用户运用ADS1.CDMA登录互联网后通过YPN连接到企业内网,或者通过PSTN拨号连接。在公司的网络平台上运行者办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、YO1.P语音系统、企业舵b网站,以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用,对企业的日常办公和经营管理起到重要的支探作用。依据企业网络现状及发展由打,对信息的爱护方式进行平安需求分析主
5、要从以下几个方面进行考虑:1,网络传输爱护:主要是数据加密,防窃听爱护。2、密码账户信息爱护:对网络银行和客户信息进行爱护,防止泄露3、网络病毒防护:采纳网络防病毒系统,并对巨晕网内的一些可能携带病毒的设备进行防护与查杀.4、广域网接入部分的入侵检测:采纳入侵检测系统5、系统漏洞分析:采纳漏洞分析设备,并刚好对已知漏洞修补.(2)与风险的对抗方式进行平安需求分析1、定期平安审计:主要包括两部分:内容审计和网络通信审计2、重要数据的备份:对一些重要交易,客户信息备份3、网络平安结构的可伸缩性:包括平安设备的可伸缩性,即能依据用户的须要随时进行规模、功能扩展。4、网络设备防雷5、重要信息点的防电磁
6、泄露三、平安解决方案1、物理平安和运行平安企业网络系统的物理平安要求是爱护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故以及人为操作失误或错误及各种计.算机犯罪行为导致的破坏过程.企业的运行平安即计算机与网络设法运行过程中的系统平安,是指对网络与信息系统的运行过程和运行状态的爱护.主婴的爱护方式有防火培与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问限制、平安审计、入侵检测、源路由过滤、降级运用、数据备份等。2、选择和购买平安硬件和软件产品(Ds硬件产品主要是防火墙的选购。对于防火墙的选购要具备明确防火墙的爱护对象和需求的平安等级、依据平安级别确定防火墙的平安标准
7、、选用功能适中且能扩展和平安有保障的防火墙、能满意不同平台需求,并可集成下网络设符中、应能供应良好地售后服务的产品等要求。(2)、软件产品主要是杀赤软件的选择,本方案中在选择杀毒软件时应当留意几个方面的耍求:具有卓越的病毒防治技术、程序内核平安牢罪、应付国产和国外病毒实力超群、全中文产品,系统资源占用低,性能优越、可管理性高,易于运用、产品集成度高、高牢靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。、产品举荐产品型号部署数量关键参数及备注天网流控防火墙SNS-FW-1500TC总公司与分公司1机架式/4FE/40万并发连接/15OY吞吐量天网流控防火墙SNS-FW-4500TC网络总
8、出口1机架式/4GE/120万并发连接/800M吞吐量天网防毒墙SNS-VW-250服务器区十办公室1机架式/4FE/供应相应客户端软件大网网络流量优化系统TS-TC-100网络出口1机架式/4FE天网行为管理系统SNS-NAM-500T办公区1机架式/4FE天网SS1.VPNSNS-SS1.-100T服务器区1机架式/4FE/ACPOWER/100并发用户3、网络规划与子网划分组网规则,规划网络要规划到将来的三到五年。并且在将来,企业的电脑会不断增加。比较环形、星形、总线形三种基本拓扑结构,星形连接在将用户接入网络时具有更大的敏拢性.当系统不断发展或系统发生重大改变时,这种优点将变得更加突出
9、,所以选择星形网络最好,(1)、实际的详细的设计拓扑图如下(2)、子网的划分和地址的安排经理办子网(V1.an2):192.168.1.O子网掩码:255.255.255.0生产子网(YIan3):192.168.2.0子网掩码:255.255.255.0网关:192.168.2.1市场子网(V1.an4):192.168.3.0子网掩码:255.255.255.0网关:192.168.3.1财务子网(V1.an5):192.168.4.0子网枪码:255.255.255.0网关:192.168.4.1资源子网(VIan6):192.168.5.0子网掩码:255.255.255.0网关:19
10、2.168.5.14、网络隔离与访问限制(1),每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN设%,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。下属机构的VPN设备放置户内部网络与路由器之间,其配理、管理由上级机构通过网络实现,下属机构不须要做任何的管理,仅须要枪查是否通电即可。由于平安设备属于特殊的网络设备,其维护、管理须要相应的专业人员,而实行这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有若浩大下属、分支机构的单位来讲将是一笔
11、不小的仍用。由于网络平安的是一个综合的系统工程,是由很多因来确定的,而不是仅仅采纳高档的平安产品就能解决,因此对平安设备的管理就显得尤为重要。由于般的平安产晶在管理上是各自管理,因而很简单因为某个设备的设置不当,而使整个网络出现重大的平安陷忠。而用户的技术人员往往不行能都是专业的,因此,简堆出现上述现象:同时,每个维护人员的水平也有差异,简单出现相互配置上的错误使网络中断。所以,在平安设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要平安设备进行管理、配置,提高整体网络的平安性和稳定性。(2)、访问权限限制策略A、羟理办V1.AN2可以访向其余全部V1.AN.B、财
12、务V1.AN5可以访问生产V1.AN3,市场V1.AN4、资源V1.AN6,不行以访问经理办V1.AN2“C、市场V1.AN4、生产V1.AN3、资源V1.AN6都不能访问经理办V1.AN2、财务V1.ANS,D、生产V1.AN4和箱但VI.AN3可以互访.5、掾作系统平安增加企业各级网络系统平台平安主要是指操作系统的平安。由于目前主要的操作系统平台是建立在国外产品的基础上,因而存在很大的平安隐患,因此要加强对系统后门程序的管理,对一些可能被利用的后门程序要刚好进行系统的补升级。企业网络系统在主要的应用服务平台中采纳国内自主开发的平安操作系统,针对通用OS的平安问题,对操作系统平台的登录方式、
13、文件系统、网络传输、平安日志审计、加密算法及鸵法密换的支持和完整性受护等方面进行平安改造和性能增加.一般用户运行在PC机上的NT平台,在选择性地用好NT平安机制的同时,应加强监控管理。6、应用系统平安企业网络系统的应用平台平安,一方面涉及用户进入系统的身份鉴别与限制,以及运用网络资源的权限管理和访问限制,对平安相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、rw服务、E-MAI1.服务、FTP和TE1.NET应用中服务器系统自身的平安以及供应服务的平安。在选择这些应用系统时,应当尽量选择国内软件开发商进行开发,系统类型也应当尽显采纳国内自主开
14、发的应用系统.作为一个完善的通用平安系统,应当包含完善的平安措施,定期的平安评估及平安分析同样相当重要。由于网络平安系统在建立后并不是长期保持很高的平安性,而是随着时间的推移和技术的发展而不断下降的,同时,在运用过程中会出现新的平安问题,因此.作为平安系统建设的补充,实行相应的措施也是必定。本方案中,采纳漏涧扫描设备对网络系统进行定期扫描,对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描.发觉相应的漏洞并告警,自动提出解决措施,或参考看法,提示网络平安管理员作好相应调整“7、重点主机防护为重点主机,堡垒机建立主机防卫系统,简称HIPS。HIPS是一种能监控你电脑中文件的运
15、行和文件运用了其他的文件以及文件对注册表的修改,并向你报告恳求允许的软件。当主机入侵防卫系统具有的程序访问限制列表(PAC1.)功能使得同样个用户访问同样的资源的时候,假如采纳不同的应用程序访问,将会得到不同的权限.也就是说,对下一些重要的资源,我们可以采纳主机入侵防卫系统这种功能限定不同应用程序的访问权限,只允许已知的合法的应用程序访问这些资源。这样,即使入侵拧在被攻击的服务潜上运行了木马程序,但是木马程序须要窃取关键信息的时候必须要经过主机入侵防卫系统的平安验证。由于PAC1.中没有定义水马程序的访问权限,依据默认权限是不能够访问的,由此就起到了对木马信息窃取的防范。8、连接与传*平安由丁
16、企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADS1.接入,并与企业系统内部的上、下级机构网络相连。通过公共畿路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而INTERvrr本身就缺乏有效的平安受护,假如不实行相应的平安措施,易受到来自网络上随意主机的监听而造成也要信息的泄密或非法篡改,产生严峻的后果。所以在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPNCA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务胧通过网络对下级的VPN设备
17、进行集中统一的网络化管理.这样可达到以下几个目的:1、网络传输数据爱护;由安装在网络上的VPN设备实现件内部网络之间的数据传输加密爱护,并可同时实行加密或磁道的方式进行传输2、网络隔离爱护与INTERNET进行隔离,限制内网与INTERNET的相互访问3、集中统一管理,提高网络平安性4、降低成本(设备成本和维护成木9、平安缥合管理与限制方案设计为了爱护网络的平安性,除r在网络设计上增加平安服务功能,完善系统的平安保密措施外,平安管理规范也是网络平安所必需的。平安管理策略方面从纯粹的管理上来实现,另方面从技术上建立将效的管理平台。平安管理策略主要有:定义完善的平安管理模型;建立长远的并且可实施的
18、平安策略:彻底贯彻规范的平安防范措施:建立恰当的平安评估尺度,并且进行常常性的规则审核。当然,还须要建立高效的管理平台。A.平安管理平安管理的主要功能指对平安设备的管理:监视网络危急状况,对危急进行隔离,并把危急限制在最小范围内:身份认证,权限设置:对资源的存取权限的管理:对资源或用户动态的或静态的审计:对违规事务,自动生成报警或生成事务消息:1.令管理(如操作员的口令鉴权),对无权操作人员进行限制I:密钥管理:时了与密钥相关的服务器,应对其设置密钥生命期、密钥符份等管理功能:冗余备份:为增加网络的平安系数,对于关键的服务罂应冗余饴份。平安管理应当从管理制度和管理平台技术实现两个方面来实现.平
19、安管理产品尽可能的支持统一的中心限制平台。B.平安管理的实现信息系统的平安管理部门应依据管理原则和该系统处理数据的保密性,制定相应的管理制度或采纳相应的规范。详细工作是:画定该系统的平安等级、确定平安管理的范围、制订相应的机房出入管理制度、制订严格的操作规程、制订完备的系统维护制度及制订应急措施。四、平安运维措施1、衿*企业采纳HP1/8磁带自动装载机对企业数据进行备份,该磁带库可以同时装载9盒磁带,能够依据预先定义好的备份策略自动装载磁带,自动执行定义好的备份策略,压缩后最大存储容量为610GBo备份软件采纳1.egatoNetWorkcr网络备份管理系统。该系统运行稳定,备份和品原效果较好
20、.由于企业内部存在大量的数据,而这里面又有很多重要的、机密的信息。而整个数据的平安爱护就显得特殊重要,对数据进行定期得份是必不行少的平安措施。在实行数据备份时应当留意以下几点:(1),存储介质平安在选择存储介班上应选择保存时间长,对环境要求低的存储产品,并实行多种存储介质备份。犹如时采纳硬盘、光盘备份的方式。、数据平安即数据在备份前是真实数据,没有经过套改或含有病毒。(3)、备份过程平安确保数据在备份时是没有受到外界任何干扰,包括因异样断电而使数据备份中断的或其它状况。(4)、备份数据的保管时存有备份数据的存储介质,应保存在平安的地方,防火、防盗及各种灾难,并留意保存环境(温度、湿度等)的正常
21、。同时对特殊重要的备份数据,还应当实行异地备份保管的方式,来确保数据平安。对重要备份数据的异地、多处备份。2、日志审计和备份由于企业是个特别浩大的网络系统,因而对整个网络(或重耍网络部分)运行进行记录、分析是特别重要的,它可以让用户通过对记录的日志数据进行分析、比较,找动身生的网络平安问题的缘由,并可作为以后的法律证据或者为以后的网络平安调整供应依据。有时候,某些审计项目规模比较大,涉及的内容、细微环节较多,而且工作支配、工作支配、审计过程中遇到的问题也较多。因此须要系统的记录才能保证审计顺当完成.同时对克要的审计结果进行备份保存。3、制定灾难复原平安存储与备份、品原是网络平安的基础,假如不能
22、实现平安存储和牢靠;的备份及原,一切数字资产的平安都无从谈起。因此,为了保障包括服务器和客户端数据存储的平安,实现先进、牢靠的备份、复原环境,应实行以下措施:1、完善现有的备份与复原策略:确保备份与复原正南:建立培训和演练机制.2、应备有关键应用数据的安装程序。3、增加备份设得,4、完善备份系统,最大限度的降低数据存储备份脆弱.5、制定文档化的备份与复原策略:6、确保备份与宓原正的确施的规电制度。4、制定平安应急响应企业网络系统的平安性建设措施应能满意当前企业网络系统平安的主要需求及以后系统建设的发展须要.使网络系统不易受到内部和外部的攻击,从而达到网络能够正常运行,满意主要业务对平安的须要,当受到攻击导致一部分数据受损时,要有相应的平安应急机制。首先要完善应急响应文档、规章制度,制定应急响应支配和响应策略当应急支配中应包括发生异样事务应急响应的基本步骤,处理方法和汇报流程.然后要定期评估和修正应急响应支配和策略,组织应急响应培训,明确成员在应急响应中的角色与责任,定期进行应急响应演练.
