网络信息安全规划方案

制作人:XXX 日期：2018年4月5日

目录

1。 网络信息安全概

述.。。。.。.。。。.....。.。。。。.。.。。。。..。。。.。。.。.。。。...。。.。.。。...。...。.。.。。..。. 3

1.1 网络信息安全的概

念.。。。.。。.。。.。.。。.。。..。。..。。...。。。.。...。。.。...。。。。..。。.。。.。。. 3

1.2 网络信息安全风险分

析..。。。。.。.。...。。..。。。。..。。..。..。.。。.。..。...。。。。。.。。。..。. 3 2. 需求分

析。.。。..。..。。。。。.。。。。.。。...。.。.。。...。。。...。.。。。。.。.。。。.。.。。.。。..。....。.。.。...。。.。。。.。.。。. 4 2.1 现有网络拓扑

图。..。。.。。.。。。.。..。...。。。。。。..。....。。。。.。。..。。..。。.。。。。。。。...。.。。。。.。. 4

2.2 规划需

求.。..。..。。。。....。。。。。...。。.。..。..。...。。.。.。。.。.。。。.。.。...。.。.。。...。.。。。。.....。.。. 4

1 / 11

3。 解决方

案...。。........。.....。。.。.。....。。..。。。。。。。.........。...。。.。。..。.。。.。...。。。.。。。..。。。。..。。 5 3.1 防火墙方

案...。.。。。..。..。.。。。.。。。.。。....。..。..。。..。。。。。。.。.。。。。.。....。。。。...。。.。....。。。 5 3.2 上网行为管理方

案。.。..。。。...。。。...。。.。.。.。..。。..。。....。..。.。....。。。.。.。.。。。...。.. 6

3.3 三层交换机方

案..。.。。.。.....。。。。.。。。.。..。。.。。。。.。..。.。...。。...。.。。。。.。.。..。。。。.。。.。 6

3。4 域控管理方

案.。。。..。.。。。..。....。...。.。.。.。.。。。.。。。.。.。..。。...。。.。。.。.。.。.。.。。。。。.。.。。 7 3。5 企业杀毒方

案。。...。。。。.。.。.。.。..。.。。........。..。。。。.。....。.。。。。.。....。...。。。。..。.。。. 11

3.6 数据文件备份方

案。..。。...........。。.....。。。.。.。。..。..。。.。..。..。。..。.。...。。...。. 15 4。 设备清

2 / 11

单。.。。。。..。.....。。。。.。。。.。。.。..。.。.。。。.。...。。.。。。....。..。。。。。。..。。。.。。。。。。.。.。。。。。。。.。.。 16 5。 实施计

划。。.....。。....。..。。....。...。。。。。.。.....。.。。。...。。。....。。.。。。。..。.。.。。。。....。。.。..。.。。。. 16 ➢ 1。 网络信息安全概述 1.1 网络信息安全的概念

网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶

然或是恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络信息安全从广义来说,凡是设计到网络上信息的保密性、完整性、可用性

真实性和可控性的相关安全都属于网络信息安全范畴;从网络运行和管理者角度

网络信息安全是避免企业网络信息出现病毒、非法读取、拒绝服务、网络资源占用和非法控制等威胁，制止和防御网络黑客的攻击，保障网络正常运行；从和意识形态来讲，企业访问网络中不健康的内容,的稳定及人类发展的等，属于国家明文禁止的，必须对其进行管控。

说， 非法 社会 言论

1。2 网络信息安全风险分析

企业局域网是一个信息点较多的百兆或千兆局域网络系统，它所连接的上百个信息

点为企业内部各部门办公提供了一个快速方便的信息交流平台，以及与互联网通讯、沟通、交流的开放式平台。企业局域网存在以下安全风险：

 局域网与Internet之间的相互访问，没有专有设备对其进、出数据包进行分析、

筛选及过滤，存在大量的垃圾数据包,造成网络拥堵及瘫痪。

3 / 11

 内部应用服务器发布到公网中使用,在Internet外部环境下，存在被不法分子攻击、

入侵及篡改企业安全数据信息。

 企业内部终端在无约束条件下，随意访问、下载网络上的资源，其中大量的网络资

源没有经过安全验证,可能带有病毒、以及资源版权纠纷等问题。

 企业内部网络环境在没有做流控管理的情况下，造成一部分人占用大部分网络资源,

而其他人无法使用网络资源正常办公，不利于企业所有人员使用网络资源正常办公。

 企业内部终端在无行为管理情况下，若访问带有宗教信仰、、反政治等网站，

以及个人发布不恰当的言论等，企业需承担网络提供者的连带责任。

 企业内部终端电脑无管控情况下，用户私自安装、卸载未经批准的软件,私自拷贝

企业机密文件,篡改电脑信息，给企业带来经济损失等等。

 企业内部终端无杀毒软件防护，在网络开放时代，易于感染钓鱼、勒索等病毒。且

企业局域网处于一个网络环境下，病毒可扩散到全公司电脑.

 企业中重要数据文件的保护与备份机制，数据文件存在被内部人员私自删除、病毒

入侵干扰以及天灾造成的数据损坏及丢失。

➢ 2. 需求分析

2。1 现有网络拓扑图 2。2 规划需求

 加强Internet对企业内部应用服务器的访问，通过服务访问规则策略、验证工具、

包过滤和应用网关等管控,从而保证内部网免受外部非法用户及病毒的入侵。  建立总部与工厂之间的安全、加密的虚拟专用网互相访问认证机制。

 针对用户使用网络访问Internet资源的管控，建立安全、合法的访问规则以及流

4 / 11

控的管理，让所有用户正常使用网络办公.

 内部网络的vlan的划分，避免局部广播风暴造成的整体网络瘫痪.

 加强对用户电脑账户密码的管理以及共享文件夹的分级权限管理，用户私自安

装、卸载软件，修改注册表、IP，U盘使用权限管理。

 建立企业杀毒管理方案，通过局域网定时批量更新计算机病毒库，保障所有电脑及

数据免受病毒侵犯.

 对公司服务器上各部门重要的数据文件，尤其是研发的设计、专利文件，进行异地

备份。

➢ 3. 解决方案

3.1 防火墙方案

目前总部ISP接入带宽为上行8M，下行200M拨号光纤,工厂两条ISP接入，一

条为上下对等10M城域网（含公网静态IP），另一条为上行8M,下行为200M拨号光纤，两地通过IPSEC VPN虚拟专用隧道互相通讯。且总部有外贸、电商、市场、营销等对网络资源要求较高的部门。建议采用集成具备防火墙、IPSEC VPN、SSL VPN、防病毒、IPS入侵检测、双ISP接入等多种安全引擎功能的防火墙。针对防火墙做如下规则防护:

 启用IPS入侵检测，监视网络及网络设备不正常或不安全的网络传输行为及时中

断、调整或隔离.

 IDS对异常、入侵行为等深层次侵略的数据进行检测和预警，中断外部异常连接。  内部Trust对访问外部Untrust的数据包，根据TCP、UDP、dns或是端口号的服

务规则进行策略管控。

 内部服务器端口映射出公网地址,针对外部Untrust对该服务器的公网地址访问,根

5 / 11

据服务规则、端口号等进行安全准入判断。

 通过防火墙IPSEC VPN功能，建立总部与工厂之间的虚拟安全专用隧道，规范两

地间电脑只能访问对方的服务器网段，禁止其他电脑之间互相访问。 3。2上网行为管理方案

上网行为管理设备具有流控管理、访问控制管理、入侵检测管理、安全审计管理等

功能。防范非法用户非法访问、防范合法用户非授权访问，节省网络资源的流失，保障用户合理合法的访问外部资源信息。相关规范如下：

 根据ISP提供商提供的带宽资源，合理规范流控设置，如每用户最大上行2M，

下行4M，保障了用户均分网络资源,正常办公.  对准入终端绑定IP与MAC地址，禁止非法终端准入.

 对不同部门不用应用制定不同的访问授权，如人事部访问招聘、社保等政企网站；

电商部访问购物、电商网站;财务部访问网银等网站授权.

 禁止所有用户使用除公司指定之外的网盘，防止公司数据文件外泄.  禁止所有用户使用公司指定之外的邮件系统，防止公司数据文件外泄。

 禁止所有用户利用公司网络资源访问娱乐影音、游戏、代理木马、宗教信仰等网站。  对所有准入用户实行安全审计、日志记录功能。 3.3三层交换机方案

出于安全和管理方便的考虑，主要为了减小广播风暴造成的影响访问，必须将大型

局域网按功能或地域等因素划分成多个小局域网，三层交换机vlan功能将大型的局域网划分成多个广播域，降低了广播风暴的危害，同时又保证了整个网络之间不同vlan之间的互相通信。

 根据目前公司的网络架构，在不变更服务器IP地址的前提下,将vlan规划如下表：

6 / 11

序号 01 02 03 网段 标示 备注 后续可根据实际需求制定ACL，禁止访问其他网段 192.168。1。0/24 服务器网段 192。168.2.0/24 有线网段 192。168。3。0/24 无线网段  规划后网络架构拓扑图: 3。4 域控管理方案

AD域控主要作用是权限集中化管理、资源同步共享优化.控制用户登录权限，保障

内息安全，安全性高；有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看，或者指定人员可以看,但不可以删/改/移等；对软件及其他共享可以集中发布,减少管理的工作量.

 OU单位组织、用户账号密码(账号为“部门代码+四位数流水号”，默认Domain

User权限，无法安装、卸载软件）及用户账号对共享文件的权限（分别为“只读”、“编辑”、“完全控制”权限）规划. 序号 01 02 03 序号 01 02 OU名称 OFFICE_USER 描述 所有域账号管理 备注 备注 OFFICE_COMPUTER 所有加域计算机管理 OFFICE_SHARE 部门名称 总经办 财务部 7 / 11

所有文件共享权限 部门代码 GM FIN

03 04 05 06 07 08 09 10 11 12 13 序号 01 02 03  组策略的建立

序号 01 02 策略名称 人力资源部 行政部 市场部 大海外区 大中华区 电商部 研发部 产品部 物流部 设计部 营销部 共享权限名称 File_All File_Write File_Read HR AD MKT IM DM EC RD MFG LOG DES SALES 描述 备注 对file文件拥有完全控制权 对file文件拥有编辑权 对file文件只有只读权 描述 关闭系统自带防火墙 修改域账号密码规则,密码长度为6位数，四个月提示修改一次密码 禁止用户私自共享文件夹 禁止使用移动光驱 8 / 11 备注 Close FireWall Default Domain Controllers Policy 03 04

Deny FileShare Deny CD/DVD 05 06 07 Deny Floppy Deny Regedit Deny Setting network 禁止使用软驱 禁止访问和修改注册表 禁止私自修改网络连接属性 08 09 Deny USB 禁止使用U盘 Group policy refresh 设置组策略生效刷新时间 time 10 Deny run bat scripts 禁止运行bat脚本文件  DHCP服务自动分发IP地址(IP与MAC地址绑定，防止外部电脑接入获得IP地

址)

3。5 企业杀毒方案

目前我公司现有局域网办公电脑230 左右,系统有win 7 旗舰版、win 10企业版、

为开放状态。办公电脑采用的

等等,系统漏洞补丁包更新不完善，且办公电脑U 盘

360 杀毒软件为一款免费的个人杀毒软件,病毒库更新需要联网更新或每台逐步手动离线更新。公司杀毒软件通过Internet更新病毒库时占用大量的网络资源,且夹带太多的附属产品,如360安全卫士、360软件管家、360浏览器等等，占用电脑硬件资源。针对这些问题通过NOD32企业杀毒软件解决。

 安装包较小，安装快速，配置导入，无需每台手动设置。  界面简洁，具有常用防护及个人防火墙  病毒库更新计划  密码保护，防止私自卸载

 邮件客户端集成，防止病毒垃圾邮件

9 / 11

 局域网IIS 服务器更新病毒库 3.6 数据文件备份方案

数据文件安全是一个企业中非常重要的课题，数据备份的任务与意义就在于，当灾

难发生后，通过备份的数据完整、快速、 简捷、可靠地恢复原有系统.备份的方式又很多，其中最普通的为从一个硬盘拷贝到另一个硬盘中,或是通过脚本定时将文件拷贝到其他电脑上。但这些方式都是只是将数据文件存放在局域网的另一台电脑上,依然不可避免的是病毒感染、物理机或是硬盘故障等等因素造成的损失.针对此,传统企业选择磁带机备份的方式，每周通过完整备份、每天的差异备份等多种备份机制将数据文件备份到磁带上,从而有效的完成了异地备份方案,保障了数据的安全性.

➢ 4. 设备清单

序号 01 防火墙 02 03 上网行为管理设备 04 05 杀毒服务器 网康 普通PC机 华为 深信服 设备名称 品牌比较 山石 备注 ➢ 5. 实施计划

序号(优先级从上往下） 01 02 03 方案 安装杀毒服务 电脑加域及安装杀毒软件 启用三层交换机并做DHCP，IP与mac地址绑定 10 / 11

备注 04 05

上网行为管理实施 搭建防火墙设备 11 / 11