《信息安全架构(初稿v0.1)》由会员分享,可在线阅读,更多相关《信息安全架构(初稿v0.1)(12页珍藏版)》请在金锄头文库上搜索。
1、信息安全架构 201109 信息安全 概述 信息安全问题在互联网时代无处不在 我们对此带来的危险需要有深刻认识 公司特别需要对一些关键信息进行保护 如 财务信息 商务合同 报价信息 客户标书 解决方案等 包括但不限于潜在有形或无形价值资产进行保护 信息安全由制度与相应的技术实现组成 通过建立一套制度对公司的信息安全进行规范 再利用技术对制度进行实现 信息安全范围 广域网局域网便携电脑 台式机 服务器打印机 磁盘 U盘以及其它存储设备邮件系统 OA系统等门禁系统信息安全活动 成立信息安全小组 负责全部的信息安全方面工作 信息安全制度制定 技术实施 日常管理信息安全巡检 信息安全基线 信息安全宣传
2、 全局架构 vlan1 vlan2 vlan3 vlan4 销售部 财务部 商务部 技术部 交换机 防火墙 路由器 出口防火墙 分支机构1 域认证服务器 AD 文档权限认证服务器 RMS 邮件服务器 Email 代理服务器 Proxy 文件共享服务器 fileshare RTX内部通信服务器 VPN服务器 vlanX Windows补丁服务器 防病毒服务器 anti v 分支机构2 接口控制服务器 USB CDROM DHCP DNS服务器 VPN 4 广域网 1 关闭对互联网的直接访问 按需申请 对所有访问进行存档三个月或半年 每周或每月抽查 只允许访问与工作相关的网站 杜绝娱乐 新闻等不相
3、关的访问内容 首先有限访问 建设一台openproxy服务器 允许经过公司认可的常用 供用商 客户网站 技术性网站 商务网站 网站 其次无限访问 建设一台proxy2服务器 此服务需要权限认证 需要提交相应主管领导同意 走相关的流程 后续有相关电子流程 暂时可用工作联络单 方可以开通 应对公司后续业务扩大 特别是各地办事处接入 可以建议 通道 按照场景选择适合的 方式 IPSec GRE PPTP 3 对于各类应用服务器 使用按需开通端口策略 如邮件服务器 仅开通pop3及smtp端口 DNS服务器只开通UDP53端口 涉及点 代理服务器 遥志软件 或自建 服务器 局域网 对各部门划分VLAN
4、 按业务分层 每个职能部门分配一个VLAN 基于当前分散办公特点 可使用MAC地址认证 从技术上讲 划分VLAN可以降低网络冲突 提高本地带宽 建立WINDOWS域控制器 公司所有办公机器在一个域的控制下 这样统一了认证 机器之间访问也就受到控制 建立文档权限管理服务 RMS 对于重要的每个文档 微软doc execl ppt 需要带有权限 非受权人员不能打开文件 保护工作机密 建立DHCP及DNS服务器 方便内部IP获取及域名工作 建议接口控制服务器 办公机器统一禁止USB CDROM拷出功能 只允许拷入 如果需要拷出 需要走审批流程 同时在邮件也设置相应的策略 建立内部文件共享系统 可以安
5、照域组划分创建共享目录 或者设计FTP 其它WEB访问方式共享 WINDOWS补丁服务器与防病毒服务器需要统一管理 局域网向此类内部服务器去升级 而不需要通过互联网升级 wsus norton 建立内部在线通信系统 可选RTX等成熟平台或其它免费软件 除非工作需要才通过QQ MSN等交流 涉及点 VLAN划分 域服务器 RMS DHCP DNS 补丁 防病毒 接口控制 在线通信 办公电脑 办公电脑需要加入创建域群 AD 办公电脑需要安装指定防病毒软件 nortonor其它 办公电脑需要指向统一补丁升级服务服务器 wsus 安装相应的RMS文档权限客户端 及接口控制客户端 RMS 接口控制 办公
6、电脑需要贴用资产编号 资产管理员并登记存档 统计MAC地址并存档 电子邮件 电子邮件策略默认邮件只允许内部发送 开通外发权限需要直接主管审批 向客户或第三方发送附件 需抄送直接主管 所有邮件保存副本三个月或半年 以备查验 选用软件Coremail winmail U mail 或自建 内部沟通软件 腾讯RTX seegletop wineim 通达tip 最好能与内部域用户 OA平台集成 防病毒软件及Windows补丁升级 为内部办公电脑提供统一升级服务 目前防病毒软件及微软补丁升级方案很完善 只需要对防病毒软件进行选型 可选有norton 瑞星 360安全卫士等 IT管理平台与流程建设 需要建立一个管理平台 包括各类IT流程建设 财务 资产 项目建设进度 预安排 setp1 澄清check 网络架构设计服务器选型关键技术考查公司技术人员储备setp2 分段实施逐步按近远 紧缓建立各类IT服务 setp3 测试验收 启动 项目ower 人力规划 项目名 技术key 持续时间 ThankYou
