《信息安全管理方案》由会员分享,可在线阅读,更多相关《信息安全管理方案(8页珍藏版)》请在金锄头文库上搜索。
1、*有限公司信息安全管理方案网络安全与数据安全本文档主要对网络安全和数据安全方面进行策略分析,落实公司信息 安全管理。目录项目需求 3项目实施 5网络拓扑 8项目需求理清管理思路,对网络环境及安全管理提出明确的要求。一)基本信息:1. 公司性质:国有制造业。2. 公司品牌:*。3. 组织规模:250 人。二)环境:4. 公司使用的台式机和便携式计算机的数量:100 到150 台。5. 公司使用的服务器数量:3到 6台。6. 办公地点数量:1 处。7. 数据是否敏感:机密。三)基础架构安全:8. 网络是否需要与 internet 连接:部分终端与外网连 接。9. 是否连接外部第三方网络:ERP网络
2、需要通过专线租 用方式,连接本部内网。10. 是否提供internet服务:不对外提供公司网站、 邮箱、应用程序服务。11. 是否与其他公司共用办公场地:不共用。四)运作安全:12. 公司关键应用程序的目标用户:内部员工。13. 员工如何访问关键应用程序:仅从内部网络。14. 是否将任何网络基础架构的维护外包:是1。15. 是否存储敏感数据:是。16. 使用的软件状态:知名的,正版软件。17. 是否对可能存在安全问题的新服务及应用程序先进 行评估再安装部署:需经技术人员测试评估。18. 未来是否部署新技术组件:有考虑。19. 是否扩展公司网络:当前没有计划。五)人员安全20. 是否允许员工或承
3、包商远程连接至公司网络:允许 经核准的人员连接至公司网络。1 需确认。21. 是否允许员工在终端上部署服务器:不允许。22. 是否允许员工安装风险软件:不允许。23. 是否允许员工不在现场处理机密数据:不允许。24. 是否允许员工下载敏感数据到个人终端中:不允许25. 是否允许员工使用外设接口:需经批准。26. 员工是否熟知即将部署的技术组件:通过培训指导 使员工掌握技术应用。27. 是否根据用户职责限制用户信息访问权限:是。28. 是否定期修改特权账户的密码凭证:强制性要求修 改。29. 在管理人员离职后是否需要交出管理权限:强制性 要求交割。项目实施*有限公司(以下简称公司)作为*股份有限
4、公司(以 下简称股份公司)名下子公司,承接了股份公司MES-ERP的管理 模式,在网络接入方面,需要连接 internet 网络,通过租用专 线与本部保持信息传递,同时公司也将部署 MES、ERP、OA 平台 等系列服务器,对网络安全及数据安全要求较高。实施方案如下: (一)网络安全模块序号要求方案硬件1外网健壮 性1. 考虑到中国电信运营商传统的技术优势 以及在南方线路铺设的成熟度,选择电信网 络来接口本部内网。2. 采用传统VPN专线接入,独占线路。3. 可申请两条线路,保证链路冗余性,同时 做负载均衡。2内网健壮 性1. 在核心层使用两台二层交换机做热路由 备份,防范主干网瘫痪。2. 在
5、交换机上划分Vlan,阻止大规模的广播 风暴影响整体网络的通畅,保障网络的稳 定。3硬件设备 实时监控通过使用网络监控系统,实时跟踪路由器、 交换机、服务器及各终端的配置信息和运行 状态等。需购买软件。4终端控制根据IP和MAC绑定的方式确保终端接入的 安全性,同时保证未经容许的无线设备、笔 记本电脑也无法接入无线网络。需购买软 件。5网络铺设对线路的连接、设备的安置都应规范化,如 设备的编码、归类等,方便维护。软件6边界安全1.连接外网的入口处,部署防火墙2、IPS等 硬件产品。防火墙可以防范来自int ernet 外部对企业内部网络的主动威胁,通过防火 墙设备对internet的访问进行控
6、制,IPS 为入侵防御系统,是对防火墙的补充。推荐 考虑 Cisco、Juniper(netscreen)等主流防 火墙。2部署内容过滤(网络行为监控)系统,对 网络内的上网行为进行规范,并监控上网行 为,过滤网页访问,过滤邮件,限制BT下 载行为,阻止恶意文件的下载。在防范员工 避免遭受来自internet的病毒感染、恶意 脚本攻击等的同时使公司的网络带宽资源 得到充分的利用。可桥接专门的硬件设备或 使用软件控制。7操作系统 安全及应 用软件设 置需要合理配置好操作系统以及应用软件的 安全设置,在这个层面上要在保证安全和使 用方便两者之间的关系取得 定的平衡。比 如操作系统密码口令复杂度、有
7、效时间、应 用开放的端口控制、数据库是否容许远程管 理、用户账号权限控制等等。8补丁更 新,漏洞 检杳1. 补丁更新,可以建立一个WSUS服务器, 以便服务器和终端及时更新补丁。或使用其 他软件分发更新补丁。2. 漏洞扫描,需经常关注所使用的数据库系 统、硬件设备等等厂商公布的漏洞补丁。可 使用一个较为全面的漏洞扫描软件经常性 检测是否存在严重的安全漏洞。9企业防病 毒系统强化病毒防护系统的应用策略和统一管理 策略,使企业用户的电脑的病毒库及时得到 更新,增强病毒防护有效性,降低病毒的威 胁。国内外的企业级防病毒产品有很多,如 瑞星、*毒霸、诺顿、N0D32、趋势防病毒 等等,根据公司实际情况
8、选择其中一种。2 一些防火墙同时具备 VPN 能力。10网络监控1. 使用软件监控所有的服务器系统、网络设 备,及时发现网络是否出现异常流量并控制 带宽。2. 使用软件监控sqlserver、oracle数据库、 以及windows、linux操作系统的应用情况、 系统资源使用情况,保障应用的安全。11财务系统 访问控制在交换机上划分Vlan子网,并配置ACL控 制,对不同的网段之间的访问进行访问控 制。必要时可物理隔绝财务系统。二)数据安全模块序号要求措施存储1数据备份通过备份软件(如FTP数据备份)自动备份 数据。建议使用使用双机热备,即实现了负 载均衡的功能,又可以实时保证数据备份为 最
9、新。2数据恢复要求数据安全管理人员使用存储介质定期 拷贝备份的数据,同步更新备份。3存储环境对数据中心的基础设施建设应有所投入,如 UPS、门禁、监控等。机密4外设管理通过软件对设备光驱、USB端口、COM端口 等进行限制使用。需购买软件。5数据加密对机密数据使用软件进行加密,或限制下载 权限。以上所有的信息安全管理是基于技术方面,仅仅靠技术手段 建立起来的安全体系过于单薄,同时更需要配合一套完整的信息 安全管理制度。1、建立网络安全管理制度,明确信息安全管理的职责;2、完善信息安全设置各方面的技术文档,按照技术文档进 行设定安全策略以及安全方案。在涉及信息安全的变更管理、事 件管理、配置管理中都必须有文档记录;3、确定信息安全管理的具体责任人;4、提高公司各层面用户的信息安全意识。网络拓扑(一)网络拓扑服务器群网络拓扑(二)服务器场综合部设备部生产部财务部
