珠海市XX股份有限公司企业信息网络安全整体规划方案目录1.XX集团整体网络概述 (3)2.网络安全规划范围 (3)2.1.物理层安全范围 (3)2.2.逻辑层安全范围 (3)2.3.网络拓扑图及设备清单 (4)3.扩展描述 (4)3.1.物理安全类别 (4)3.2.逻辑安全类别 (6)1.XX集团整体网络概述珠海XX股份有限公司于2010年10月将原有网络系统进行全方位升级、改造,包括网络传输设备、整体网络架构、服务器重新部署、安全规划、安全高效管理等。
于2011年6月1日正式运行OA系统,网络整体已处于稳定状态,故此现针对网络及其核心系统进行整体网络安全规划。
2.网络安全规划范围2.1.物理层安全范围物理层:1、终端系统2、数字化通信系统(暂无)3、内部网络硬件系统4、连接外部网络硬件系统5、外部网络硬件系统(暂无)6、核心机房安防系统(温度、湿度、抗干扰、防静电、门禁、消防)7、整体门禁等安防系统8、综合布线系统9、设备移动、增加、维修管理2.2.逻辑层安全范围逻辑层:1、网络信息安全防护系统2、网络管控系统3、网络监控系统4、网络架构安全合理性5、网络传输设备配置安全(配置合理性、安全性、漏洞扫描)6、各类服务器配置安全(漏洞扫描、屏蔽)7、各类网络传输设备、服务器、其他设备等备份机制(系统备份、配置备份)8、各类系统维护管理机制9、各类系统密码管理机制10、终端安全维护机制11、终端日常安全操作12、信息保密机制2.3.网络拓扑图及设备清单所涉及设备、系统清单详见附录1。
所涉及网络拓扑结构详见附录2。
3.扩展描述3.1.物理安全类别终端系统指集团公司内部员工所使用工作系统终端,包括固定与移动终端;安全规则:1、员工不得私自(未经公司允许)将工作终端携带出办公地点、移动、维修、拆装、无故损坏、擅自插入未经允许的移动存储设备等,如需上述变更必须经过信息发展部受理;2、终端电脑附近的水杯等储水装置应指定位置摆放;3、靠近窗户的终端应考虑防雨水、防晒、防盗、防雷4、终端电脑都应做防静电处理5、终端电脑的物理配置应做详细统计6、终端电脑附近不应摆放产生强烈干扰的设备,如高功率无线设备等7、终端电脑附近不应摆放磁性物质,如音响、带有磁铁的工艺品等8、有多数(超过每2平方米一台终端)电脑存在的房间应注意温度、湿度、防雷、防盗9、如遇特殊情况应立即先断电再按照各类应急处理措施执行数字化通信系统(暂无)内部网络硬件系统主要网络设备应集中放置在核心机房,所有底层交换机等网络传输设备应集中放置于有门锁的机柜内部,注意防静电、防雷、防潮、温湿度、防盗等;如无条件集中放置在机柜内的必须单独购买小型带锁机箱,至少距离地面25公分以上;不允许非工作人员随意触碰设备;连接外部网络硬件系统应放置在核心机房内部,单独有锁机柜,物理触碰权限另外分配外部网络硬件系统(暂无)核心机房安防系统(温度、湿度、抗干扰、防静电、门禁、消防)核心机房建设基本原则:以通信行业标准规定的通信设备(交换设备、传输设备、数据网络设备)的正常使用环境要求为基础,确定数据中心机房的环境要求。
·机房环境温湿度要求:AA级、A级机房温度为21-25˚C,相对湿度40%-70%;B级、C级机房温度为18-28˚C,相对湿度40%-70%,温度变化率小于5˚C/h,且不结露。
·机房洁净度要求。
机房内灰尘粒子应为非导电、非导磁及无腐蚀的粒子。
灰尘粒子浓度应满足:(1)直径大于等于0.5μm的灰尘粒子浓度≤18000粒/升。
(2)直径大于等于5μm的灰尘粒子浓度≤300粒/升。
《电子计算机机房设计规范》国家标准对电子计算机机房的温湿度要求如下:·保持温度恒定[温度波动控制在24士(1~2˚C之内]。
·保持湿度恒定[相对湿度波动控制在(50%士5%)RH之内]。
·空气洁净度为:在每升空气中,大于等于0·5μm的颗粒应小于18000个。
·换气次数>30次/小时。
即给定的机房内,空调的风量和机房容积的比值大于30。
·机房与室外正压>9.8Pa:对无外窗的机房,相对相邻房间保持正压>4.9Pa。
·空调设备具备远程监控及来电自启动功能。
1、温度:建议温度为冬天24˚C士l˚C、夏天为22˚C士1˚C机房温度与计算机可靠性对照2、湿度:最佳湿度范围为45-60%3、气流按照送、回风口布置位置和形式的不同,可以有各种各样的气流组织形式,大致可以归纳以下五种:上送下回、侧送侧回、中送上下回、上送上回及下送上回4、冷风循环次数大于30次,机房空调送风压力75Pa5、门禁系统关注点:身份、权限、视频监视、审批陪伴责任原则;重点于防盗与身份行为记录6、防静电、防雷按照国家机房标准执行7、机房球状范围无干扰设备,范围于干扰频率大小可参考相关标准8、重点不得让非公司工作人员或者在无陪同情况下进入机房并可直接接触核心机房所有设备整体门禁等安防系统重点区域、办公室(如财务)、机房等需要进行24小时视频监视以及身份验证综合布线系统根据企业新调整的综合布线系统,已通过验收,均符合相关标准,无调整。
设备移动、增加、维修管理所有网络传输设备、安全设备、无线设备、终端设备等的移动、维修、增加、报废等均需要先通过信息化发展部部门确认后才可执行,遵循“谁签字,谁负责”原则;并进行详细的数据记录与统计。
3.2.逻辑安全类别逻辑层:网络信息安全防护系统已安装ESET NOD32防病毒系统硬件防火墙各项参数24小时实时监控硬件防火墙规则需要重新调整(初定时间为2011年7月中旬);检测时间为2011年7月初调整后结果参数要求:1、符合集团信息化发展规模的运行能力2、按照实际信息量的最大化出现频率考良系统稳定性、可靠性、运行能力3、按照集团内部需求制定安全策略4、拥有入侵检测、防病毒、防垃圾邮件等基本功能5、无异常状态时需要每周次将系统运行结果调用分析并出分析结果网络管控系统网络管控系统主要针对内部网络各逻辑分配、流量控制、数据类型管控(相关设备已有),控制能力到接入层不要求达到物理级别。
网络监控系统网络监控系统需要针对数据报的进出、流量等异常情况得出实时数据(相关设备已有),并每周次分析及出具分析结果监控层面:流量、数据报、视频、核心设备工作状态、运行配置参数网络架构安全合理性遵循原则:1、符合集团内部各部门具体需要,每功能、每设备均保留有剩余2、容易维护、监管3、设备运行期间无功能冲突、无“急、慢性死亡”现象(此现象是指由于网络架构以及设备性能没有正确配置、规划、判定的情况下,导致某些设备之间工作性能慢性下降,也包括由于不合理性导致遇到突发流量或者其它异常情况出现时某些设备停止工作)网络传输设备配置安全(配置合理性、安全性、漏洞扫描)初定2011年7月初进行详细检测关注点:1、不能轻易物理触及设备2、将原有必须开放的协议、端口进行评估,修改部分端口3、屏蔽掉原有开启的无用的协议、端口4、配置符合现实需要,并做到即时可控各类服务器配置安全(漏洞扫描、屏蔽)初定2011年7月初进行再次检测(时长为三个工作日)1、将原有必须开放的协议、端口进行评估,修改部分端口2、屏蔽掉原有开启的无用的协议、端口3、配置优化各类网络传输设备、服务器、其他设备等备份机制(系统备份、配置备份)于初定2011年7月初进行再次检测后制定完整备份机制关注点:各核心设备的操作系统备份、配置备份、日志备份备份机制分为:定期备份、增量备份、定量删除、混合备份各类系统维护管理机制由集团公司信息化发展部门以及外包服务商联合协商工作(详见服务外包合同以及集团公司内部相关管理文件)增加条例:核心设备根据不同操作系统及运行状况定期进行手动重新启动(在检测后对每核心设备定义重新启动周期)各类系统密码管理机制密码设立原则:1、字母、数字、特殊字符(个别系统不支持或只支持,具体可参考不同操作系统说明书)的无规律交叉组合2、无规律,不得以管理员或者操作者的姓名拼音、电话、其它常用密码、生日、数列组合、数列顺序等作为密码组合3、密码长度不少于12位(某些系统密码设定为数位的上限)4、根据设备性质不同密码更换周期如下:核心系统及终端设备密码管理:1、核心网络设备(网络设备及服务器):每月2、门禁系统:每半年或者一年3、终端设备系统:每三个月4、重点设备:每月(如财务终端及其系统)各系统日志管理所有系统均必须建立日志存储,核心系统定期查阅;无日志功能的设备除外终端安全维护机制1、定期根据核心监管控系统针对每终端进行异常检测,如发现异常则立即网络隔离并检查2、每终端必须装有正版查杀毒软体3、员工不得随意上传、下载公司文件4、员工不得随意携带为经过公司系统授权过的移动存储设备上传、下载终端内任何数据5、各别部门不能使用未指定通信工具(如QQ、MSN、WEB QQ、SKYPE等)6、如终端电脑发生异常应立即通告信息化部门,不得自行处理注释:以上功能还需要其他软硬件手段协助处理,以及管理机制控制终端日常安全操作与培训于2011年7月初针对系统全面检测后,并针对集团公司具体情况(部门性质、人数等)制定培训计划,培训的主要目的:提升员工日常安全操作水平、集团公司信息保密意识、保密方法、泄密责任、网络安全法律法规根据各部门人数不同、工作量不同、工作性质不同与集团公司协商后另行制定培训计划。
信息保密机制详细见保密协议注释:此方案为规划方案,具体执行参见每关注点!信息网络安全重点为人员管理机制,此项机制须与集团公司相关领导及相关部门规划性完善。
工作日程表:检测完毕后2个工作日内按照上述规划方案及关注点,出具详细的安全检测报告及安全加固方案.。