网络信息安全规划方案制作人:XXX日期:2018年4月5日目录1. 网络信息安全概述......................................................... (3)网络信息安全的概念......................................................... .. 3网络信息安全风险分析 (3)2. 需求分析......................................................... (4)现有网络拓扑图......................................................... .. (4)规划需求......................................................... .. (4)方......................................................... ......案． (5)防火墙方案......................................................... . (5)上网行为管理方案......................................................... .......6三层交换机方案......................................................... .. (6)域控管理方案......................................................... (7)企业杀毒方案......................................................... .. (11)数据文件备份方案.........................................................154. 设备清单......................................................... .. (16)实施计5........................................................... .....划....................... 16网络信息安全概述1.网络信息安全的概念网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然或是恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络信息安全从广义来说，凡是设计到网络上信息的保密性、完整性、可用性从网络运行和管理者角度说，真实性和可控性的相关安全都属于网络信息安全范畴;网络信息安全是避免企业网络信息出现病毒、非法读取、拒绝服务、网络资源非法从社会占用和非法控制等威胁，制止和防御网络黑客的攻击，保障网络正常运行;和意识形态来讲，企业访问网络中不健康的内容，反社会的稳定及人类发展的言论等，属于国家明文禁止的，必须对其进行管控。

网络信息安全风险分析企业局域网是一个信息点较多的百兆或千兆局域网络系统，它所连接的上百个信点为企业内部各部门办公提供了一个快速方便的信息交流平台，以及与互联网通讯、沟通、交流的开放式平台。

企业局域网存在以下安全风险：之间的相互访问，没有专有设备对其进、出数据包进行分析、筛局域网与Internet选及过滤，存在大量的垃圾数据包，造成网络拥堵及瘫痪。

存在被不法分子攻击、在Internet外部环境下，内部应用服务器发布到公网中使用，入侵及篡改企业安全数据信息。

企业内部终端在无约束条件下，随意访问、下载网络上的资源，其中大量的网络资源没有经过安全验证，可能带有病毒、以及资源版权纠纷等问题。

造成一部分人占用大部分网络资源，企业内部网络环境在没有做流控管理的情况下，而其他人无法使用网络资源正常办公，不利于企业所有人员使用网络资源正常办公。

反政治等网站，若访问带有宗教信仰、反人类、企业内部终端在无行为管理情况下，以及个人发布不恰当的言论等，企业需承担网络提供者的连带责任。

企业内部终端电脑无管控情况下，用户私自安装、卸载未经批准的软件，私自拷贝企业机密文件，篡改电脑信息，给企业带来经济损失等等。

企业内部终端无杀毒软件防护，在网络开放时代，易于感染钓鱼、勒索等病毒。

且企业局域网处于一个网络环境下，病毒可扩散到全公司电脑。

企业中重要数据文件的保护与备份机制，数据文件存在被内部人员私自删除、病毒入侵干扰以及天灾造成的数据损坏及丢失。

2. 需求分析现有网络拓扑图规划需求验证工具、对企业内部应用服务器的访问，通过服务访问规则策略、加强Internet包过滤和应用网关等管控，从而保证内部网免受外部非法用户及病毒的入侵。

建立总部与工厂之间的安全、加密的虚拟专用网互相访问认证机制。

资源的管控，建立安全、合法的访问规则以及流Internet针对用户使用网络访问控的管理，让所有用户正常使用网络办公。

的划分，避免局部广播风暴造成的整体网络瘫痪。

vlan内部网络的加强对用户电脑账户密码的管理以及共享文件夹的分级权限管理，限制用户私自安装、卸载软件，修改注册表、IP，U盘使用权限管理。

建立企业杀毒管理方案，通过局域网定时批量更新计算机病毒库，保障所有电脑及数据免受病毒侵犯。

对公司服务器上各部门重要的数据文件，尤其是研发的设计、专利文件，进行异地备份。

解决方案3.防火墙方案接入，一条为8M,接入带宽为上行下行200M拨号光纤，工厂两条ISP 目前总部ISP拨号光纤，两200M，另一条为上行8M，下行为城域网（含公网静态上下对等10MIP）虚拟专用隧道互相通讯。

且总部有外贸、电商、市场、营销等对网络地通过IPSEC VPNIPS、SSL VPN、防病毒、资源要求较高的部门。

建议采用集成具备防火墙、IPSEC VPN ISP接入等多种安全引擎功能的防火墙。

针对防火墙做如下规则防护：入侵检测、双监视网络及网络设备不正常或不安全的网络传输行为及时中断、IPS启用入侵检测，调整或隔离。

对异常、入侵行为等深层次侵略的数据进行检测和预警，中断外部异常连接。

IDS或是端口号的服务、dns的数据包，根据内部Trust对访问外部UntrustTCP、UDP规则进行策略管控。

对该服务器的公网地址访问，内部服务器端口映射出公网地址，针对外部Untrust根据服务规则、端口号等进行安全准入判断。

功能，建立总部与工厂之间的虚拟安全专用隧道，规范两地通过防火墙IPSEC VPN间电脑只能访问对方的服务器网段，禁止其他电脑之间互相访问。

上网行为管理方案上网行为管理设备具有流控管理、访问控制管理、入侵检测管理、安全审计管理等功能。

防范非法用户非法访问、防范合法用户非授权访问，节省网络资源的流失，保障用户合理合法的访问外部资源信息。

相关规范如下：2M,提供商提供的带宽资源，合理规范流控设置，如每用户限制最大上行根据ISP，保障了用户均分网络资源，正常办公。

下行4M地址，禁止非法终端准入。

对准入终端绑定IP 与MAC;对不同部门不用应用制定不同的访问授权，如人事部访问招聘、社保等政企网站财务部访问网银等网站授权。

电商部访问购物、电商网站;禁止所有用户使用除公司指定之外的网盘，防止公司数据文件外泄。

禁止所有用户使用公司指定之外的邮件系统，防止公司数据文件外泄。

代理木马、宗教信仰等网站。

禁止所有用户利用公司网络资源访问娱乐影音、游戏、对所有准入用户实行安全审计、日志记录功能。

三层交换机方案出于安全和管理方便的考虑，主要为了减小广播风暴造成的影响访问，必须将大型功能将大型的局域vlan局域网按功能或地域等因素划分成多个小局域网，三层交换机vlan网划分成多个广播域，降低了广播风暴的危害，同时又保证了整个网络之间不同之间的互相通信根据目前公司的网络架构在不变更服务I地址的前提下vla规划如下表：序网标备0服务器网02有线网段后续可根据实际需求03无线网段，禁止访问ACL制定其他网段规划后网络架构拓扑图：域控管理方案AD域控主要作用是权限集中化管理、资源同步共享优化。

控制用户登录权限，保障内网信息安全，安全性高;有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等;对软件及其他共享可以集中发布，减少管理的工作量。

OU单位组织、用户账号密码（账号为“部门代码+四位数流水号”，默认Domain User权限，无法安装、卸载软件）及用户账号对共享文件的权限（分别为“只读”、“编辑”、“完全控制”权限）规划。

序号OU名称描述备注所有域账号管理01OFFICE_USER02所有加域计算机管理OFFICE_COMPUTER03所有文件共享权限OFFICE_SHARE备注部门名称部门代码序号GM总经办01财务部FIN02人力资源部HR03行政部AD0市场MK0大海外I0大中华0D电商0E0研发R1产品MFLO物流11．DES设计部12SALES13营销部描述共享权限名称序号备注文件拥有完全控制对file01File_All权file对文件拥有编辑权File_Write02对file03文件只有只读权File_Read组策略的建立序号描述备注策略名称关闭系统自带防火墙01Close FireWall6Default Domain 02修改域账号密码规则，密码长度为位数，四个月提示修改一次密码Controllers Policy03Deny FileShare禁止用户私自共享文件夹禁止使用移动光驱04Deny CD/DVD05禁止使用软驱Deny Floppy禁止访问和修改注册表06Deny Regedit07禁止私自修改网络连接属性Deny Setting network禁止使用U盘Deny USB08policy refresh 设置组策略生效刷新时间09Grouptime脚本文件禁止运行10batDeny run bat scripts DHCP服务自动分发IP地址(IP 与MAC地址绑定，防止外部电脑接入获得IP地址)企业杀毒方案目前我公司现有局域网办公电脑230 左右，系统有win 7 旗舰版、win 10企业版、等等，系统漏洞补丁包更新不完善，且办公电脑U 盘为开放状态。

办公电脑采用的 360 杀毒软件为一款免费的个人杀毒软件，病毒库更新需要联网更新或每台逐步手动离线更新。

公司杀毒软件通过Internet更新病毒库时占用大量的网络资源，且夹带太多的附属产品，如360安全卫士、360软件管家、360浏览器等等，占用电脑硬件资源。