人民银行业务网安全保密域管理工程规划方案.doc

人民银行业务网安全保密域管理工程规划方案人民银行业务网安全保密域管理工程规划方案前言随着计算机和互联网的普及，以及社会信息化的发展，越来越多的单位开始迈入信息化的行列。随着单位规模日益扩大，业务日益增多，IT管理上的许多弊病逐渐暴露出来。由于单位管理力度和管理制度不完善以及缺乏先进的管理工具和技术等原因，使得IT部门的管理者对本单位的IT情况和IT安全隐患等难于了解和监控，对突发的IT环境管理事故缺乏应变能力，对安全问题等缺乏必要的应变手段和措施。所以，单位不得不面对一个低效甚至是难于控制的IT环境管理局面。在单位核心义务的应用比重日渐加大的今天，对IT环境的安全而有效地管理已成为单位业务的重要组成部分。加强单位的IT环境的管理，已成为大部分单位当务之急。活动目录架构是一个单位目录管理服务平台。他可以将单位不同系统之间的资源以目录集成的方式进行统一管理，集成包括数据、应用程序、业务流程以及门户等各个方面。让所有的系统在共享功能方面由一个独立的目录系统进行统一管理，形成一个强壮灵活的现代IT架构。建设集中化的目录基础架构不仅可以维护统一的用户管理和认证，提升信息化管理水平；降低单位桌面系统的管理维护成本；面对未来业务应用的发展，更具有高度的可扩展性和灵活性，能够大大降低新系统的开发成本和建设部署周期。系统整体的架构主要是集中部署的AD域控制器提供目录服务一、目标1、实现人的身份管理-通过集中的目录服务，统一用户管理和提供统一认证服务。用户可以通过多种方式在目录结构中查询自己所需要的网络资源。尤其是对个人而言，用户可以实现单点登陆，用户每次只需要登陆到域中，当访问后台应用时，就不再需要重复输入用户名和密码。这样一方面可减轻用户记住多套用户名和密码的负担，同时也可避免每次访问应用时都要再重复输入一遍用户名和密码。寻找打印机也更加方便。用户甚至不必记住打印机服务器的名字，利用寻找打印机就可以迅速找到离自己位置最近的打印机，极大的方便工作。其次，每次不再需要重复输入用户名和密码即可进入系统；寻找文件更加方便，用户不必记住文件服务器的IP地址，只需要记住服务器名称即可，利用分布式文件系统，统一到一个地方去存取文件，而不用担心文件物理放在哪台文件服务器上；设立文件共享不再需要特别设定共享密码。缺省只有域用户才可以访问，文件共享者也可以通过设定特定的域用户组和特定用户，只允许他们才可以访问改文件。当用户去访问文件服务器，不再需要输入用户名和密码。Windows会利用域帐户自动去验证。2、设备的管理-加强终端管理，降低运维费用建立目录管理系统，通过活动目录组策略推送的方式，将终端使用策略主动的推送到各个终端。只要用户登录进入域，域管理服务器就会自动推送该用户所需要的终端设置。这样就可以实现约束业务人员终端使用，加强单位终端管理、维护手段的主动性，降低终端人为导致软件故障的发生率，从而降低运维费用。而且在这种统一管理下，用户还能实现多种远程管理。比如用户可以不必在Windows客户机上安装打印机驱动程序就能够使用打印机，可以很容易地进行网络打印以及管理打印机服务器了。再比如委托管理，各部门可自行管理，包括创建本部门用户，计算机，打印机，文件服务器等。组策略设置可以让管理员以逻辑单元（例如部门或办公地点）的形式组织用户和对象，然后给这些逻辑单元分配相同的设置，包括安全、外观和管理选项，这个过程可以简化相应的管理任务。3、提升系统安全管理水平作为安全管理中心，活动目录服务利用安全组策略技术进行服务器和桌面机器的安全控制。通过有效的单位级或者部门级安全策略设定，在单位内部桌面系统加强安全约束，提供整体安全性，从而提升系统安全管理水平。4、后续增值效益活动目录技术作为目录建设的基石，其本身的作用主要有三第一，它可以成为一个管理中心。通过对网络中的元素，如用户账户、计算机账户等信息进行收集、保存，作为其管理的对象。通过其本身提供的组策略等技术作为管理的手段，从而实现管理中心的功能；第二，它可以成为一个安全中心。通过域环境的搭建，使其成为域中资源的安全边界。同时，可以扮演身份认证和授权中心的角色；第三，它是一个开放的平台。通过对目录服务标准的支持，使得在其基础架构上，进行应用的开发、与其它应用和服务进行整合成为可能，从而不断扩展其功能。二、现有网络环境下存在的问题1.为给用户电脑提供正常标准的办公环境，安装操作系统和应用软件已经耗费了科技人员一定的精力和时间，同时又难以限制用户安装软件，导致科技人员必须花费其50%以上的精力用于维护用户的PC系统，无法集中精力去开发信息系统的深层次功能，提升信息系统价值。2.由于使用者的防范意识普遍偏低，防毒措施往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态，部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞，使得木马、病毒传播迅速，影响规模大，导致网络长时间处于带病毒运行，反复发作。3.个别员工私自安装从网络下载安装的软件，这些从网络上下载的软件安装包多数附带各种插件、木马和病毒，并在安装过程中用户不知情的情况下强行安装在办公电脑上，增加了办公电脑大量的资源消耗，导致计算机反应缓慢，甚至被远程控制；5.局域网共享，包括默认共享（无意），文件共享（有意），一些病毒比如ARP通过广播四处泛滥，影响到整个片区办公电脑的正常工作；6.部分员工使用支行计算机上网聊天、听歌、看电影、打游戏，部分员工全天24小时启用P2P软件下载音乐和影视文件，由于迅雷和BT等软件并发线程多，导致大量带宽被部分员工占用，网络速度缓慢，导致应用软件系统无法正常开展业务，即便是严格的计算机使用管理制度也很难保障支行中的计算机只用于业务本身，PC的业务专注性、管控能力不强。三、网络管理和维护策略针对以上这些因素，我们可以通过域服务器来统一定义客户端机器的安全策略，规范和引导用户安全使用办公电脑。(一)域服务器的作用1.安全集中管理统一安全策略。2.软件集中管理按照支行要求限定所有机器只能运行必需的办公软件。3.环境集中管理利用AD（活动目录）可以统一客户端桌面,IE,TCP/IP等设置4.活动目录是网络基础架构的根本，为支行整体统一管理做基础其它防病毒服务器、补丁分发服务器、文件服务器、打印服务器等服务依赖于域服务器。（二）建立域管理1，建立域控制器，并规定所有办公电脑必须加入域，接受域控制器的管理，同时严格控制用户的权限。我行员工帐号只有标准DomainuseRs权限。不允许系统管理员泄露域管理员密码和本地管理员密码。2、办公计算机必须严格遵守命名规则，同时实现实名负责制。指定员工对该计算机负责，这不但是固定资产管理的要求，也是网络安全管理的要求。对计算机实施员工实名负责是至关重要的，一旦发现该员工电脑中毒和在广播病毒包，科技人员能准确定位，迅速做出反应，避免扩大影响。3、建立防病毒服务器，通过防病毒及时更新计算机的病毒库，增强整体的病毒抵御能力，及时消灭网内病毒。4、启用组策略。对用户的计算机制定相应的安全策略。这样从根本上提高了支行用户计算机的安全性，减少了支行用户遭受蠕虫、病毒、木马以及间谍软件的风险。5、借助于入侵检测防御系统，使得管理员可以根据记录进行统计分析，发现有潜在危险的办公计算机，可以有针对性地进行预防性检查。四、整体规划：(一)组织结构最上面是单域jsR下面创建OU（组织单元）：1、计算机组织单元和用户组织单元计算机OU下面创建各个部门的计算机OU并创建相应策略。用户OU下面创建各个部门的用户OU并创建相应策略。2、域控制器对所有用户和计算机提供各种服务。如DNS服务、DHCP服务、分布式文件系统服务、打印服务、磁盘配额服务等。3、文件服务器对所有用户提供文件存取服务。不同部门可以设置不同安全策略，以满足不同部门的办公需求，通用策略可以设置在根域上，特殊权限在不同部门分别做策略。（二）用户及名称规划1、用户登录名命名规范：js+_+员工中文名拼音的第一个字母，用户通过输入自己的用户名和密码既可登录到域服务器。2、客户端计算机命名规范：员工中文名+域名（jsR）如：周建华.jsR。这样我们可以用软件找到病毒机器时可以通过电脑名称快速定位电脑位置，并及时进行处理。3、各部门用户加入各部门的OU，便于用户管理及根据部门进行不同的策略设置4、计算机帐户中删除多余用户，仅保留域用户及administRatoR，重命名管理员帐户，并且强制统一管理员密码，以便日后维护。（三）用户权限及策略规划1、所有用户初始权限为DomianuseRs权限，能正常访问本地资源，受限安装软件，禁止用户修改注册表，禁止修改TCP/IP，禁止修改计算机设置。2、常用软件可以用软件分发来做，个别用户的特殊软件可以远程安装。近期使用计算机指派,文件服务器共享等方式，远期使用SMS服务器安装。（四）密码策略设置1、密码长度最小值为6个字符2、密码最长使用期限为30天3、强制密码历史为1个（新设的密码不能与前一个密码相同）4、允许密码错误输入6次5、密码错误6次后帐户锁定时间为30分钟五、具体的实施具体技术方案包括：（一）需求收集收集各部门工作需要用到的软件，与工作有关的网页，机器配置情况及常见的一些机器故障。（二）规划规划服务器，客户端安装，用户权限规划。在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计，让用户和管理员在使用时更为方便。域的结构遵循简单原则，采用单域模式，人员的组织以部门为组织单位加入域中。1、规划DNS如果用户准备使用活动目录，则需要首先规划名称空间。当DNS域名称空间可在Windows2003中正确执行之前，需要有可用的活动目录结构。所以，从活动目录设计着手并用适当的DNS名称空间支持它。2、规划用户的域结构最容易管理的域结构就是单域。规划时，用户从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在一个域中，可以使用组织单元(OU，ORganizationalUnits)来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。3、规划用户的权限我们给用户那些权限,useR（最低权限，不能安装软件），PoweRuseR（能完成所有任务但不能更改管理员设置）？建议初期给PoweRuseR稳定后回收权限。组策略有以下几个比较重要的应用（1）软件分发，分发msi格式软件，非msi格式可通过工具转换（2）软件限制（非办公软件可以使用软件策略进行限制）（3）文件夹重定向，可以把用户资料保存到安全位置（4）管理设置,主要设置一些windows组件相关内容，比如开始菜单显示的内容（5）Ie相关设置（信任站点，控件下载，文件下载等）（6）安全设置（帐户策略，系统服务，注册表，文件系统）（7）实现一些脚本的功能（比如禁止使用U盘）4、文件服务器的要求（1）每个用户都能存取删除自己所拥有的文件。（2）每个使用者都要有自己的帐户，并且对特定文件夹的访问需要形成日志保存下来供管理员查看。（3）保证用户存放在服务器上的文件不携带病毒和其它有危害性的代码。（4）每个用户只能在服务器上存放一定大小和类型的文件，而不是无限大的文件，并且当存放文件到特定警戒线的时候能通知管理员。5、部署。部署客户端客户端使用手工安装的办法安装WindowsXP系统，并按一定的操作流程进行安装，确保所有客户端安装结果保持一致。（1）格式化整个硬盘，安装WindowsXPsP2操作系统（2）安装电脑硬件驱动程序安装（3）以本地管理员身份安装WindowsxP操作系统sP3补丁（4）以本地管理员身份调整虚拟内存大小，以及取消启用休眠功能（5）以本地管理员身份调整刻录机缓存位置（缓存不要设置在系统盘）（6）以本地管理员身份将计算机加入到域（7）以域管理员身份安装应用软件：邮件系统（对安装目录设好修该权限）、补丁分发软件、媒体播放软件（8）重新启动计算机，让计算机自动安装部署常用办公软件（9）以域管理员身份给其它分区赋予普通用户完全控制权限（10）以域管理员身份删除默认打印机6、测试。部门办公应用在域环境下能否正常使用，安全性方面能否达到预期效果，业务系统能否正常登录，打印；office软件能否正常运行。7域的备份域的备份主要是通过做备份域，以及微软自带的备份工具备份帐户数据及系统状态等。六、服务器的安全1、域控制器的安全保证：域控制器主要是管理局域网的用户和机器，并对用户的权限进行控制，一旦主域控制器系统损坏，重新安装系统后就必须重新建立用户信息，为了防止系统损坏而影响系统使用，在局域网中设置一台备份域服务器，备份域服务器能将主域控制器上的所有用户信息备份到本机，并在主域控制器失效时自动充当主域控制器的角色，保证系统能正常运行。2、文件服务器的安全保证：文件服务器主要是保存各种私密文件，所以其安全性主要是考虑服务器上保存的文件的安全性，文件服务器本身做磁盘冗余，这样即使服务器有一个硬盘损坏也不会导致文件丢失，另外我们还通过分布式文件系统将文件服务器上文件保存其他服务器上，这样即使文件服务器遭遇灾难性的损坏我们的文件也不会丢失。3、综合安全优化（1）停掉Guest帐号（2）修改管理员帐号和创建陷阱帐号：重命名AdministRatoR账号，然后新建一个名称为AdministRatoR的陷阱帐号受限制用户，把它的权限设置成最低。（3）设置远程可访问的注册表路径为空，这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。打开组策略编辑器，然后选择计算机配置Windows设置安全选项网络访问：可远程访问的注册表路径及网络访问：可远程访问的注册表，将设置远程可访问的注册表路径和子路径内容设置为空即可。（4）锁住注册表（5）运行防病毒软件4、监视服务器性能：（1）通过实时和日志方式来监视服务器性能；（2）监视服务器内存性能；（3）监视服务器处理器性能；（4）监视服务器磁盘性能；（5）监视网络性能。附：组策略相关设置一、系统策略设置：1、关闭系统还原功能2、关闭防火墙3、停用自动更新4、关系自动播放功能5、停用显示关闭事件跟踪程序6、允许系统在未登录前关机7、禁止访问注册表编辑工具8、禁止后台运行Regedit二、计算机策略设置1、软件管理2、通过服务器部署常用软件3、在启动脚本中加入禁用USB接口脚本，同时对系统文件usBstoR.inf和usBstoR.Pnf加以控制，对这两个文件的权限赋予拒绝任何人访问。（禁用移动存储介质）4、在启动脚本中加