信息安全管理方案.doc

*（*）有限公司信息安全管理方案*（*）有限公司信息安全管理方案网络安全与数据安全本文档主要对网络安全和数据安全方面进行策略分析，落实公司信息安全管理。 目录项目需求3项目实施5网络拓扑8项目需求理清管理思路，对网络环境及安全管理提出明确的要求。（一） 基本信息：1. 公司性质：国有制造业。2. 公司品牌：*。3. 组织规模：250人。（二） 环境：4. 公司使用的台式机和便携式计算机的数量：100到150台。5. 公司使用的服务器数量：3到6台。6. 办公地点数量：1处。7. 数据是否敏感：机密。（三） 基础架构安全：8. 网络是否需要与internet连接：部分终端与外网连接。9. 是否连接外部第三方网络：ERP网络需要通过专线租用方式，连接本部内网。10. 是否提供internet服务：不对外提供公司网站、邮箱、应用程序服务。11. 是否与其他公司共用办公场地：不共用。（四） 运作安全：12. 公司关键应用程序的目标用户：内部员工。13. 员工如何访问关键应用程序：仅从内部网络。14. 是否将任何网络基础架构的维护外包：是 需确认。15. 是否存储敏感数据：是。16. 使用的软件状态：知名的，正版软件。17. 是否对可能存在安全问题的新服务及应用程序先进行评估再安装部署：需经技术人员测试评估。18. 未来是否部署新技术组件：有考虑。19. 是否扩展公司网络：当前没有计划。（五） 人员安全20. 是否允许员工或承包商远程连接至公司网络：允许经核准的人员连接至公司网络。21. 是否允许员工在终端上部署服务器：不允许。22. 是否允许员工安装风险软件：不允许。23. 是否允许员工不在现场处理机密数据：不允许。24. 是否允许员工下载敏感数据到个人终端中：不允许。25. 是否允许员工使用外设接口：需经批准。26. 员工是否熟知即将部署的技术组件：通过培训指导，使员工掌握技术应用。27. 是否根据用户职责限制用户信息访问权限：是。28. 是否定期修改特权账户的密码凭证：强制性要求修改。29. 在管理人员离职后是否需要交出管理权限：强制性要求交割。 项目实施 *（*）有限公司（以下简称公司）作为*股份有限公司（以下简称股份公司）名下子公司，承接了股份公司MES-ERP的管理模式，在网络接入方面，需要连接internet网络，通过租用专线与本部保持信息传递，同时公司也将部署MES、ERP、OA平台等系列服务器，对网络安全及数据安全要求较高。实施方案如下：（一）网络安全模块序号要求方案硬件1外网健壮性1.考虑到中国电信运营商传统的技术优势以及在南方线路铺设的成熟度，选择电信网络来接口本部内网。2.采用传统VPN专线接入，独占线路。3.可申请两条线路，保证链路冗余性，同时做负载均衡。2内网健壮性1.在核心层使用两台三层交换机做热路由备份，防范主干网瘫痪。2.在交换机上划分Vlan，阻止大规模的广播风暴影响整体网络的通畅，保障网络的稳定。3硬件设备实时监控通过使用网络监控系统，实时跟踪路由器、交换机、服务器及各终端的配置信息和运行状态等。需购买软件。4终端控制根据IP和MAC绑定的方式确保终端接入的安全性，同时保证未经容许的无线设备、笔记本电脑也无法接入无线网络。需购买软件。5网络铺设对线路的连接、设备的安置都应规范化，如设备的编码、归类等，方便维护。软件6边界安全1.连接外网的入口处，部署防火墙 一些防火墙同时具备VPN能力。、IPS等硬件产品。防火墙可以防范来自internet外部对企业内部网络的主动威胁，通过防火墙设备对internet的访问进行控制，IPS为入侵防御系统，是对防火墙的补充。推荐考虑Cisco、Juniper(netscreen)等主流防火墙。2.部署内容过滤（网络行为监控）系统，对网络内的上网行为进行规范，并监控上网行为，过滤网页访问，过滤邮件，限制BT下载行为，阻止恶意文件的下载。在防范员工避免遭受来自internet的病毒感染、恶意脚本攻击等的同时使公司的网络带宽资源得到充分的利用。可桥接专门的硬件设备或使用软件控制。7操作系统安全及应用软件设置需要合理配置好操作系统以及应用软件的安全设置，在这个层面上要在保证安全和使用方便两者之间的关系取得一定的平衡。比如操作系统密码口令复杂度、有效时间、应用开放的端口控制、数据库是否容许远程管理、用户账号权限控制等等。8补丁更新，漏洞检查1.补丁更新，可以建立一个WSUS服务器，以便服务器和终端及时更新补丁。或使用其他软件分发更新补丁。2.漏洞扫描，需经常关注所使用的数据库系统、硬件设备等等厂商公布的漏洞补丁。可使用一个较为全面的漏洞扫描软件经常性检测是否存在严重的安全漏洞。9企业防病毒系统强化病毒防护系统的应用策略和统一管理策略，使企业用户的电脑的病毒库及时得到更新，增强病毒防护有效性，降低病毒的威胁。国内外的企业级防病毒产品有很多，如瑞星、*毒霸、诺顿、NOD32、趋势防病毒等等，根据公司实际情况选择其中一种。10网络监控1.使用软件监控所有的服务器系统、网络设备，及时发现网络是否出现异常流量并控制带宽。2.使用软件监控sqlserver、oracle数据库、以及windows、linux操作系统的应用情况、系统资源使用情况，保障应用的安全。 11财务系统访问控制在交换机上划分Vlan子网，并配置ACL控制，对不同的网段之间的访问进行访问控制。必要时可物理隔绝财务系统。（二）数据安全模块序号要求措施存储1数据备份通过备份软件（如FTP数据备份）自动备份数据。建议使用使用双机热备，即实现了负载均衡的功能，又可以实时保证数据备份为最新。2数据恢复要求数据安全管理人员使用存储介质定期拷贝备份的数据，同步更新备份。3存储环境对数据中心的基础设施建设应有所投入，如UPS、门禁、监控等。机密4外设管理通过软件对设备光驱、USB端口、COM端口等进行限制使用。需购买软件。5数据加密对机密数据使用软件进行加密，或限制下载权限。以上所有的信息安全管理是基于技术方面，仅仅靠技术手段建立起来的安全体系过于单薄，同时更需要配合一套完整的信息安全管理制度。1、建立网