信息安全架构(初稿v01)

信息安全架构,201109,信息安全,概述：信息安全问题在互联网时代无处不在，我们对此带来的危险需要有深刻认识。公司特别需要对一些关键信息进行保护，如：财务信息、商务合同、报价信息、客户标书、解决方案等，包括但不限于潜在有形或无形价值资产进行保护；信息安全由制度与相应的技术实现组成。通过建立一套制度对公司的信息安全进行规范，再利用技术对制度进行实现。信息安全范围：广域网局域网便携电脑 、台式机、服务器打印机、磁盘 、U盘以及其它存储设备邮件系统、OA系统等门禁系统信息安全活动：成立信息安全小组，负责全部的信息安全方面工作。信息安全制度制定，技术实施，日常管理信息安全巡检（信息安全基线）信息安全宣传,全局架构,vlan1,vlan2,vlan3,vlan4,销售部,财务部,商务部,技术部,交换机,防火墙,路由器,出口防火墙,分支机构1,域认证服务器(AD),文档权限认证服务器(RMS),邮件服务器(Email),代理服务器（Proxy）,文件共享服务器(file share),RTX内部通信服务器,VPN服务器,vlanX,Windows补丁服务器,防病毒服务器(anti_v),分支机构2,接口控制服务器（USB,CDROM）,DHCP、DNS服务器,VPN,4,广域网,1、关闭对互联网的直接访问，按需申请，对所有访问进行存档三个月或半年，每周或每月抽查，只允许访问与工作相关的网站，杜绝娱乐，新闻等不相关的访问内容。首先有限访问，建设一台openproxy服务器，允许经过公司认可的常用（供用商，客户网站，技术性网站，商务网站）网站。其次无限访问，建设一台proxy2服务器，此服务需要权限认证，需要提交相应主管领导同意，走相关的流程（后续有相关电子流程，暂时可用工作联络单）方可以开通。、应对公司后续业务扩大，特别是各地办事处接入，可以建议通道，按照场景选择适合的方式（IPSec,GRE,PPTP）3、对于各类应用服务器，使用按需开通端口策略，如邮件服务器，仅开通pop3及smtp端口，DNS服务器只开通UDP53端口。涉及点：代理服务器(遥志软件，或自建)，服务器,局域网,对各部门划分VLAN，按业务分层，每个职能部门分配一个VLAN，基于当前分散办公特点，可使用MAC地址认证，从技术上讲，划分VLAN可以降低网络冲突,提高本地带宽.建立WINDOWS域控制器，公司所有办公机器在一个域的控制下，这样统一了认证，机器之间访问也就受到控制。建立文档权限管理服务（RMS），对于重要的每个文档（微软doc,execl,ppt）需要带有权限，非受权人员不能打开文件，保护工作机密。建立DHCP及DNS服务器，方便内部IP获取及域名工作。建议接口控制服务器，办公机器统一禁止USB，CDROM拷出功能，只允许拷入。如果需要拷出，需要走审批流程（同时在邮件也设置相应的策略）。建立内部文件共享系统，可以安照域组划分创建共享目录，或者设计FTP、其它WEB访问方式共享。WINDOWS补丁服务器与防病毒服务器需要统一管理，局域网向此类内部服务器去升级，而不需要通过互联网升级(wsus,norton)。建立内部在线通信系统，可选RTX等成熟平台或其它免费软件。除非工作需要才通过QQ，MSN等交流。,涉及点：VLAN划分，域服务器，RMS，DHCP，DNS，补丁，防病毒， 接口控制，在线通信,办公电脑,办公电脑需要加入创建域群。（AD）办公电脑需要安装指定防病毒软件。(norton or 其它)办公电脑需要指向统一补丁升级服务服务器。（wsus）安装相应的RMS文档权限客户端，及接口控制客户端。（RMS，接口控制）办公电脑需要贴用资产编号，资产管理员并登记存档。统计MAC地址并存档。,电子邮件,电子邮件策略默认邮件只允许内部发送，开通外发权限需要直接主管审批。向客户或第三方发送附件，需抄送直接主管。所有邮件保存副本三个月或半年，以备查验。选用软件Coremail，winmail，U-mail，或自建,内部沟通软件,腾讯RTX，seegletop，wineim，通达tip:最好能与内部域用户、OA平台集成,防病毒软件及Windows补丁升级,为内部办公电脑提供统一升级服务，目前防病毒软件及微软补丁升级方案很完善。只需要对防病毒软件进行选型。可选有norton，瑞星，360安全卫士等,IT管理平台与流程建设,需要建立一个管理平台，包括各类IT流程建设，财务，资产。,项目建设进度（预安排）,setp1、澄清check：网络架构设