深圳市某公司信息安全规划方案

深圳市某公司信息安全规划方案内容摘要：

考虑，我省信息安全建设采用分阶段实施的方式，按照各种安全技术和安全管理在安全建设体系中的优先地位进行安全建设。 安全建设第一阶完成后，网络状态可以达到相对安全的状态。 请结合 深圳市**公司 信息安全建设，考虑第二阶段的安全建设将如何进行。 以及待 深圳市 **公司 的全网安全基本达到了系统化的程度，各种安全产品充分发挥作用，安全管理也逐步到位和正规化 ， 即可考虑 第三阶段 和第四阶段 将如何开展。 自治区烟草安全规划方案 建议书 7 4 第一阶段 迫切阶段 加强区公司与地州公司的边界访问控制 目前， 深圳市 **公司已经全疆范围内部署了防火墙与 VPN 系统，但是由于时间已经很长，设备在性能与功能上都不能适应现在的网络与业务的发展。 在本次项目中，我们建议更换防火墙系统，加强网络边界防御工作。 从节省资金的角度出发，在本次的防火墙选型中，直接选用带有 VPN 功能的防火墙系统，便于操作与管理。 解决区公司的网页安全问题 当前 国际、国内的政治形势和经济形势比较特殊，又正值 7. 5 事件发生后期，网站 安全问题越来越复杂， Web 服务器以其强大的计算能力、处理性能及所蕴含的高价值逐渐成为主要攻击的目标。 针对网站，各类 安全威胁正在飞速增长。 2020 年， CNCERT/CC 监测到中国大陆被篡改网站总数累积达 61228 个，比 2020 年增加了 倍。 Google 最新数据表明，过去 10 个月中， Google 通过对互联网上几十亿 URL 进行抓取分析，发现有 300 多万个恶意 URL。 其中，中国的恶意站点占到了总数的 67%。 传统的边界安全设备，如防火墙，作为整体安全策略中不可缺少的重要模块，局限于自身的产品定位 和防护深度 ， 不能有效 地 提供针对 Web 应用 攻击完善的防御能力。 因此， 深圳市 **公司 网站有必要采用专业的安全防护系统，有效防护各类攻击、降低网站安全风险。 提升入侵防御能力 防火墙作为 深圳市 **公司 安全保障体系的第一道防线，已经得到了非常 好 的应用 效果 ，但是各式各样的攻击行为还是被不断的发现和报道，这就意味着有一类攻击行为是防火墙所不能防御的，比如说应用层的攻击行为。 自治区烟草安全规划方案 建议书 8 深圳市 **公司 想要实现完全的入侵防御，首先需要对各种攻击能准确发现，其次是需要实时的阻断防御与响应。 防火墙等访问控制设备没有能做到完全的协议分析，仅能实现较为低层的入侵防御，对应用层 攻击等行为无法进行判断，而入侵检测等旁路设备由于部署方式的局限，在发现攻击后无法及时切断可疑连接，都达不到完全防御的要求。 深圳市 **公司 想要实现完全的入侵防御，就需要 在网络上 将完全协议分析和在线防御相融合，这就是入侵防御系统（ IPS）： online 式在线部署，深层分析网络实时数据，精确判断隐含其中的攻击行为，实施及时的阻断。 加强对区公司、地州终端的桌面管理能力 区公司采用本类产品目的在于， 能够对客户端进行状态安全控管，主要涉及客户端联网监控、客户端状态管理、设备注册、客户端桌面安全审计、客户端补丁分发管 理、客户端应用资源控制以及远程协助管理等能。 系统实时监控和报警网络中存在的客户端违规、病毒事件等行为，提供在线客户端安全状态信息；依据系统报警信息和客户端上报的安全信息，管理人员在控制台远程对异常网络或者违规客户端机器采取处理措施（如断网、告警、远程协助等）。 对补丁进行自动分发部署和管理控制。 ? 客户端进程黑白名单控制，防止非法进程启动。 全网客户端进程统一汇总监视。 ? 客户端软件黑白名单管理，客户端软件统一汇总监视。 ? 客户端软件自动分发和管理。 ? 客户端统一的端口策略控制。 ? 如何有效进行网络资源管理和设备资产管理。 ? 网络节点控制。 ? 弱口令监控。 ? Usb 移动存储设备的行为审计和控制。 ? 防止防范用户绕过防火墙等边界防护设施，直接联入外网带来的严重安全隐患行为（对于物理隔离的网络，切实保障其有效的隔离度，保证专网专 自治区烟草安全规划方案 建议书 9 用）。 ? 进行外来笔记本电脑以及其它移动设备（如 u 盘、移动硬盘等）的随意接入控制。 ? 准确有效的定位网络中病毒的引入点，快速、安全的切断安全事件发生点和相关网络。 ? 安全、方便的将非安全计算机阻断出网。 ? 监控内网的敏感信息。 ? 按照既定策略统一配置客户端端口策略、注册表策略等客户端安全策略。 ? 有效监控客户端的运维信息， 以便网管了解网络中的客户端是否已超负荷运转，是否需要升级。 ? 策略按照（区域、操作系统、时间等）进行控制和多级级联。 ? 软件使用简单，所有的策略均在策略中心统一配置，用户上手简便。 解决 VPN 系统的更新并且有效过渡的问题 在本次项目中，我们在采购防火墙时，就带有 VPN 模块，其中支持 IPSEC、SSL 两种模式，可以根据应用自由选择，比现有的 VPN 系统速度更快，配置更方便，使用更便 捷。 使现有的 VPN 系统很平滑地向新技术过渡。 提升区公司及地州公司对网络可管理的能力 随着信息化发展的加速和深入， 深圳市 **公司的 IT 系 统和网络越来越复杂，各级 分公司 对网络正常运转的依赖性逐渐增大， IT 和网络应用逐渐融入到单位的日常工作中。 网络基础设施和各种应用系统在不断增加，一旦 IT 系统和网络运行出现问题，将会对所有的依赖于信息化平台的正常工作产生影响。 因此，高效的系统与管理已经成为 **公司 信息化建设是否成功的重要条件。 网络管理系统 可广泛应用于对局域网、广域网、城域网和关键 IT 业务系统中的路由器、交换机、防火墙、负载均衡设备、服务器、操作系统、数据库、中间件、网站、域名、 URL、 OA、 CRM、 ERP、 SCM、 HIS 等各种 IT 网络组件和业 务系统进行 7X24 的持续监控、不间断的数据采集和分析，对错误和故障数据进行 自治区烟草安全规划方案 建议书 10 颜色、声音、短信息、邮件等多种方式的报警，提供多种图形和报表帮助用户进行故障分析和性能诊断，保证 IT 业务系统和网络持续、稳定运行，提高 IT 系统的效率，降低由于 IT 业务系统故障而导致的损失。 加强对上网行为审计的能力 随着 Inter 接入的普及和 网络 带宽的增加， 使 用户上网条件得到改善， 同时 也给 **公司 网络 带来 了 更高的危险性、复杂性。 终端 用户随意使用网络 资源 将导致三个问题： (1)工作效率低下、 (2)网络性能恶化、 (3)网络泄密和违法 行为 增多。 **公司 网络 作为一个开放的网络系统，运行状况愈来愈复杂。 网管中心 如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这 些 都是对**公司 信息安全管理的挑战，这些问题包括： 管理员如何对网络效能行为进行统计、分析和评估 ， 管理员如何监控、控制一些非工作上网行为和非正常上网行为 ， 管理员如何杜绝用户通过电子邮件、MSN 等途径泄漏内部机密资料 ，以及 管理员如何在发生问题时有 查证的 依据。 因此，如何有效地解决这些问题，以便提高用户 的工作效率，降低安全风险，减少损失，对 网络 进行统一管理 ， 调整网络资源的合理利用 ， 已经成为 **公司信息中心 迫在眉睫的紧要任务。 因此 内网安全管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。 自治区烟草安全规划方案 建议书 11 5 第二 阶段 信息安全建设 方案 在 这三年信息安全建设过程中 ，我们实现安全信息安全体系框架的规划设计与实现，并重点围绕 深圳市 **公司 当前网络中存在的问题进行解决，而且该安全体系框架的规划设计，要能够适应 深圳市 **公司 在自身发展中可 能出现的业务调整和变化。 建设原则 在设计技术方案时要遵从以下 原则： 1. 实用性原则 深圳市 **公司 的 安全体系建设 将始终遵循“面向应用，注重实效”的指导思想。 紧密结合 深圳市 **公司 现有网络和应用情况，充分保证原有系统和结构的可用性。 2. 协商原则 对于一个应用系统而言，他的安全性有时候与合理性存在着矛盾，从使用者的角度讲是合理的，站在安全的角度来分析则是不安全的，存在着风险，这时候就需要协调和论证在二者之间做出平衡。 3. 完整性原则 深圳市 **公司 网络安全建设必需保证整个防御体系的完整性。 在 安全体系建设 中，我们采取多种 安全防御的技术和措施来保障 深圳市 **公司 的网络系统安全运行。 4. 整体均衡 原则 要 对信息。