珠海市XX股份有限公司企業(yè)信息網(wǎng)絡(luò)安全整體規(guī)劃

方案目錄TOC\o"1-5"\h\zXX集團(tuán)整體網(wǎng)絡(luò)概述3網(wǎng)絡(luò)安全規(guī)劃范圍3物理層安全范圍3邏輯層安全范圍3網(wǎng)絡(luò)拓?fù)鋱D及設(shè)備清單4擴(kuò)展描述43.1.物理安全類別43.2.邏輯安全類別6XX集團(tuán)整體網(wǎng)絡(luò)概述珠海XX股份有限公司于2010年10月將原有網(wǎng)絡(luò)系統(tǒng)進(jìn)行全方位升級、改造，包括網(wǎng)絡(luò)傳輸設(shè)備、整體網(wǎng)絡(luò)架構(gòu)、服務(wù)器重新部署、安全規(guī)劃、安全高效管理等。于2011年6月1日正式運(yùn)行OA系統(tǒng)，網(wǎng)絡(luò)整體已處于穩(wěn)定狀態(tài)，故此現(xiàn)針對網(wǎng)絡(luò)及其核心系統(tǒng)進(jìn)行整體網(wǎng)絡(luò)安全規(guī)劃。網(wǎng)絡(luò)安全規(guī)劃范圍物理層安全范圍物理層：1、終端系統(tǒng)2、數(shù)字化通信系統(tǒng)（暫無）3、內(nèi)部網(wǎng)絡(luò)硬件系統(tǒng)4、連接外部網(wǎng)絡(luò)硬件系統(tǒng)5、外部網(wǎng)絡(luò)硬件系統(tǒng)（暫無）6、核心機(jī)房安防系統(tǒng)（溫度、濕度、抗干擾、防靜電、門禁、消防）7、整體門禁等安防系統(tǒng)8、綜合布線系統(tǒng)9、設(shè)備移動、增加、維修管理邏輯層安全范圍邏輯層：1、網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)2、網(wǎng)絡(luò)管控系統(tǒng)3、網(wǎng)絡(luò)監(jiān)控系統(tǒng)4、網(wǎng)絡(luò)架構(gòu)安全合理性5、網(wǎng)絡(luò)傳輸設(shè)備配置安全（配置合理性、安全性、漏洞掃描）6、各類服務(wù)器配置安全（漏洞掃描、屏蔽）7、各類網(wǎng)絡(luò)傳輸設(shè)備、服務(wù)器、其他設(shè)備等備份機(jī)制（系統(tǒng)備份、配置備份）8、各類系統(tǒng)維護(hù)管理機(jī)制9、各類系統(tǒng)密碼管理機(jī)制10、終端安全維護(hù)機(jī)制11、終端日常安全操作12、信息保密機(jī)制網(wǎng)絡(luò)拓?fù)鋱D及設(shè)備清單所涉及設(shè)備、系統(tǒng)清單詳見附錄1所涉及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)詳見附錄2。擴(kuò)展描述物理安全類別A終端系統(tǒng)指集團(tuán)公司內(nèi)部員工所使用工作系統(tǒng)終端，包括固定與移動終端；安全規(guī)則：1、員工不得私自（未經(jīng)公司允許）將工作終端攜帶出辦公地點、移動、維修、拆裝、無故損壞、擅自插入未經(jīng)允許的移動存儲設(shè)備等，如需上述變更必須經(jīng)過信息發(fā)展部受理；2、終端電腦附近的水杯等儲水裝置應(yīng)指定位置擺放；3、靠近窗戶的終端應(yīng)考慮防雨水、防曬、防盜、防雷4、終端電腦都應(yīng)做防靜電處理5、終端電腦的物理配置應(yīng)做詳細(xì)統(tǒng)計6、終端電腦附近不應(yīng)擺放產(chǎn)生強(qiáng)烈干擾的設(shè)備，如高功率無線設(shè)備等7、終端電腦附近不應(yīng)擺放磁性物質(zhì)，如音響、帶有磁鐵的工藝品等8、有多數(shù)（超過每2平方米一臺終端）電腦存在的房間應(yīng)注意溫度、濕度、防雷、防盜9、如遇特殊情況應(yīng)立即先斷電再按照各類應(yīng)急處理措施執(zhí)行數(shù)字化通信系統(tǒng)（暫無）內(nèi)部網(wǎng)絡(luò)硬件系統(tǒng)主要網(wǎng)絡(luò)設(shè)備應(yīng)集中放置在核心機(jī)房，所有底層交換機(jī)等網(wǎng)絡(luò)傳輸設(shè)備應(yīng)集中放置于有門鎖的機(jī)柜內(nèi)部，注意防靜電、防雷、防潮、溫濕度、防盜等；如無條件集中放置在機(jī)柜內(nèi)的必須單獨購買小型帶鎖機(jī)箱，至少距離地面25公分以上；不允許非工作人員隨意觸碰設(shè)備；連接外部網(wǎng)絡(luò)硬件系統(tǒng)應(yīng)放置在核心機(jī)房內(nèi)部，單獨有鎖機(jī)柜，物理觸碰權(quán)限另外分配外部網(wǎng)絡(luò)硬件系統(tǒng)（暫無）核心機(jī)房安防系統(tǒng)（溫度、濕度、抗干擾、防靜電、門禁、消防）核心機(jī)房建設(shè)基本原則：以通信行業(yè)標(biāo)準(zhǔn)規(guī)定的通信設(shè)備（交換設(shè)備、傳輸設(shè)備、數(shù)據(jù)網(wǎng)絡(luò)設(shè)備）的正常使用環(huán)境要求為基礎(chǔ)，確定數(shù)據(jù)中心機(jī)房的環(huán)境要求。?機(jī)房環(huán)境溫濕度要求：AA級、A級機(jī)房溫度為21-25°C，相對濕度40%-70%；B級、C級機(jī)房溫度為18-28°C，相對濕度40%-70%，溫度變化率小于5°C/h，且不結(jié)露。?機(jī)房潔凈度要求。機(jī)房內(nèi)灰塵粒子應(yīng)為非導(dǎo)電、非導(dǎo)磁及無腐蝕的粒子?；覊m粒子濃度應(yīng)滿足：（1）直徑大于等于0.5pm的灰塵粒子濃度<18000粒/升。（2）直徑大于等于5pm的灰塵粒子濃度<300粒/升?！峨娮佑嬎銠C(jī)機(jī)房設(shè)計規(guī)范》國家標(biāo)準(zhǔn)對電子計算機(jī)機(jī)房的溫濕度要求如下：?保持溫度恒定［溫度波動控制在24士（1~2°C之內(nèi)］。?保持濕度恒定［相對濕度波動控制在（50%士5%）RH之內(nèi)］。?空氣潔凈度為：在每升空氣中，大于等于0?5pm的顆粒應(yīng)小于18000個。?換氣次數(shù)>30次/小時。即給定的機(jī)房內(nèi)，空調(diào)的風(fēng)量和機(jī)房容積的比值大于30。?機(jī)房與室外正壓〉9.8Pa:對無外窗的機(jī)房，相對相鄰房間保持正壓〉4.9Pa。?空調(diào)設(shè)備具備遠(yuǎn)程監(jiān)控及來電自啟動功能。1、溫度：建議溫度為冬天24°C士VC、夏天為22°C士1°C機(jī)房溫度與計算機(jī)可靠性對照機(jī)房溫度10°C15OC25OC35OC40°C可靠性變化l?00°C1?22°C1?17°C0.87°C0.85°C2、濕度：最佳濕度范圍為45－60％3、氣流按照送、回風(fēng)口布置位置和形式的不同，可以有各種各樣的氣流組織形式，大致可以歸納以下五種：上送下回、側(cè)送側(cè)回、中送上下回、上送上回及下送上回4、冷風(fēng)循環(huán)次數(shù)大于30次，機(jī)房空調(diào)送風(fēng)壓力75Pa5、門禁系統(tǒng)關(guān)注點：身份、權(quán)限、視頻監(jiān)視、審批陪伴責(zé)任原則；重點于防盜與身份行為記錄6、防靜電、防雷按照國家機(jī)房標(biāo)準(zhǔn)執(zhí)行7、機(jī)房球狀范圍無干擾設(shè)備，范圍于干擾頻率大小可參考相關(guān)標(biāo)準(zhǔn)8、重點不得讓非公司工作人員或者在無陪同情況下進(jìn)入機(jī)房并可直接接觸核心機(jī)房所有設(shè)備整體門禁等安防系統(tǒng)重點區(qū)域、辦公室（如財務(wù)）、機(jī)房等需要進(jìn)行24小時視頻監(jiān)視以及身份驗證綜合布線系統(tǒng)根據(jù)企業(yè)新調(diào)整的綜合布線系統(tǒng)，已通過驗收，均符合相關(guān)標(biāo)準(zhǔn)，無調(diào)整。>設(shè)備移動、增加、維修管理所有網(wǎng)絡(luò)傳輸設(shè)備、安全設(shè)備、無線設(shè)備、終端設(shè)備等的移動、維修、增加、報廢等均需要先通過信息化發(fā)展部部門確認(rèn)后才可執(zhí)行，遵循“誰簽字，誰負(fù)責(zé)”原則；并進(jìn)行詳細(xì)的數(shù)據(jù)記錄與統(tǒng)計。邏輯安全類別邏輯層：網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)已安裝ESETN0D32防病毒系統(tǒng)硬件防火墻各項參數(shù)24小時實時監(jiān)控硬件防火墻規(guī)則需要重新調(diào)整（初定時間為2011年7月中旬）；檢測時間為2011年7月初調(diào)整后結(jié)果參數(shù)要求：1、符合集團(tuán)信息化發(fā)展規(guī)模的運(yùn)行能力2、按照實際信息量的最大化出現(xiàn)頻率考良系統(tǒng)穩(wěn)定性、可靠性、運(yùn)行能力3、按照集團(tuán)內(nèi)部需求制定安全策略4、擁有入侵檢測、防病毒、防垃圾郵件等基本功能5、無異常狀態(tài)時需要每周次將系統(tǒng)運(yùn)行結(jié)果調(diào)用分析并出分析結(jié)果網(wǎng)絡(luò)管控系統(tǒng)網(wǎng)絡(luò)管控系統(tǒng)主要針對內(nèi)部網(wǎng)絡(luò)各邏輯分配、流量控制、數(shù)據(jù)類型管控（相關(guān)設(shè)備已有），控制能力到接入層不要求達(dá)到物理級別。網(wǎng)絡(luò)監(jiān)控系統(tǒng)網(wǎng)絡(luò)監(jiān)控系統(tǒng)需要針對數(shù)據(jù)報的進(jìn)出、流量等異常情況得出實時數(shù)據(jù)（相關(guān)設(shè)備已有），并每周次分析及出具分析結(jié)果監(jiān)控層面：流量、數(shù)據(jù)報、視頻、核心設(shè)備工作狀態(tài)、運(yùn)行配置參數(shù)網(wǎng)絡(luò)架構(gòu)安全合理性遵循原則：1、符合集團(tuán)內(nèi)部各部門具體需要，每功能、每設(shè)備均保留有剩余2、容易維護(hù)、監(jiān)管3、設(shè)備運(yùn)行期間無功能沖突、無“急、慢性死亡”現(xiàn)象（此現(xiàn)象是指由于網(wǎng)絡(luò)架構(gòu)以及設(shè)備性能沒有正確配置、規(guī)劃、判定的情況下，導(dǎo)致某些設(shè)備之間工作性能慢性下降，也包括由于不合理性導(dǎo)致遇到突發(fā)流量或者其它異常情況出現(xiàn)時某些設(shè)備停止工作）網(wǎng)絡(luò)傳輸設(shè)備配置安全（配置合理性、安全性、漏洞掃描）初定2011年7月初進(jìn)行詳細(xì)檢測關(guān)注點：1、不能輕易物理觸及設(shè)備2、將原有必須開放的協(xié)議、端口進(jìn)行評估，修改部分端口3、屏蔽掉原有開啟的無用的協(xié)議、端口4、配置符合現(xiàn)實需要，并做到即時可控各類服務(wù)器配置安全（漏洞掃描、屏蔽）初定2011年7月初進(jìn)行再次檢測（時長為三個工作日）1、將原有必須開放的協(xié)議、端口進(jìn)行評估，修改部分端口2、屏蔽掉原有開啟的無用的協(xié)議、端口3、配置優(yōu)化各類網(wǎng)絡(luò)傳輸設(shè)備、服務(wù)器、其他設(shè)備等備份機(jī)制（系統(tǒng)備份、配置備份）于初定2011年7月初進(jìn)行再次檢測后制定完整備份機(jī)制關(guān)注點：各核心設(shè)備的操作系統(tǒng)備份、配置備份、日志備份備份機(jī)制分為：定期備份、增量備份、定量刪除、混合備份>各類系統(tǒng)維護(hù)管理機(jī)制由集團(tuán)公司信息化發(fā)展部門以及外包服務(wù)商聯(lián)合協(xié)商工作（詳見服務(wù)外包合同以及集團(tuán)公司內(nèi)部相關(guān)管理文件）增加條例：核心設(shè)備根據(jù)不同操作系統(tǒng)及運(yùn)行狀況定期進(jìn)行手動重新啟動（在檢測后對每核心設(shè)備定義重新啟動周期）各類系統(tǒng)密碼管理機(jī)制密碼設(shè)立原則：1、字母、數(shù)字、特殊字符（個別系統(tǒng)不支持或只支持，具體可參考不同操作系統(tǒng)說明書）的無規(guī)律交叉組合2、無規(guī)律，不得以管理員或者操作者的姓名拼音、電話、其它常用密碼、生日、數(shù)列組合、數(shù)列順序等作為密碼組合3、密碼長度不少于12位（某些系統(tǒng)密碼設(shè)定為數(shù)位的上限）4、根據(jù)設(shè)備性質(zhì)不同密碼更換周期如下：核心系統(tǒng)及終端設(shè)備密碼管理：1、核心網(wǎng)絡(luò)設(shè)備（網(wǎng)絡(luò)設(shè)備及服務(wù)器）：每月2、門禁系統(tǒng)：每半年或者一年3、終端設(shè)備系統(tǒng)：每三個月4、重點設(shè)備：每月（如財務(wù)終端及其系統(tǒng)）各系統(tǒng)日志管理所有系統(tǒng)均必須建立日志存儲，核心系統(tǒng)定期查閱；無日志功能的設(shè)備除外終端安全維護(hù)機(jī)制1、定期根據(jù)核心監(jiān)管控系統(tǒng)針對每終端進(jìn)行異常檢測，如發(fā)現(xiàn)異常則立即網(wǎng)絡(luò)隔離并檢查、每終端必須裝有正版查殺毒軟體、員工不得隨意上傳、下載公司文件、員工不得隨意攜帶為經(jīng)過公司系統(tǒng)授權(quán)過的移動存儲設(shè)備上傳、下載終端內(nèi)任何數(shù)據(jù)5、各別部門不能使用未指定通信工具（如QQ、MSN、WEBQQ、SKYPE等）6、如終端電腦發(fā)生異常應(yīng)立即通告信息化部門，不得自行處理注釋：以上功能還需要其他軟硬件手段協(xié)助處理，以及管理機(jī)制控制終端日常安全操作與培訓(xùn)于2011年7月初針對系統(tǒng)全面檢測后，并針對集團(tuán)公司具體情況（部門性質(zhì)、人數(shù)等）制定培訓(xùn)計劃，培訓(xùn)的主要目的：提升員工日常安全操作水平、集團(tuán)公司信息保密意識、保密方法、泄密責(zé)任、網(wǎng)絡(luò)安全法律法規(guī)根據(jù)各部門人數(shù)不同、工作量不同、工作性質(zhì)不同與集團(tuán)公司協(xié)商后另行制定培訓(xùn)計劃。信息保密機(jī)制詳細(xì)見保密協(xié)議注釋：此方案為規(guī)劃方案，具體執(zhí)行參見每關(guān)注點！信息網(wǎng)絡(luò)安全重點為人員管理機(jī)制，此項機(jī)制須與集團(tuán)公司相關(guān)領(lǐng)導(dǎo)及相關(guān)部門規(guī)劃性完善。工作日程表:檢測完畢后2個工作日內(nèi)按照上述規(guī)劃方案及關(guān)注點,出具詳細(xì)的安全檢測報告及安全加固方案.檢測時長安全加固時長需配合人員情況備注服務(wù)器檢測7月5日