企业信息安全规划

网络安全架构  

序号	设备名称	功能描述
1	WEB防火墙	普通防火墙针对一些底层(网络层、传输层)的信息进行阻断的防火墙,主要是作包过滤。  Web应用防火墙是应用级的网站安全综合解决方案,Web应用防火墙(WAF)旨在保护Web应用程序免受常见攻击(如跨站脚本攻击和SQL注入攻击等)的威胁。  深入到应用层,对应用进行深度防御,有效识别、阻止日益盛行的WEB应用黑客攻击:SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等。  Web应用防火墙可以检测出应用程序是否以其规定的方式在运行并且能够帮助管理员编写更具体的安全政策以防止同样的事情再次发生。
2	上网行为审计系统	对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析
3	入侵防御系统	通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象用于实现内外网之间进行入侵检测。
4	桌面管理系统	对终端实现外联监控、设备认证管理、自动发现新设备、移动存储设备管理认证、主机监控管理、系统信息管理(审计主机系统主机名、CPU、硬盘、内存等)、系统进程管理、系统注册表管理、网络连接管理、主机帐号管理、安装程序管理、数据共享管理、系统服务管理等。
5	堡垒机	1)账号统一管理;  2)密码代填和多种单点登陆  3)账户权限控制(命令级控制）  4)用户的全程操作审计,并对操作行为视频录像。
6	日志审计系统	对整个网络系统的基于物理拓扑的日志监控分析与审计,以便管理员实现基于网络平台和面向应用的"事前"管理、"事中"监控和"事后"分析。
7	数据库审计系统	数据库审计系统主要用于监视并记录对数据库服务器的各类操作行为通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据库系统的用户操作的监控和审计。
8	数据防泄密系统	1)对核心技术文档(office,设计图纸,源代码等)进行全生命周期加密保护,一般使用透明加密。  2)对软件开发的源代码防泄露保护,一般使用“沙盒″或其他技术对开发场景做审计及过滤。
9	杀毒软件	有效的保护PC客户端和服务器的病毒查杀
10	VPN	SSL VPN保障移动办公和WEB(如公司内网OA、ERP系统、CRM系统)安全的远程接入:  1)它不需要复杂配置,可以立即安装、立即生效;  2)不需要安装客户端,直接利用浏览器中内嵌的SSL协议就行;  3)兼容性好,可以适用于任何的终端及操作系统  保障运维、开发远程接入固定IP维护公司内网资源,需要安装客户端。  注: SSL VPN考虑的是单点接入网络,是应用在点对网结构的接入模式  IPSec VPN是在两个局域网之间通过Internet建立的安全连接保护的是网对网之间的通信。

安全评估与加固  

内容	主机漏洞扫描评估	网络安全评估	应用安全评估
简要描述	利用扫描工具检查主机操作系统、数据库系统和中间件的漏洞情况	利用扫描工具检查整个网络设备和安全设备的安全的漏洞情况	应用进行安全风险、配置合规性扫描和结果分析,发掘应用层的版本漏洞与脆弱的空弱口令应用帐户
达成目标	发掘内部网络的安全漏洞,提出漏洞修补建议	参考相关规定分析网络架构安全隐患问题	通过扫描或基线检查等方式发掘web应用、数据库及常规网络服务在应用级的脆弱点  通过安全检查发掘业务层的安全缺陷和配置错误。随后针对评估过程中发现的安全问题进行加固指导
主要内容	对主机进行漏洞扫描、配置合规性检查   1)针对主机漏洞扫检查项包括但不限于  a.操作系统、数据库中间件的系统补丁、漏洞、病毒等各类异常权限  b.空/弱口令系统帐户检测  2)针对基线安全配检查项目包括但不限于  针对Windows系统检查项包括但不限于   a.系统基本信息  b.系统版本补丁检查、各分区文件格式检查、自动更新检查、系统时钟检查  c.用户身份检查  d.用户登陆和密码检查  e.系统授权检查  f.日志检查  g.系统网络应用配置检查  h.防火墙和防病毒软件检查	漏洞扫描至少发现设备在以下方面的安全隐患：   1)版本漏洞,包括但不限于IoS存在的漏洞,涉及设备包括XX所有在线网络设备及安全设备,并实施加固  2)开放服务,包括但不限于路由器开放的web管理界面、其他管理方式等,并实施加固  3)空弱口令,例如空/弱telnet口令、snmp口令等,并实施加固   对设备进行配置合规性检查和结果分析,扫描至少发现设备在以下方面的安全隐患:   1)CON口、VTY口的访问控制,是否设置登录鉴权,VTY是否限制登录的允许地址范围  2)远程登陆启用SSH,禁用 telnet等明文传送密码的登陆方式  3)设备密码使用加密模式存放,禁用明文存放密码  4)SNMP服务的配置,禁止使用public、private等公用communIty,如需提供RM权限的community,需保证 community的安全性;  5)未使用的端口需明确使用 shutdown指令关闭,在用端口需描述用途  6)接入层设备需启用访问控制列表禁止进行非法源地址转发  对网络架构评估：   1)业务处理能力  2)带宽满足需求  3)网络区域划分  4)边界防护  5)通信线路、关键设备高可用性	对应用进行安全风险、配置合规性扫描和结果分析，发掘应用层的版本漏洞与脆弱的空弱口令应用账户   1)安全扫描服务的内容包括但不限于：  a.应用程序缺失补丁或版本漏洞检测  b.空弱囗令应用帐户检测  2)应用配置合规性检查內容包括但不限于:  a.基本信息检查  b.用户身份验证  c.用户登陆和密码验证  d.系统授权认证  e.数据完整性和保密性认证  f.日志检查  g.数据备份和恢复机制  h.个人信息保护检查

终端安全规划  

  

序号	类型	要求项	要求明细
1	终端分类	生产终端	指技术部门因维护、监控、业务处理等需要必须在公司内其它场所接入生产环境的终端
2		开发测试终端	指用于开发测试的终端,允许访问开发测试域,受限访问相关技术支持和服务网站
3		办公终端	指员工个人使用的终端,允许访问企业信息网中的系统和应用受限访问业务支撑网中特定的系统和应用
4		业务终端	指受限访问业务支撑网特定应用的业务操作,如营销、客服人员使用的办公终端
5		临时接入终端	指临时来访的第三方人员需要接入公司网络的终端
6	终端标准	漏洞与防病毒	定期进行终端漏洞扫描,根据漏洞扫描报告封堵高危漏洞
7			系统补丁定期更新
8			安装防病毒软件,定期进行病毒查杀
9		软件安装	部署终端管理软件/域控,统一安装防病毒软件,统一进行补丁安装和软件升级
10		安全配置策略	终端命名、账号口令、屏幕保护、安全审计策略等
11	终端接入\访问控制	接入认证	终端接入审批流程,其中需明确终端类型、终端使用者、接入域、接入目的、访问对象等相关信息,审批通过后方可进行实际的接入操作
12			所有终端接入公司网络之前必须安装终端安全管理客户端或域控，接受终端安全的管理和监控
13			所有终端接入公司网络须接受终端安全策略检查并通过终端接入安全认证,未通过认证接入的终端无法访问任何系统、应用和设备。临时接入终端只能访问外网,访问公司内部网络须接入认证
14			生产、开发测试终端在接入时还应特别实行IP与MAC地址绑定
15	终端安全使用	终端安全使用	移动存储介质使用、共享管理
16			上网行为管理
17			软件安装、信息保存管理，禁止双网卡、禁止U盘启动、禁止U盘拷出
18			终端设备维护管理:维修、报废管理等

专项安全检查  

弱口令检查  

通过分析行业内常见口令字典，形成弱口令检查字典，对各平台操作系统、应用、中间件、数据库进行全面检测的弱口令检查。  

   

端口专项检查  

梳理所属各平台的设备所开放的端口对应服务与软件版本，关闭不必要要端口，对维护端口进行访问限制，形成产品信息表并定期更新。  

   

重大漏洞专项检查  

根据最新安全趋势，选取风险级别高，威胁大，可能造成极严重后果的典型安全漏洞，对所有系统平台进行全面检测