安全整體規(guī)劃方案

珠海市XX股份企業(yè)信息網(wǎng)絡(luò)平安整體規(guī)劃方案目錄1.XX集團整體網(wǎng)絡(luò)概述22.網(wǎng)絡(luò)平安規(guī)劃范圍32.1.物理層平安范圍32.2.邏輯層平安范圍32.3.網(wǎng)絡(luò)拓撲圖及設(shè)備清單43.擴展描述43.1.物理平安類別43.2.邏輯平安類別5XX集團整體網(wǎng)絡(luò)概述珠海XX股份于2023年10月將原有網(wǎng)絡(luò)系統(tǒng)進行全方位升級、改造，包括網(wǎng)絡(luò)傳輸設(shè)備、整體網(wǎng)絡(luò)架構(gòu)、效勞器重新部署、平安規(guī)劃、平安高效管理等。于2011年6月1日正式運行OA系統(tǒng)，網(wǎng)絡(luò)整體已處于穩(wěn)定狀態(tài)，故此現(xiàn)針對網(wǎng)絡(luò)及其核心系統(tǒng)進行整體網(wǎng)絡(luò)平安規(guī)劃。網(wǎng)絡(luò)平安規(guī)劃范圍物理層平安范圍物理層：終端系統(tǒng)數(shù)字化通信系統(tǒng)〔暫無〕內(nèi)部網(wǎng)絡(luò)硬件系統(tǒng)連接外部網(wǎng)絡(luò)硬件系統(tǒng)外部網(wǎng)絡(luò)硬件系統(tǒng)〔暫無〕核心機房安防系統(tǒng)〔溫度、濕度、抗干擾、防靜電、門禁、消防〕整體門禁等安防系統(tǒng)綜合布線系統(tǒng)設(shè)備移動、增加、維修管理邏輯層平安范圍邏輯層：網(wǎng)絡(luò)信息平安防護系統(tǒng)網(wǎng)絡(luò)管控系統(tǒng)網(wǎng)絡(luò)監(jiān)控系統(tǒng)網(wǎng)絡(luò)架構(gòu)平安合理性網(wǎng)絡(luò)傳輸設(shè)備配置平安〔配置合理性、平安性、漏洞掃描〕各類效勞器配置平安〔漏洞掃描、屏蔽〕各類網(wǎng)絡(luò)傳輸設(shè)備、效勞器、其他設(shè)備等備份機制〔系統(tǒng)備份、配置備份〕各類系統(tǒng)維護管理機制各類系統(tǒng)密碼管理機制終端平安維護機制終端日常平安操作信息保密機制網(wǎng)絡(luò)拓撲圖及設(shè)備清單所涉及設(shè)備、系統(tǒng)清單詳見附錄1。所涉及網(wǎng)絡(luò)拓撲結(jié)構(gòu)詳見附錄2。擴展描述物理平安類別終端系統(tǒng)指集團公司內(nèi)部員工所使用工作系統(tǒng)終端，包括固定與移動終端；平安規(guī)那么：1、員工不得私自〔未經(jīng)公司允許〕將工作終端攜帶出辦公地點、移動、維修、拆裝、無故損壞、擅自插入未經(jīng)允許的移動存儲設(shè)備等，如需上述變更必須經(jīng)過信息開展部受理；2、終端電腦附近的水杯等儲水裝置應(yīng)指定位置擺放；3、靠近窗戶的終端應(yīng)考慮防雨水、防曬、防盜、防雷4、終端電腦都應(yīng)做防靜電處理5、終端電腦的物理配置應(yīng)做詳細統(tǒng)計6、終端電腦附近不應(yīng)擺放產(chǎn)生強烈干擾的設(shè)備，如高功率無線設(shè)備等7、終端電腦附近不應(yīng)擺放磁性物質(zhì)，如音響、帶有磁鐵的工藝品等8、有多數(shù)〔超過每2平方米一臺終端〕電腦存在的房間應(yīng)注意溫度、濕度、防雷、防盜9、如遇特殊情況應(yīng)立即先斷電再按照各類應(yīng)急處理措施執(zhí)行數(shù)字化通信系統(tǒng)〔暫無〕內(nèi)部網(wǎng)絡(luò)硬件系統(tǒng)主要網(wǎng)絡(luò)設(shè)備應(yīng)集中放置在核心機房，所有底層交換機等網(wǎng)絡(luò)傳輸設(shè)備應(yīng)集中放置于有門鎖的機柜內(nèi)部，注意防靜電、防雷、防潮、溫濕度、防盜等；如無條件集中放置在機柜內(nèi)的必須單獨購置小型帶鎖機箱，至少距離地面25公分以上；不允許非工作人員隨意觸碰設(shè)備；連接外部網(wǎng)絡(luò)硬件系統(tǒng)應(yīng)放置在核心機房內(nèi)部，單獨有鎖機柜，物理觸碰權(quán)限另外分配外部網(wǎng)絡(luò)硬件系統(tǒng)〔暫無〕核心機房安防系統(tǒng)〔溫度、濕度、抗干擾、防靜電、門禁、消防〕核心機房建設(shè)根本原那么：以通信行業(yè)標準規(guī)定的通信設(shè)備(交換設(shè)備、傳輸設(shè)備、數(shù)據(jù)網(wǎng)絡(luò)設(shè)備)的正常使用環(huán)境要求為根底，確定數(shù)據(jù)中心機房的環(huán)境要求。

·機房環(huán)境溫濕度要求：AA級、A級機房溫度為21-25?C，相對濕度40%-70%；B級、C級機房溫度為18-28?C，相對濕度40%-70%，溫度變化率小于5?C/h，且不結(jié)露。

·機房潔凈度要求。機房內(nèi)灰塵粒子應(yīng)為非導(dǎo)電、非導(dǎo)磁及無腐蝕的粒子?；覊m粒子濃度應(yīng)滿足：

(1)直徑大于等于0.5μm的灰塵粒子濃度≤18000粒/升。

(2)直徑大于等于5μm的灰塵粒子濃度≤300粒/升。

《電子計算機機房設(shè)計標準》國家標準對電子計算機機房的溫濕度要求如下：

·保持溫度恒定[溫度波動控制在24士(1~2?C之內(nèi)]。

·保持濕度恒定[相對濕度波動控制在(50%士5%)RH之內(nèi)]。

·空氣潔凈度為：在每升空氣中，大于等于0·5μm的顆粒應(yīng)小于18000個。

·換氣次數(shù)>30次/小時。即給定的機房內(nèi)，空調(diào)的風(fēng)量和機房容積的比值大于30。

·機房與室外正壓>9.8Pa：對無外窗的機房，相對相鄰房間保持正壓>4.9Pa。

·空調(diào)設(shè)備具備遠程監(jiān)控及來電自啟動功能。溫度：建議溫度為冬天24?C士l?C、夏天為22?C士1?C

機房溫度與計算機可靠性對照機房溫度10?C15?C25?C35?C40?C可靠性變化1.00?C1.22?C1.17?C0.87?C0.85?C濕度：最正確濕度范圍為45－60％氣流按照送、回風(fēng)口布置位置和形式的不同，可以有各種各樣的氣流組織形式，大致可以歸納以下五種：上送下回、側(cè)送側(cè)回、中送上下回、上送上回及下送上回冷風(fēng)循環(huán)次數(shù)大于30次，機房空調(diào)送風(fēng)壓力75Pa門禁系統(tǒng)關(guān)注點：身份、權(quán)限、視頻監(jiān)視、審批陪伴責(zé)任原那么；重點于防盜與身份行為記錄防靜電、防雷按照國家機房標準執(zhí)行機房球狀范圍無干擾設(shè)備，范圍于干擾頻率大小可參考相關(guān)標準重點不得讓非公司工作人員或者在無陪同情況下進入機房并可直接接觸核心機房所有設(shè)備整體門禁等安防系統(tǒng)重點區(qū)域、辦公室〔如財務(wù)〕、機房等需要進行24小時視頻監(jiān)視以及身份驗證綜合布線系統(tǒng)根據(jù)企業(yè)新調(diào)整的綜合布線系統(tǒng)，已通過驗收，均符合相關(guān)標準，無調(diào)整。設(shè)備移動、增加、維修管理所有網(wǎng)絡(luò)傳輸設(shè)備、平安設(shè)備、無線設(shè)備、終端設(shè)備等的移動、維修、增加、報廢等均需要先通過信息化開展部部門確認后才可執(zhí)行，遵循“誰簽字，誰負責(zé)〞原那么；并進行詳細的數(shù)據(jù)記錄與統(tǒng)計。邏輯平安類別邏輯層：網(wǎng)絡(luò)信息平安防護系統(tǒng)已安裝ESETNOD32防病毒系統(tǒng)硬件防火墻各項參數(shù)24小時實時監(jiān)控硬件防火墻規(guī)那么需要重新調(diào)整〔初定時間為2023年7月中旬〕；檢測時間為2023年7月初調(diào)整后結(jié)果參數(shù)要求：符合集團信息化開展規(guī)模的運行能力按照實際信息量的最大化出現(xiàn)頻率考良系統(tǒng)穩(wěn)定性、可靠性、運行能力按照集團內(nèi)部需求制定平安策略擁有入侵檢測、防病毒、防垃圾郵件等根本功能無異常狀態(tài)時需要每周次將系統(tǒng)運行結(jié)果調(diào)用分析并出分析結(jié)果網(wǎng)絡(luò)管控系統(tǒng)網(wǎng)絡(luò)管控系統(tǒng)主要針對內(nèi)部網(wǎng)絡(luò)各邏輯分配、流量控制、數(shù)據(jù)類型管控〔相關(guān)設(shè)備已有〕，控制能力到接入層不要求到達物理級別。網(wǎng)絡(luò)監(jiān)控系統(tǒng)網(wǎng)絡(luò)監(jiān)控系統(tǒng)需要針對數(shù)據(jù)報的進出、流量等異常情況得出實時數(shù)據(jù)〔相關(guān)設(shè)備已有〕，并每周次分析及出具分析結(jié)果監(jiān)控層面：流量、數(shù)據(jù)報、視頻、核心設(shè)備工作狀態(tài)、運行配置參數(shù)網(wǎng)絡(luò)架構(gòu)平安合理性遵循原那么：符合集團內(nèi)部各部門具體需要，每功能、每設(shè)備均保存有剩余容易維護、監(jiān)管設(shè)備運行期間無功能沖突、無“急、慢性死亡〞現(xiàn)象〔此現(xiàn)象是指由于網(wǎng)絡(luò)架構(gòu)以及設(shè)備性能沒有正確配置、規(guī)劃、判定的情況下，導(dǎo)致某些設(shè)備之間工作性能慢性下降，也包括由于不合理性導(dǎo)致遇到突發(fā)流量或者其它異常情況出現(xiàn)時某些設(shè)備停止工作〕網(wǎng)絡(luò)傳輸設(shè)備配置平安〔配置合理性、平安性、漏洞掃描〕初定2023年7月初進行詳細檢測關(guān)注點：不能輕易物理觸及設(shè)備將原有必須開放的協(xié)議、端口進行評估，修改局部端口屏蔽掉原有開啟的無用的協(xié)議、端口配置符合現(xiàn)實需要，并做到即時可控各類效勞器配置平安〔漏洞掃描、屏蔽〕初定2023年7月初進行再次檢測〔時長為三個工作日〕將原有必須開放的協(xié)議、端口進行評估，修改局部端口屏蔽掉原有開啟的無用的協(xié)議、端口配置優(yōu)化各類網(wǎng)絡(luò)傳輸設(shè)備、效勞器、其他設(shè)備等備份機制〔系統(tǒng)備份、配置備份〕于初定2023年7月初進行再次檢測后制定完整備份機制關(guān)注點：各核心設(shè)備的操作系統(tǒng)備份、配置備份、日志備份備份機制分為：定期備份、增量備份、定量刪除、混合備份各類系統(tǒng)維護管理機制由集團公司信息化開展部門以及外包效勞商聯(lián)合協(xié)商工作〔詳見效勞外包合同以及集團公司內(nèi)部相關(guān)管理文件〕增加條例：核心設(shè)備根據(jù)不同操作系統(tǒng)及運行狀況定期進行手動重新啟動〔在檢測后對每核心設(shè)備定義重新啟動周期〕各類系統(tǒng)密碼管理機制密碼設(shè)立原那么：字母、數(shù)字、特殊字符〔個別系統(tǒng)不支持或只支持，具體可參考不同操作系統(tǒng)說明書〕的無規(guī)律交叉組合無規(guī)律，不得以管理員或者操作者的姓名拼音、、其它常用密碼、生日、數(shù)列組合、數(shù)列順序等作為密碼組合密碼長度不少于12位〔某些系統(tǒng)密碼設(shè)定為數(shù)位的上限〕根據(jù)設(shè)備性質(zhì)不同密碼更換周期如下：核心系統(tǒng)及終端設(shè)備密碼管理：核心網(wǎng)絡(luò)設(shè)備〔網(wǎng)絡(luò)設(shè)備及效勞器〕：每月門禁系統(tǒng)：每半年或者一年終端設(shè)備系統(tǒng)：每三個月重點設(shè)備：每月〔如財務(wù)終端及其系統(tǒng)〕各系統(tǒng)日志管理所有系統(tǒng)均必須建立日志存儲，核心系統(tǒng)定期查閱；無日志功能的設(shè)備除外終端平安維護機制1、定期根據(jù)核心監(jiān)管控系統(tǒng)針對每終端進行異常檢測，如發(fā)現(xiàn)異常那么立即網(wǎng)絡(luò)隔離并檢查2、每終端必須裝有正版查殺毒軟體3、員工不得隨意上傳、下載公司文件4、員工不得隨意攜帶為經(jīng)過公司系統(tǒng)授權(quán)過的移動存儲設(shè)備上傳、下載終端內(nèi)任何數(shù)據(jù)5、各別部門不能使用未指定通信工具〔如QQ、MSN、WEBQQ、SKYPE等〕6、如終端電腦發(fā)生異常應(yīng)立即通告信息化部門，不得自行處理注釋：以上功能還需要其他軟硬件手段協(xié)助處理，以及管理機制控制終端日常平安操作與培訓(xùn)于2023年7月初針對系統(tǒng)全面檢測后，并針對集團公司具體情況〔部門性質(zhì)、人數(shù)等〕制定培訓(xùn)方案，培訓(xùn)的主要目的：提升員工日常平安操作水平、集團公司信息保密意識、保密方法、泄密責(zé)任、網(wǎng)絡(luò)平安法律法規(guī)根據(jù)各部門人數(shù)不同、工作量不同、工作性質(zhì)不同與集團公司協(xié)商后另行制定培訓(xùn)方案。信息保密機制詳細見保密協(xié)議注釋：此方案為規(guī)劃方案，具體執(zhí)行參見每關(guān)注點！信息網(wǎng)絡(luò)平安重點為人員管理機制，此項機制須與集團公司相關(guān)領(lǐng)導(dǎo)及相關(guān)部門規(guī)劃性完善。工作日程表:檢測完畢后2個工作日內(nèi)按照上述規(guī)劃方案及關(guān)注點,出具詳細的平安檢測報告及平安加固方案.檢測時長平安加固時長需配合人員情況備注效勞器檢測7月5日