第一篇:网络及数据安全整改方案.
网络及数据安全整改方案
随着计算机和互连网的普及,它的方便快捷高效已经成为现代企业一个非常重要的组成部分。但是也随之而来了许多不安全因素,如:计算机的软硬件问题;网络病毒的危害;员工的操守以及流动性,会给企业的机密带来不安全性。
此次我服务部应有限公司(以下都称甲)的计算机软硬件及网络、数据安全 保驾护航,尽量避免不必要的损失,将不安全的因素排除,将会做出如下的工作:
一 将甲的现有计算机全部配置做个详细的记录备案(各持一份)
二 应甲的要求将计算机的摆放位置做好调整并编号,将没客户机的系统和资料进行调整并备份。
三 调整网络,如图:
四 配置服务器: 硬件升级,因为甲要求服务器能自动备份数据,但现服务器的硬件不支持需加多一块阵列卡才能做到,此需甲同意才实施。
设置服务器
装好网络防火墙做好网络安全防护,定期检查是否有安全隐患。同时做好内部网络数据安全的设置,按甲方的要求设置所有放在服务器上的文件的访问有户及其权限,具体设置如下:
a 超级管理员用户一至两个(即公司管理者),拥有所有权限,用于检查网络运行情况,查看所有数据,控制网络内所有计算机软硬件的安装和卸载等。
b 组管理员用户(即部门经理)。为每个部门设定一个只有本部门的员工才能访问的文件夹,所有本部门的资料全部放在此文件夹内,同时为每个组管理员用户设置一个只有指定的管理员用户才能访问的文件夹。
c 普通用户(即员工)。普通用户只有访问并修改本部门专属的文件夹内的文件其它的所有文件夹及文件只有在管理员授权的情况下才能才能拥有其它权限.d 共享文件夹。设置两个共享文件夹,一个文件夹内的文件所有员工都拥有访问和修改的权限,供大家做交流。另一个文件夹内的文件所有员工只有访问权限,是为了公司发布一些重要文件防止破坏。安装《网路岗》监控软件,甲方付费。每客户端218元,此软件按客户端数量收取费用,第一次安
咨询热线:020-61136292 87584242 87569708
业务传真:020-87582559
公司地址:龙口西路86号天龙大厦22F
装最少为10客户端,以后增加客户端按每次5客户端记数量未达到可保留。《网路岗》功能如下,功能的设置将根据甲的要求具体实施。
网路岗主要功能:
a、上网审计。
封堵QQ;限制上网网站、指定邮件服务器;过滤网页(如色情网)、过滤邮箱、过滤端口、Ip过滤、过滤色情关键词;规定上网和收发邮件时间;封堵网络游戏、股票软;
规定外发资料的最大尺寸;限制上网流量;IP白名单,IP黑名单。
b、监控员工日常网络活动-网络监控技术。如:上网网站、收发邮件、网上聊天内容(MSN/Yahoo Messenger)、QQ事件、FTP上传命令、TELNET远程登录命令等,以实现全面的网络行为监控。
c、多种网站过滤 库-网络监控过滤库。
系统同时提供多种过滤库,把包括:色情网址库、游戏网站库、聊天网站库、财经 股票库、游戏端口库等。
d、日志统计。
可统计员工的上网时间、网站排名、收发邮件数量、聊天、上网流量等。e、免费高速共享上网NAT。
可实现多台机器共享上网,代替市面上大多数代理服务器软件。f、绑定IP和MAC(单网段的情况)。监控网络中盗用IP地址的情况。g、邮件监控。
记录通过收发工具所收发的邮件,包括内容和附件,记录通过网站所发的邮件内容
和附件。
h、屏幕监控/信息探测。
截取被监控者的电脑屏幕,获取客户机器系统信息,操作客户硬盘,操作客户机注册表等。截屏功能可自动完成,供领导查阅。
i、十多种专业报表。
实现专业图形和文字报表,报表内容包括:访问网页时间统计、收发邮件统计、流量统计、聊天统计 等等。
五 全部设置好统一检验后由甲方负责人验收,签维护合同、付款。
甲方签字:
广州市翔扬计算机科技有限公司
——及时雨电脑服务部
服务电话:61136292 87584242 87569708
咨询热线:020-61136292 87584242 87569708
业务传真:020-87582559
公司地址:龙口西路86号天龙大厦22F
第二篇:网络整改方案
网络整改方案
一、网络改造方案
目前我们公司内部网络比较复杂,一共两条外线都串接在网络里。我们想规范化管理网络的话首先要把网络的拓扑规划好。
根据我们多年的经验我们想通过VLAN的划分来实现网络的管理。大体分为两个VLAN,1、第一个VLAN接入网通外线,把我们的各种服务器也接入到这个VLAN里,做为我们公司网络的主要内网。
2、第二个VLAN接入移动外线,做为一些新员工或者不需要接入公司内网的员工专用网络。
这样做的目的是彻底分开两个网络,不要让其他员工私自乱更改IP地址就能上网,容易造成管理上的混乱,另外所有的IP MAC地址在交换机上做一个绑定,做到更换了IP就不能够上网。
二、上网行为管理
上网行为管理主要分以下几部来做
1、建立域控系统,做为规范管理的一个前提。域控管理是一个基本控制手段,他主要是通过帐号管理来限制各个帐号在电脑上不同的工作权限,可以有效的限制下边员工私自更改IP,安装软件等功能。另外在规范化管理当中域帐号的帐户管理可以有效的使事件责任到人,一但发生什么问题可以直接找到帐号使用人。
2、上网行为管理设备,目前我们公司的网络中还存在一些网络乱用的情况。比如说下载电影等,一个人下载造成整个公司网络缓慢,这样的话我们就可以通过上网行为管理的流量控制功能来杜绝这种情况的发生。举个例子就是可以通过这个设备限制每个用户的下载流量为10K,这样的话上网和发邮件没有问题,下载的话速度最多到10K,也不会影响到别人的使用了。
第三篇:网络整改方案
网络整改方案
一、防水墙服务器的实施计划……………………………………………….1
二、路由器的实施计划…………………………………………………………………..5
三、交换机的实施计划…………………………………………………………………..7
四、防火墙的实施计划…………………………………………………………………..9
五、IPS 的实施计划……………………………………………………………………….11
六、后期的完善方案………………………………………………………………………12
七、定期网络知识的培训………………………………………………………………13
一、防水墙服务器的实施计划 1.1 防水墙服务器的作用
1.防水墙通过可信网络认证授权系统管理用户的登陆,对于没有授权的用户限制登陆;对于一些非法用户的强行登陆进行了控制,并有相应的日志记录
2.防水墙通过可信桌面管理系统实现了对于终端用户操作的实时监控,并控制用户使用USB接口和打印机的权限,同样该系统可以通过远程方式进行客户端的维护工作;该系统的资产管理功能对公司电脑的资产盘点工作有很大帮助。
3.防水墙通过可信网络监控系统管理对公司邮件进行了系统的管理,包括邮件的内容,所挂附件的内容等;该系统对于网络流量进行了详细的划分,可以对用户进行流量控制,管理非法BT或其他下载行为。
4.防火墙通过可信移动存储介质管理系统保障了公司文件的安全,它提供了移动设备的注册授权功能,对于不同设备采取不同的权限控制,并提供详细的使用日志记录。
1.2 投入成本
1.防水墙的所有功能是分散的,也就是说可以把几个需要的功能拼凑到一个模块中。所以价格也会根据功能的多少而定。
1.3 进度跟踪
1.防水墙搭建相对容易,时间较短,但是后期碰到的问题会很多,比如邮件的审核人归属问题,远程监控时间问题等,都需要一个长期的磨合完善。
二、路由器的实施计划 2.1 路由器的作用
1.路由器是公司网络接入后遇到的第一个网络设备,它主要通过相互连接的网络把信息从源地点移动到目标地点的活动。2.通过配置路由器的路由协议(OSPF,EIGRP等)保证网络数据包的正确走向,配置IP地址、网关和DNS保证网络的正常运行。
3.路由器需要两台同样配置的,两者之间通过使用现今流行的热备份路由器协议(HSRP):假如一台路由器出现软件或者硬件问题导致外部网络中断,HSRP协议会自动让外部网络流量自动走向另一台备份路由器,保证了公司内部网络访问外部网络处于一个正常的状态。
4.路由器的网络地址转换(NAT),是一种将私有地址(公司内部地址)转化为合法IP地址的转换技术,通过配置该协议能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
2.2 投入成本
1.目前思科路由器的型号较多,目前根据公司的规模采用28或29系列的路由器即可满足,价格大概在1万元左右每台
2.其他品牌的路由器也可以基本满足公司需要,但是从性能上来说不如思科产品。2.3 进度跟踪
1.首先可以通过模拟器完成路由器的各项试验,包括多台路由器的实验。再通过模拟PC机配合模拟路由完成防御外部攻击的实验。2.实验成功后,在真实路由器上配置相应协议,在周末测试网络情况,通过关闭主路由器端口模拟HSRP协议的实验。整个路由器的搭建及后期测试初步计划2个月左右。
三、交换机的实施计划
3.1交换机的作用
1.交换机主要负责把一条网络流量分成多条流量的硬件设备,目前主要分为二层交换机和三层交换机,二层交换机主要是交换机本身的功能,三层交换机还包括了路由器的部分功能。需根据网络实际情况进行选择。
2.交换机的vlan划分功能提高了网络的安全性,vlan可以按照部门划分。假如一个部门中了传染性的蠕虫病毒,那么病毒的扩散区域只局限在这个部门的vlan区域,不会波及到整个公司。3.交换机的生成树协议可以保证网络中不出现环路现象(环路会产生广播风暴,导致整个网络瘫痪)
4.多台交换机之间需要通过配置“端口通道模式”保证在一条端口出现故障时整个网络不会受任何影响。多台交换机之间也可以通过HSRP协议进行备份工作。但是在整个交换机的体系中一定要有一台核心交换机保证网络流量的合理化分布。
3.2投入成本
1.核心交换机要求配置较高,而且负载量会很大,根据公司现有情况,可选择29系列交换机,目前不需要三层交换机。价格大概在5千元左右。
2.底层交换设备可选用目前公司使用的小型交换机或者低端配置的交换机。
3.3进度跟踪
1.首先可以通过模拟器完成交换机的各项试验,包括多台交换机的实验。
2.试验完成后,在真实交换机上配置相应协议,并测试网络情况,整个交换机的搭建及后期测试初步计划2个月左右。
四、防火墙的实施计划
4.1防火墙的作用
1.防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。
2.防火墙的vpn功能保证了远程登录到公司内网中,方便了出差或者在家需要办公的同事。安全方面通过ipsec协议保护了传输的数据。
3.防火墙的主要功能是防止外来的“入侵者”,但要随时更新标签(类似病毒库)。而且所有的访问控制列表(ACL)不能在路由器中写入(承载不了太多ACL),要在防火墙中写入,访问控制列表可以限制员工不能访问一些不良网站,保证了内部网络的安全。
4.2 投入成本
1.目前公司的防火墙功能性不强,可根据升级方式提升性能,具体情况需在升级观察,如标签数量不够或功能不强,则需更换高端防火墙,具体品牌则根据公司实际情况而定。
4.3 进度跟踪
1.由于没有防火墙模拟器使用,可先用公司本身的防火墙进行测试,找出现有防火墙的不足。2.测试完成后,根据实际情况决定升级或者更换高端防火墙,并且配置相关协议和功能,进行远程和攻击型的实验。整个防火墙完善工作需要3-5个月时间。
五、IPS的实施计划
5.1 IPS的作用
1.入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的安全设备,它能够隔离一些具有危害性的网络恶意行为。也可说是对防火墙的补充。2.入侵预防系统安装在防火墙之后,通过监测网络情况和防火墙的工作情况,可以做到随时查看网络情况,并有相关日志生成,保证能够准确的分析到网络中存在的问题。
5.2 投入成本
1.由于有些防火墙和IPS是一体的,但是性能方面别单独的防火墙和IPS差,所以要根据当时的实际情况而定。
5.3 进度跟踪
1.由于没有IPS模拟器使用,所以前期将找一些第三方软件替代,进行简单的测试
2.测试完成后,效果好的话,再引进真实设备,并测试监控等效果,整个IPS搭建的时间需要2个月左右
六、后期的完善方案
1.当初期整体网络完成后,通过对内部网络和外部网络的监控,查看日志等工作,解决公司网络的常见问题。
2.当初期的网络稳定后,根据公司实际情况,在现有设备中增加更高级别更系统化的的安全功能和网络管理功能。
3.后期网络的高级搭建,如不能在原有设备上采取升级或者增加模块方式实现,则需添加其他的硬件设备来完善。
七、定期网络知识的培训
1.培训一些计算机办公软件方面的基本应用常识,包括office、PDF等大家常用的办公软件。还会根据大家对常用办公软件的其他需求进行统一培训指导。
2.培训解决计算机系统常见问题的知识,有硬件和软件问题。硬件问题包括鼠标键盘等小问题的解决方法;软件方面包括系统速度慢和相关软件报错问题。
3.培训时间将会根据各个部门的实际情况而定,初期准备采用以部门为单位的培训计划。
第四篇:网络整改方案
方案一:有路由器布局
一:采购多wan口路由器,文化部提供内网线路接入路由器。(后期购买网络方便融入现有网络环境)。
二:采购2层、3层交换机,内网间互联通信,地址分配管理,提高内网性能。
三:少布线对现有环境破,两侧办公区对穿4条或2条网络线路,实现两侧内网互通资源共享。
需要文化部网络提供支持:提供固定的内网ip地址,需要公网ip一个或多个,路由做nat地址映射。(如果后期购买电信网络方便我方接入无需再次布网调整)。
优点:方便公司日后对网络依赖及必要功能,例如:网站、oa、vpn、服务器、远程管理等等。
缺点:改造经费较高,网络布线会影响装修美观(尽量减小)。难点:文化部是否同意网络配置,是否同意使用文化部公网ip。
方案二:无路由器布局
一:采购2层交换机,文化部提供内网线路接入,由二层交换机分布至各各工位。二:需修改文化部提供4条网络的配置,改后实现办公网络互通。优点:能满足目前上网办公需求,施工简单。
缺点:无公网地址,网络维护困难,扩展性不强重要功能无法实现或实现困难,购买网络接入需重新施工。
方案三:有路由器布局(2)
协调文化部,在文化部机房部署网络路由器交换机。优点:实现方案一,无需两侧穿线。
难点:文化部是否同意网络配置,是否同意使用文化部公网ip。后期购买网络能否接入到文化部机房。
第五篇:网络整改方案
网络整改方案
1.有关公司网络状况如下:
1.1 Windows系统五花八门,系统全是网上GHOST版本,稳定性极差,系统自带诸多流氓软件,导致卡顿;
1.2没有FTP服务器,一些文件都是通过系统默认共享来传输的,安全性差; 1.3公司网络行为管理,禁止访问非法网站;
1.4.公司所有电脑IP通过DHCP自动获取,一些打印机都是通过共享来进行多用户使用的,IP地址一旦更改,打印机不可用;
1.5部分电脑配置过低,内存2G,处理器已淘汰;
1.6公司网络结构混乱,介入设备过多,需要重新规划完善高效的网络拓扑图; 1.7员工下载,占用企业的带宽,各种P2P下载,目前深信通WOC设备无法有效管制; 1.8企业没有硬件防火墙,还是安全问题;
2.解决方案
2.1 针对盗版GHOST的Windows系统,陆续安装官方原生系统,提高稳定性和运行速度; 2.2 建立FTP服务器,方便公司各类文件传输,包括读取、修改、写入等权限; 2.3 利用公司现有闲置的路由器(DLINK-7400)结合深信通WOC广域网优化系统能初步完善流控管理;
2.4 公司所有入网设备实名制登记及存档;姓名-IP-MAC 三合一绑定,更方便管理和故障追溯;
2.5 针对LGA775核心系列处理器统一升级处理器主板内存; 2.6 制定完善的公司拓扑结构,并绘制拓扑图; 2.7 通过本章2.4类目针对固定IP调控限速; 2.8 公司WAN端口需添置防火墙一台;
3.无线网改善
3.1 分别在公司5楼、6楼及培训室增加AP无线接入器各一台,型号:华为AP3010DN-AGN,单台设备覆盖面积约200立方米,用户数量70个,对无线用户指定范围内的IP地址池。
3.2 对公司目前的家用无线路由器设备进行统一回收,临时备用!
以上方案妥否,望领导请示!