集团公司网络安全解决方案(完整资料).doc

集团网络安全工作计划一、引言随着信息化的快速发展，网络安全已成为我们每一个人都必须关注和重视的一个重要问题。

特别是对于一个集团来说，尤其需要做好网络安全工作，保障集团的信息系统安全和数据的完整性、保密性和可用性。

本文将提出一份集团网络安全工作计划，以确保集团的网络安全。

二、目标1. 确保集团信息系统的运行稳定和连续性；2. 保障集团重要数据的安全性和完整性；3. 防止外部黑客和内部人员的恶意攻击和滥用。

三、任务1. 加强网络边界安全（1）配置防火墙并持续监控，禁止未授权的访问；（2）设置网络入侵检测系统（IDS）和入侵防御系统（IPS），及时发现和阻止入侵；（3）定期对外部网络进行渗透测试和漏洞扫描，及时修复漏洞；（4）禁止集团网络内部连接到不可信任的网络。

2. 安全策略和规范制定（1）制定详细的网络安全策略和规范，明确集团内部每个人员的责任和义务；（2）加密集团敏感数据和重要通信，以防止数据泄漏；（3）限制集团员工的网络访问权限，确保只有授权人员能够访问重要网络资源；（4）定期审查和更新网络安全策略和规范。

3. 员工网络安全培训（1）定期开展网络安全培训，提高员工对网络安全的认识和熟悉程度；（2）加强员工的密码管理意识，推广使用强密码并定期更换；（3）举办网络安全演练和模拟攻击，提高员工应对网络安全事件的能力。

4. 安全事件监测和应急处置（1）安装监控系统，实时监测集团网络的安全状态；（2）建立安全事件响应机制，及时发现、报告和处理网络安全事件；（3）定期进行安全演练和应急处置演练，提高应对网络安全事件的能力。

5. 安全设备和技术更新（1）定期更新和维护安全设备和软件，确保其能够抵御新型的网络攻击；（2）与安全厂商保持紧密的合作关系，及时获取最新的安全威胁情报和解决方案；（3）关注并采用新的安全技术，如人工智能和区块链等，提升集团网络安全的防御能力。

四、实施计划1. 第一年（1）制定网络安全策略和规范，并发布给所有员工；（2）部署防火墙和入侵检测系统，并进行测试和配置；（3）建立安全事件响应机制，并组织应急处置演练；（4）提高员工的网络安全意识，开展网络安全培训。

网络安全管理一、集团网络安全网络安全分析：1.物理安全网络的物理安全是整个集团网络系统安全的前提。

物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。

2.网络结构的安全网络拓扑结构设计也直接影响到网络系统的安全性。

在设计网络时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。

3.系统的安全系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。

目前没有完全安全的操作系统，所以必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

4.应用系统的安全应用系统的安全跟具体的应用有关，它涉及面广。

应用系统的安全是动态的、不断变化的。

应用的安全性也涉及到信息的安全性，它包括很多方面，例如：E-mail等。

5.管理的安全管理是网络中安全最最重要的部分。

责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

二、集团安全技术手段1.物理措施：对集团网络所有关键网络设备及服务器，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施，确保设备能安全高效的运行。

2.访问控制：对集团网络中所有用户访问网络资源的权限进行严格的认证和控制。

进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等。

3.数据加密：对集团所有重要数据进行加密，保障信息被人截获后不能读懂其含义。

并对客户端安装网络防病毒系统。

4.网络隔离：对集团研发中心进行网络隔离，严格控管与集团内网及intel网的访问，确保数据不会流失到外网。

炼钢厂工业网络安全研究及解决方案随着冶金工业科技和信息化的发展，计算机病毒、木马和黑客程序等对工业网络的安全造成威胁。

对工业网络的安全进行研究，得出安全高效、切实可行的解决方案并付诸实旌，是安全生产的重要一环。

本文以河北钢铁集团某炼钢厂为例，做了一些研究并形成解决方案，对其他工业网络安全建设有一定的借鉴意义。

1 概述随着冶金工业科技的发展，生产控制系统日益复杂。

控制系统有自己独立的工业网络。

网络系统中往往分成多级进行管理和控制。

(Ll、L2、L3、L4等)。

系统中包含若干生产服务器和计算机操作终端。

随着信息化的发展，计算机病毒、木马和黑客程序也日益猖獗。

对工业网络的安全产生威胁，时有安全问题发生。

安全威胁的发展有以下6个特点：(1)病毒与黑客程序相结合(2)蠕虫病毒更加泛滥(3)病毒破坏性更大(4)制作病毒的方法更简单(5)病毒传播速度更快，传播渠道更多(6)病毒的实时检测更困难因此，针对目前状况，对工业网络进行安全研究，得出一个安全高效、切实可行的解决方案并付诸实施，是安全生产的重要一环，有极大的社会价值和现实意义。

在系统加固的基础上，部署网络防病毒系统是确保整个网络生产服务系统信息安全的重要手段。

针对病毒种类繁多，增长迅速，隐蔽性、再生性强，易传播，发作快、危害严重的特点，防病毒系统必须对全网范围内的服务器和操作终端实行全方位、立体、动态、实时的病毒防护。

为此，必须提供强大、灵活、可统一实旌的防病毒策略和集中的事件监控、告警、管理手段，支持自动下载并分发最新的病毒特征码和扫描引擎，提供强大的病毒响应和处理机制等。

对于一个大型而复杂的工业网络来说，部署的防毒系统将十分复杂和庞大。

防病毒系统的最大特点是需要不断的升级和更新，以应对新产生的各类病毒。

因此各点的防毒软件集中进行升级行动是有效防毒的重要一环。

2 炼钢厂网络架构和面临的问题炼钢厂工业网络结构比较复杂，涉及多部门，多系统之间的协调，如果不进行安全防范，病毒可能带来严重的威胁和损害。

建发集团网络系统建设方案文档编号：项目名称：编写：张鸿图编写日期：2011-11-27审核：审核日期：批准：批准日期：目录第一章项目背景及需求分析 (6).1概述及背景 (6)1.2综合业务网建设的必要性 (6)1.2.1建发集团系统信息化现状 (6)1.2.2建设的必要性 (6)1.3建发集团综合业务网需求分析及业务规划 (7)1.3.1需求分析及预测 (7)1.3.2业务规划 (7)第二章网络设计原则 (10)2.1 网络设计原则 (10)2.2 网络设备选型原则 (11)第三章总体建设方案建议 (12)3.1局域网设计方案 (12)3.1.1建发集团网络设计 (12)3.1.1.1网络拓扑图 (12)3.2.1.2网络设计描述 (12)3.1.2联想核心交换机的优势 (13)3.1.2.1 低拥有成本 (13)3.1.2.2 可扩展的灵活的网络 (14)3.1.2.3 高性能的实现 (14)3.1.2.4 基于策略的、基于硬件的高性能QoS (15)3.1.2.5 4层—7层交换 (15)3.1.3.6联想以太网自动保护交换(EAPS) (16)3.1.2.7 高可靠的设备和高可用的网络实现 (17)3.1.2.8 高安全性的网络 (18)3.1.3接入交换机的优势 (20)第四章网络管理 (21)4.1 网络管理系统设计原则 (21)4.1.1 面向运维的全网故障与性能预警 (21)4.1.2 面向规划，预见链路、设备的性能趋势 (21)4.2 网络管理系统解决方案 (22)4.2.1 配置管理 (23)4.2.2 故障管理 (24)4.2.3 性能管理 (25)4.2.4 安全管理 (26)4.2.4.1 权限管理 (26)4.2.4.2 数据安全管理 (26)4.2.4.3 网元安全管理 (26)4.2.4.4 安全检测功能 (27)第五章网络系统安全设计 (27)5.1网络安全设计原则 (27)5.2.2 主要安全隐患分析 (29)5.2.3安全需求 (29)5.3 网络安全系统设计方案 (30)5.3.1整体方案设计 (30)5.3.1.1安全系统模型 (30)5.3.1.2安全方案概述 (31)第六章IP电话与监控系统设计方案 (32)6.1IP电话设计原则 (32)6.2IP电话设计目标 (32)6.1IP电话系统方案建设 (33)6.1.1建设综合信息网络 (33)6.1.2系统组网方案分析 (34)5. 2IP电话系统设计技术方案 (34)6.2.1中心机房网络方案 (34)6.2.2电话号码分配与呼叫方式 (35)6.3监控系统概述 (36)6.4、监控系统设计原则 (36)6.5、监控系统原理 (38)6.6、解决方案 (39)6.7．监控系统构成及功能介绍 (40)第七章工程实施 (42)7.1 工程实施的组织结构 (42)7.1.1 工程组织机构 (43)7.1.2 各项目小组职责分工 (43)7.1.2.1 项目领导小组 (43)7.1.2.2 项目监理 (44)7.1.2.3 项目经理 (44)7.1.2.4 技术负责人 (45)7.1.2.5 中心专家组 (45)7.1.2.6 现场勘察组 (46)7.1.2.7 现场实施组 (46)7.1.2.8 实施保障组 (47)7.1.2.9 质量监控组 (47)7.1.2.10 项目验收小组 (47)7.2 人力资源安排 (49)7.3 项目实施流程 (50)7.4 工程实施具体要求 (51)7.4.1 组建项目组 (51)7.4.2 设备到货准备 (52)7.4.3 工程技术准备 (52)7.4.4 安装环境准备 (54)7.4.5 现场勘查及工程配套设备安装 (55)7.4.6 到货检查 (56)7.4.7 节点安装测试 (57)7.4.8 网络测试及系统初验 (58)7.4.9 系统试运行和终验 (59)7.5文档列表 (60)7.6系统测试和验收 (61)7.6.1 网络测试的原则 (61)7.6.2 网络连通性测试 (62)7.6.3 网络压力测试 (64)7.6.4 路由收敛与恢复测试 (65)7.6.5 网络可靠性测试 (66)7.6.6 系统验收 (67)7.7 工程质量保证体系 (68)7.7.1 工程质量管理 (68)7.7.2 组建健全有效、职责明确的项目组织机构 (68)7.7.3 制订详细、切实的工程技术指导书 (69)7.7.4 制订详细的工程进度计划 (69)7.7.5 基于实施计划的严格工程进度管理 (70)7.7.6 高效合理的资源调配与管理 (70)7.7.7 必要的工程协调会 (70)7.7.8 工程和技术文档的管理 (71)7.8 联想质量体系介绍 (71)7.8.1 质量管理目的和内容 (71)7.8.2 联想公司的质量方针与承诺 (71)7.8.3 质量管理的基本要求：PDCA (72)7.8.4 文件化的质量保证体系—联想系统集成质量体系文件 (72)7.8.5 制定计划 (72)7.8.6 阶段评审和联合评审 (73)7.8.7 配置管理 (73)7.8.8 文档管理 (73)7.8.9 更改控制 (73)7.8.10 生存周期内的质量管理 (73)7.8.11 其他 (74)第八章工程进度安排 (75)8.1 项目实施内容 (75)8.2 整体实施安排 (75)8.3 工程实施进度安排 (76)第一章项目背景及需求分析.1概述及背景为了更好发挥整体优势，建发集团组建并形成一个现代化的信息通信平台，作为高效管理、服务一体化的技术支持系统十分必要。

企业网络安全方案15篇企业网络安全方案（篇1）1、网络管理员应在接到突发的计算机网络故障报告的第一时间，赶到现计算机或网络故障的第一现场，察看、询问网络故障现象和情况。

2、分析设备或系统的故障;判断故障属于物理性破坏、人为失误造成的安全事件、电脑病毒等恶意代码危害、检测软件引起的系统性瘫痪还是人为的恶意攻击等。

3、发生计算机硬件(系统)故障、通信线路中断、路由故障、流量异常等，网络管理员经初步判断后应立即上报应急领导小组组长，由应急领导小组组长通知做好各部门做好检测车辆的场内秩序维护工作;(1)、属于计算机硬件(系统)故障;就立即组织电脑公司技术人员进行抢修，属于计算机系统问题的应第一时间利用备份系统进行系统还原操作;还原操作无效的，如无大面积计算机停机现象，应排除隐患，除待处理的检测线外，立即逐步恢复能正常工作的检测线工位机、计算机，尽快恢复车辆检测工作;(2)、属于计算机网络连接问题的，能通过拉接临时线解决的，应立即拉接临时线缆，再逐步查找连接故障;由于连接交换机故障的，应立即更换上备用交换站;站内各部门有义务配合网络管理员做好排故工作;(3)、属于服务器瘫痪引起的;应立即还原服务器操作系统，并还原最近备份的服务器各数据库。

如还原操作无效的，应第一时间安排电脑公司技术人员进行抢修，立即联系相关厂商和上级单位，请求技术支援，作好技术处理并通知服务器服务商。

(4)、由网络攻击或病毒、木马等引起的网络堵塞等现象，应立即拨掉网线，将故障计算机(服务器)脱离网络，并关闭计算机后重新开机，下载安装最新的杀毒软件对故障计算机逐一进行杀毒处理;对连接交换进行断电处理;(5)、当发现网络或服务器被非法入侵，应用服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，各部门工作岗位工作人员应断开网络，网络管理员应向应急领导小组组长报告。

网络管理员接报告应核实情况，关闭服务器或系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络的通道。

网络安全解决方案为了确保工作或事情能有条不紊地开展，通常会被要求事先制定方案，方案可以对一个行动明确一个大概的方向。

优秀的方案都具备一些什么特点呢？以下是作者整理的网络安全解决方案，欢迎阅读，希望大家能够喜欢。

网络安全解决方案1安全系统建设目标本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案，包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施，以及长期的合作和技术支持服务。

系统建设目标是在不影响当前业务的前提下，实现对网络的全面安全管理。

1) 将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险;2) 通过部署不同类型的安全产品，实现对不同层次、不同类别网络安全问题的防护;3) 使网络管理者能够很快重新组织被破坏了的文件或应用。

使系统重新恢复到破坏前的状态。

最大限度地减少损失。

具体来说，本安全方案能够实现全面网络访问控制，并能够对重要控制点进行细粒度的访问控制;其次，对于通过对网络的流量进行实时监控，对重要服务器的运行状况进行全面监控。

防火墙系统设计方案防火墙对服务器的安全保护网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。

另外，服务器提供的各种服务本身有可能成为"黑客"攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。

如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务，就会面临着"黑客"各种方式的攻击，安全级别很低。

因此当安装防火墙后，所有访问服务器的请求都要经过防火墙安全规则的详细检测。

只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。

防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而防止了绝大部分外界攻击。

防火墙对内部非法用户的防范网络内部的环境比较复杂，而且各子网的分布地域广阔，网络用户、设备接入的可控性比较差，因此，内部网络用户的可靠性并不能得到完全的保证。

毕业设计〔论文〕论文题目：成都航利实业科技网络平安解决方案教学中心：电子科技大学网络教育重庆学习中心指导老师：唐锡雷职称：讲师学生姓名：郑天宇学号: V08642442123专业：网络工程2010年05月10日毕业设计〔论文〕任务书题目：成都航利实业科技网络平安解决方案任务与要求：本论文主要针对航利集团有限责任公司〔以下简称航利集团公司〕的平安问题研究，找到其解决的方法，这对一个以技术为主的公司是很具备现实的意义。

本论文的要求是能解决该公司的主要网络问题，使公司能健康的开展，也使公司更平安的从事其各项业务。

时间：2021 年3月10 日至2021年 5 月13 日共9 周办学单位：电子科技大学网络教育重庆学习中心学生姓名：郑天宇学号：V08642442123专业：网络工程指导单位或教研室：重庆科创职业学院指导教师：唐锡雷职称：讲师2010年3月10日毕业设计(论文)进度方案表电子科技大学毕业设计(论文)中期检查记录表摘要随着信息化技术的飞速开展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。

航利集团作为集军工与高新科技、多元化投资的民品管理、西南首屈一指的大型集团，其自身的网络平安，更引起了贵公司的高度重视。

本文首先对航利集团有限责任公司〔以下简称航利集团〕现有的网络系统做了简单的介绍并对现有的网络所面临的平安威胁和影响网络平安的主要因素做了分析；其次针对航利集团公司的实际情况提出了平安的建立网络系统的原那么；最后提出相应的平安解决方案并对所需的设备选型、使用、升级等提出一些建议，本文对航利集团网络平安设计进行了重点的论述。

关键词：网络平安网络系统设备选型AbstractWith the rapid development of information technology, and many forward-looking companies recognize that relying on the advanced IT technology to build the enterprise's own business and operating platform will greatly enhance the core competitiveness of enterprises so that enterprises in a brutal competitive environment stand out. Lee Group as a set of military aircraft and high-tech, diversified investment management products for civilian use, leading a large group of Southwest, its own network security has attracted great attention of your company.This first flight Lee Group Co., Ltd. (hereinafter referred to as Air Lee Group) the existing network system as a simple introduction to the existing network and security threat and the main factors that affect network security analysis done; followed for Hang Lee Group, the authors presented a secure networking system principles; Finally, the appropriate security solutions and the necessary equipment selection, use, upgrade and so make some suggestions, the paper profit on the route design of our network security the focus of the discussion.KEY WORDS Network security, Network systerm, Equipment Selectio目录第一章绪论 (1)第一节论文的背景和目的 (1)第二节论文的结构及研究内容 (1)第二章航利集团网络分析 (2)第一节航利集团现有网络结构 (2)第二节航利集团网络面对的威胁、风险分析 (2)一、内部窃密和破坏 (3)二、搭线〔网络〕窃听 (3)三、假冒 (3)四、完整性破坏 (3)五、其它网络的攻击 (3)六、管理及操作人员缺乏平安知识 (4)七、雷击 (4)第三章平安系统建设原那么 (5)第一节系统性原那么 (5)第二节技术先进性原那么 (5)第三节管理可控性原那么 (5)第四节适度平安性原那么 (5)第五节技术与管理相结合原那么 (5)第六节测评认证原那么 (6)第七节系统可伸缩性原那么 (6)第四章网络平安总体设计 (7)第一节平安设计总体考虑 (7)第二节网络平安 (7)一、网络传输 (8)二、访问控制 (10)三、入侵检测 (11)四、漏洞扫描 (12)五、其它 (12)第三节应用系统平安 (12)一、系统平台平安 (12)二、应用平台平安 (12)三、病毒防护 (12)四、系统设计原那么 (13)五、产品应用 (13)六、数据备份 (15)七、平安审计 (15)八、认证、鉴别、数字签名、抗抵赖 (15)第四节物理平安 (15)一、两套网络的相互转换 (16)二、防电磁辐射 (16)三、网络防雷 (16)四、重要信息点的物理保护 (17)五、平安管理 (17)六、平安特性 (19)第五章平安设备要求 (20)第一节平安性要求 (20)第二节可用性要求 (20)第三节可靠性要求 (21)第四节平安设备的可扩展性 (21)第五节平安设备的升级 (21)第六节设备列表 (21)第六章保障与培训 (22)第一节保障机制 (22)第二节培训 (22)第三节现场操作培训 (22)结束语 (23)谢辞 (24)参考文献 (25)第一章绪论第一节论文的背景和目的随着国内计算机和网络技术的迅猛开展和广泛普及，企业经营活动的各种业务系统都立足于Internet/Intranet环境中。

全面详细信息系统网络安全整改方案【摘要】本方案通过对公司网络信息系统的安全现状进行分析工作，参照国家信息系统等级保护要求，找出信息系统与安全等级保护要求之间的差距，给出相应的整改意见，推动公司网络信息系统安全整改工作的进行。

方案详细全面，可供作为相关工作参考。

第1章项目概述1.1 项目目标本方案将通过对公司网络信息系统的安全现状进行分析工作，参照国家信息系统等级保护要求，找出信息系统与安全等级保护要求之间的差距，给出相应的整改意见，推动 XX 企业公司网络信息系统安全整改工作的进行。

根据 XX 企业公司信息系统目前实际情况，综合考虑 XX 企业公司信息系统现有的安全防护措施，存在的问题和薄弱环节，提供完善的安全整改方案，提高 XX 企业公司信息系统的安全防护水平，完善安全管理制度体系。

在一个全面的企业网络安全中，风险的所有重要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。

威胁利用资产自身的脆弱性使得安全事件的发生成为可能，从而形成了风险。

这些安全事件一旦发生，将对资产甚至是整个系统都将造成一定的影响。

1.2 项目范围本文档适用于指导 XX 企业信息系统安全整改加固建设工作。

1.3 信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

1.4 等级保护建设依据1.4.1 国内标准《中华人民共和国网络安全法》《信息系统安全等级保护基本要求》 GB/T 22239-2008《信息安全风险评估规范》 GB/T 20984-2007《信息安全管理实用规划》 GB/T 22081-20081.4.2 国际标准ISO27001ISO27002ISO/IEC 13335ISO90011.4.3 行业要求《关于印发 < 信息安全等级保护管理办法 > 的通知》（公信安 [2007]43 号）《中华人民共和国计算机信息系统安全保护条例》（国务院 147 号令）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27 号）《关于信息安全等级保护工作的实施意见》（公通字 [2004]66 号）《信息安全等级保护管理办法》（公通字 [2007]43 号）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861 号）《公安机关信息安全等级保护检查工作规范》（公信安 [2008]736 号）《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429 号）第2章安全现状分析2.1 网络现状描述1.XX 企业公司网络信息系统内网架构为三层架构2.核心交换机直连各楼栋汇聚交换机3.用户接入交换机，通过 VLAN 划分用户区域3.网络出口上有两条链路：一条为 500M 的互联网线路；一条为 20M 专线的的集团线路。

企业互联网网络安全保障方案为做好党的二十大和护网行动网络攻防演习等重要时期网络安全保障工作，确保保障期间无重大网络安全责任事件，圆满完成网络安全保障工作，提升网络安全事件应急及处置能力，持续提升公司网络安全防护能力，根据集团公司网络安全保障工作要求，结合公司实际，制定网络安全保障方案。

一、保障范围包括公司所有信息系统、服务器、网络设备、办公计算机终端等。

保障重点为关键信息基础设施、等保定级为二级及以上的系统，包括公司对外发布的系统、门户网站等对外提供服务的系统。

二、保障原则坚持'谁主管谁负责、谁运行谁负责、谁使用谁负责”原则，机关各部门、各二级单位落实主体责任，各负其责、协同做好保障工作。

三、组织保障公司成立网络攻防演习防护指挥部，公司副总经理担任指挥长，信息管理部主任任副指挥长，成员由信息管理部和公司网络安全应急专家团队组成。

防护指挥部办公室设在信息管理部，防护指挥部设置协调组与应急响应组。

四、防护措施(-)办公计算机终端1 .安装桌面安全管理系统客户端，安装极限加固核查工具，严格按照安全基线配置。

2 .安装系统补丁。

3 .设置登录口令复杂度，满足基线要求。

4 .启用防火墙，阻止任何入站访问请求。

5 .关闭远程桌面访问，禁止安装使用远程控制软件。

6 .禁止计算机终端通过自建互联网出口连接互联网。

7 .不访问可疑网站，不打开来历不明邮件，严防钓鱼邮件。

8 .不采用公共互联网通信软件发送工作内容及文档。

9 .下班关闭计算机。

10 .严格限制远程管理泛终端设备IP地址。

（二）服务器1 .及时关闭或下线部署在集团公司DMZ区域的不再使用的服务器资源。

2 .严格按照安全极限配置服务器。

3 .清理系统账号，杜绝所有账号弱口令、空口令、口令复用情况。

4 .最小化系统安装。

5 .禁止使用QQ.TeamViewer,向日葵等软件对服务器进行互联网穿透方式远程管理。

6 .更新服务器最新补丁。

7 .服务器开放提供服务的端口，关闭其他所有不必要的端口和对外服务，建立白名单。

公司网络安全方案设计网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断.下面是有关公司网络安全的方案设计,供大家参考！公司网络安全方案设计【1】网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署：网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备,并且在各个设备或系统之间，能够实现系统功能互补和协调动作。

1．网络隔离与访问控制。

通过对特定网段、服务进行物理和逻辑隔离，并建立访问控制机制，将绝大多数攻击阻止在网络和服务的边界以外。

2．漏洞发现与堵塞.通过对网络和运行系统安全漏洞的周期检查，发现可能被攻击所利用的漏洞，并利用补丁或从管理上堵塞漏洞。

3．入侵检测与响应.通过对特定网络、服务建立的入侵检测与响应体系，实时检测出攻击倾向和行为，并采取相应的行动。

4．加密保护。

主动的加密通信，可使攻击者不能了解、修改敏感信息或数据加密通信方式；对保密或敏感数据进行加密存储,可防止窃取或丢失。

5．备份和恢复。

良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。

6．监控与审计。

在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统.一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录；另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。

在利用公共网络与外部进行连接的“内"外网络边界处使用防火墙，为“内部"网络与“外部"网络划定安全边界.在网络内部进行各种连接的地方使用带防火墙功能的VPN设备，在进行“内"外网络的隔离的同时建立网络之间的安全通道。

1．防火墙应具备如下功能：使用NAT把DMZ区的服务器和内部端口影射到Firewall 的对外端口；允许Internet公网用户访问到DMZ区的应用服务:http、ftp、smtp、dns等；允许DMZ区内的工作站与应用服务器访问Internet公网；允许内部用户访问DMZ的应用服务：http、ftp、smtp、dns、pop3、https；允许内部网用户通过代理访问Internet公网；禁止Internet公网用户进入内部网络和非法访问DMZ 区应用服务器；禁止DMZ区的公开服务器访问内部网络;防止来自Internet的DOS一类的攻击；能接受入侵检测的联动要求，可实现对实时入侵的策略响应；对所保护的主机的常用应用通信协议能够替换服务器的Banner信息，防止恶意用户信息刺探;提供日志报表的自动生成功能，便于事件的分析；提供实时的网络状态监控功能，能够实时的查看网络通信行为的连接状态，通信数据流量。

大型企业网络安全整体解决方案1．需求分析企业不断发展的同时其网络规模也在不断的扩大，大型企业由于其自身业务的需要，在不同的地区建有分公司或分支机构，本地庞大的Intranet和分布在全国各地的Intranet之间互相连接形成一个更加庞大的网络。

这样一个网网相连的企业网为企业提高了效率、增加企业竞争力，同样，这样复杂的网络面临更多的安全问题。

首先本地网络的安全需要保证，同时总部与分支机构、分支机构之间的机密信息传输问题，以及集团的设备管理问题，这样的网络使用环境一般存在下列安全隐患和需求：计算机病毒在企业内部网络传播内部网络可能被外部黑客攻击对外的服务器（如：www、ftp、邮件服务器等）没有安全防护，容易被黑客攻击内部某些重要的服务器或网络被非法访问，造成信息泄密内部网络用户上网行为没有有效监控管理，影响日常工作效率，容易形成内部网络的安全隐患分支机构网络安全问题大量的垃圾邮件占用网络和系统资源，影响正常的工作分支机构网络和总部网络连接安全和之间数据交换的安全问题远程、移动用户对公司内部网络的安全访问2．瑞星整体解决方案瑞星针对大型企业的上述特点，利用瑞星公司的系列安全产品为企业量身定制一种安全高效的网络安全整体解决方案。

瑞星防毒墙是一款多功能、高性能的产品，它不但能够在网络边缘病毒检测、拦截和清除的功能，同时，它还是一个高性能的防火墙，通过在总部、分支机构网络边缘分别布置不同性能的防毒墙保护总部和分支机构内部网络和对外服务器不受黑客的攻击，同时通过VPN功能，为分支机构、远程、移动用户提供一个安全的远程连接功能，是大型企业网络边缘安全的首选产品。

瑞星多功能NP防火墙RFW-SME是一款多功能、高性能、低价位的产品，通过在分支机构或内部网络间布置RFW-SME，实现对分支机构和内部网络的保护。

瑞星RIDS-100入侵检测系统是由瑞星公司自主研发的新一代网络安全产品，它集网络监控、入侵检测、实时报警和主动防御功能于一身，实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并实时报警，为计算机网络提供全方位的保护，能最大限度地满足政府、企事业单位保护信息安全的需要。

---集团网络升级改造建设方案一、概述网络是集团信息的基础设施，以集团为中心下属各分支机构及项目部通过与中心节点的连接，实现互联互通.此方案从网络入口、网络安全、数据加密、网站加密等安全防护方面出发，保障公司网络安全与数据互联的畅通。

二、原拓扑介绍:1、外网接入：目前公司大楼接入的电信带宽是100兆光纤,较难满足公司后期带宽的需求。

2网络层设备核心路由器：设备接口为百兆而且是六年前采购的，相关配件已经停产。

目前要想提速到300兆必须采购千兆接口路由器，因为千兆端口可以接收更多的并发访问数量，后期相关模块上线使用后会有大量的用户访问集团网络中心，带宽的扩容可以解决此问题。

层交换机：目前公司六层主楼加五层副楼只有四个光口交换机,从网络拓扑角度来讲应该是核心交换机通过光纤直连到层交换机，还需要采购七台光口交换机,保证300带宽可以到达弱电井,目前的设备只支持最多一百兆带宽到达弱电井，不能满足后期带宽的扩容。

核心网关：目前公司用的核心网关为2013年采购，且前段时间已升级最新版本，完全符合公司的后期扩容要求，一般硬件厂家的支持升级年限为五年以上。

上网行为：规范和限制员工的设备，包括上班时间禁止看视频、下载大容量文件等，后期网络改造将进行手工配置ip地址的模式，每人都对应自己唯一的ip地址.公司现在网络情况总结：百兆光纤接入，通过百兆路由器千兆交换机接入到弱电井,通过网络线接入到办公室，有相应的上网行为设备的控制，在服务器区通过核心网关做映射与外网相连，同时起到安全防护的作用.缺点：用户访问外部网络没有安全设备,会造成后期网络访问的数据安全问题;服务器区只有核心网关做防护,不能保证服务器区的足够安全；各楼层没有光纤交换机，后期扩容带宽受限；网站没有足够防护，主要原应是访问量和数据交换较少，暂时不会有大量的数据，不会引起相关木马等的攻击。

之所以公司网络是这个现状主要原因是当时集团大楼为临时大楼只为过度使用，申特对网络的要求也很低，同时在线人数也不会超过100人,网络负载基本满足。