信息化环境安全部署方案200327

信息化环境安全部署建议

当前，信息系统安全已经成为企事业单位日常系统运营的重要问题，如何做好整套的信息安全体系是一个十分重要的问题，我们根据中小企业常见的信息化环境构架，提出了如下几点建议：

1.防火墙部署，控制网络出口；服务器前端部署防火墙，开启安全防御策略

建议网络核心采用山石防火墙作为整体网络出口管理的核心设备,通过防火墙的上网行为管理功能,对网络内部进行访问限制;通过其日志记录功能可以监测日常访问记录;通过其防病毒功能,可以对内外网的病毒侵害进行有效的防御和预警;通过其防黑入侵检测功能,可以有效的预防黑客/木马侵害.

同时，如果对核心业务的网络安全级别要求较高，可以在服务器前端部署一台高性能IPS入侵防御检测设备或一台更高性能的防火墙（配备更高的安全模块），以便于对网内的各类非法攻击、木马病毒等进行更加严密的防护，

山石网科新推出的SG6000系列产品，具有更好的防御和管理性能，同时全面开始支持手机监测，可以为管理人员提供公司内部实时的网络安全监测情况（有免费版和收费版），以便于及时做好相关运维工作。

新产品同时在SSL-VPN授权方面拥有更好的性能和价格优势，适合分支机构较多，且较分散的单位部署，相比于诸多远程系统，其性价比和安全性更好。（需要总部联通、电信双线路部署，以便于保证分支访问速度）

2.三层核心交换机部署划分虚拟子网

目前的交换机是非网管型交换机,不能有效的控制内网相关的访问,同时其网络数据吞吐量也不能满足内网数据传输需求.更换为三层千兆/万兆网管型交换机以后,核心网络数据吞吐量将极大的提高，进而提高内网数据传输性能.

同时三层网管型交换机还可以划分多个虚拟子网网段,通过这一策略,可以将财务、设计、业务等多个部门，以及无线、监控等通过不同网段隔离开，同时设置访问策略，允许必要的业务程序进行访问，可以有效的控制和监测网络应用。

通过部署三层交换机，可以将故障限制在某个或几个端口，将问题控制在下一层交换机区域，而不至于导致全局网络遭遇网络风暴等严重故障。

3.配置数据备份服务器

随着近两年以勒索病毒造成的数据损毁灾害事件，以及数据安全的迫切需求，数据备份已经是企业信息化环境中必须考虑的问题。传统的备份手段，一般是讲数据备份到服务器环境的另外一个分区，或者采用移动硬盘拷贝，其可靠性低，操作冗繁，且不能保证每天能够稳定备份，一旦数据损毁，将给公司带来极大的损失。

当前最经济的备份设备，莫过于采用NAS存储服务器了，群晖企业级NAS 设备可以支持大容量硬盘，自带很多数据管理套件，可以实现FTP服务器功能、定时完整或增量备份，支持原路径还原。如果后期需要更强大的备份功能，可以购买专业的数据库备份软件，为数据安全提供更加强大的保障功能。

群晖的备份一体机，特别适合中小型企业使用，其操作界面简单易上手，全中文操作环境，可以支持MS-SQL、Oracle、Mysql等主流数据库的二次备份，同时支持MongoDB等NO-SQL类数据库，也支持重要文档类数据的备份功能，尤其是对时下日益泛滥的勒索病毒具备很强大的免疫防御功能，对企业的数据备份安全能够提供可靠的系统保证。

群晖的数据快照功能，首先在保障数据安全方面具有很好的安全优势，可以满足至少32个文件副本的备份功能，同时可以快速还原问题数据。

同时配合两个以上的群晖设备，还可以实现多地异地备份功能，也可以实现文件多站点分发功能等。

4.信息安全管理制度及规范健全和完善

建议公司通过部署防火墙、三层交换机组成的网络管理体系，建立一套合理的基于信息安全的管理流程，从而对公司整体的信息和网络安全进行有效的管控。后期配合持续的技术服务支持体系，可以做到持续的安全维护保障。

同时，对于分支机构的各类信息账户建立统一的管理体系，对账户赋权管理、人员变动交接等方面工作，全面同信息系统进行业务流程的关联，以免相关漏洞导致数据泄密或遭遇内部非法侵入导致的数据或系统的损失。

5.老旧设备硬件升级及系统更新

很多老旧的PC终端，尤其是已经使用超过5-6年以上的，存在着诸多硬件故障隐患，且运行效率低下，加之使用的是厂家已经停止相关技术支持的xp或windows7-32系统，这将对单位的信息化环境产生很多的不利因素。考虑到实际情况，推荐采取能升级的，升级内存和固态硬盘，以便于提高运行速度，同时更换更有保障的高版本系统。如果是严重老化的设备，建议安排采购新机计划。6.信息安全意识及防御技巧培训

安排一次信息安全意识的专题培训，主要讲解网络安全的案例信息及防范方法（黑客APT攻击事件、信息泄密事件、勒索病毒等，结合网络安全法、等保2.0规范）、信息安全意识及信息安全保障知识、移动端信息安全日常注意事项。

后期由专人负责公司日常信息安全的管理，同时定期组织学习相关信息安全的知识，收听或观看信息安全教育音视频资料，定期组织信息安全检查。

7.每年定期由专业的信息安全技术团队进行信息环境安全巡检

每年定期由专业的信息安全技术人员进行现场信息环境的安全检测，有助于借助专业团队的技术实力对公司内部的信息安全隐患进行调研排查，预防可能出现的信息安全威胁事故，了解核心设备及终端设备可能存在的运维问题，从而达到防患于未然的效果。通过巡检报告，以及专业技术安全团队提供的及时更新的信息安全防御知识，可以做好单位的信息安全工作。

保定市天晓汇智计算机科技有限公司

2020年3月27日

通天晓® 、补天士® 补天石®是保定市天晓汇智计算机科技有限公司注册的服务及运维产品商标。主旨在于将信息化技术服务工作标准化、规范化，以此为广大客户提供更及时、优质、高效的服务支持。