① 什麼是PPDR安全模型
PPDR安全模型是指入侵檢測的一種模型。
PDRR安全模型強調網路保護不再是簡單的被動保護,而是保護、檢測、響應和恢復的有機結合。因此,PDRR模型不僅包含了安全防護的概念,而且還包含了主動防禦和主動防禦的概念。
在PDRR安全模型中檢測顯得非常重要的一步。檢測的目的是檢測網路攻擊,檢測本地網路中的非法信息流,檢測本地網路中的安全漏洞,有效防範網路攻擊。通信部分檢測技術包括入侵檢測技術和網路安全掃描技術。
(1)網路安全的統一模型擴展閱讀
工作原理
保護階段。用一切手段保護信息系統的可用性、保密性、完整性、可控性和不可抵賴性。這里的手段一般是指靜態的防護手段,包括防火牆、防病毒、虛擬專用網(VPN)、路由器。
響應階段。主要對危害網路安全的事件和行動作出響應,防止對信息系統的進一步破壞,並將損失降到最低。這就要求在檢測到網路攻擊後及時阻止網路攻擊,或者將網路攻擊引向其他主機,這樣網路攻擊就不會對信息系統造成進一步的破壞。
恢復階段。 使系統能盡快正常地對外提供服務,是降低網路攻擊造成損失的有效途徑。為了能保證受到攻擊後能夠及時成功地恢復系統,必須在平時做好備份工作。
② 網路工程師請進!!
我給你 一個 概念 我還有更好的 真正項目下來的 給點分吧
目 錄
一、項目概述
二、需求概述
三、網路需求
1.布線結構需求
2.網路設備需求
3.IP地址規劃
四、系統需求
1.系統要求
2.網路和應用服務
五、存儲備份系統需求
1.總體要求
2.存儲備份系統建設目標
3.存儲系統需求
4.備份系統需求
六、網路安全需求
1.網路安全體系要求
2.網路安全設計模型
前言
根據項目招標書的招標要求來細化為可執行的詳細需求分析說明書,主要為針對項目需求進行深入的分析,確定詳細的需求狀況以及需求模型,作為制定技術設計方案、技術實施方案、技術測試方案、技術驗收方案的技術指導和依據
一、項目概述
1. 網路部分的總體要求:
滿足集團信息化的要求,為各類應用系統提供方便、快捷的信息通路。
良好的性能,能夠支持大容量和實時性的各類應用。
能夠可靠的運行,較低的故障率和維護要求。
提供安全機制,滿足保護集團信息安全的要求。
具有較高的性價比。
未來升級擴展容易,保護用戶投資。
用戶使用簡單、維護容易。
良好的售後服務支持。
2. 系統部分的總體要求:
易於配置:所有的客戶端和伺服器系統應該是易於配置和管理的,並保障客戶端的方便使用;
更廣泛的設備支持:所有操作系統及選擇的服務應盡量廣泛的支持各種硬體設備;
穩定性及可靠性:系統的運行應具有高穩定性,保障7*24的高性能無故障運行。
可管理性:系統中應提供盡量多的管理方式和管理工具,便於系統管理員在任何位置方便的對整個系統進行管理;
更低的TCO:系統設計應盡量降低整個系統和TCO(擁有成本);
安全性:在系統的設計、實現及應用上應採用多種安全手段保障網路安全;
良好的售後服務支持。
除了滿足上述的基本特徵外,本項目的設計還應具有開放性、可擴展性及兼容性,全部系統的設計要求採用開放的技術和標准選擇主流的操作系統及應用軟體,保障系統能夠適應未來幾年公司的業務發展需求,便於網路的擴展和集團的結構變更。
二、需求概述
在設計方案時,無論是系統或網路都嚴格遵循以下原則,以保障方案能充分滿足集團的需求。
先進性和實用性原則
高性能原則
經濟性原則
可靠性原則
安全性原則
可擴展性原則
標准化原則
易管理性原則
三、網路需求
集團園區網項目必須實現以下的功能需求:建設一個通暢、高效、安全、可擴展的集團園區網,支撐集團信息系統的運行,共享各種資源,提高集團辦公和集團生產效率,降低集團的總體運行費用。網路系統必須運行穩定。
集團園區網需要滿足集團各種計算機應用系統的大信息量的傳輸要求。
集團園區網要具備良好的可管理性。減輕維護人員的工作量,提高網路系統的運行質量。
集團園區網要具有良好的可擴展性。能夠滿足集團未來發展的需要,保護集團的投資。
整個項目的施工,系統集成商要精心組織、嚴格管理、定期提交各類項目文檔。
在項目實施完畢之後,系統集成商要對集團的相關人員進行培訓,並移交全部的項目工程資料,保證集團園區網的正常運行和管理維護。
1.布線結構需求
集團目前擁有六家子公司,包括集團總部在內共有2000多名員工;園區內有7棟建築物,分別是集團總部和子公司的辦公和生產經營場所;光纖+超五類綜合布線系統,3000個左右信息點;集團計劃為大部分的員工配置辦公用計算機;集團目前有多種計算機應用系統。
7棟建築物,每棟建築高7層,都具有一樣的內部物理結構。一層設有本樓的機房,一樓布有少量的信息點,供未來可能的需求使用,目前並不使用(不包括集團總部所在的樓)。二層和三層,每層樓布有96個信息點。四層到七層,每層樓布有48個信息點。每層樓有一個設備間。樓內綜合布線的垂直子系統採用多模光纖,每層樓到一層機房有兩條12芯室內光纖。每個子公司和集團總部之間通過兩條12芯的室外光纜連接。要求將除一層以外的全部信息點接入網路,但目前不用的信息點關閉。集團總部所在樓的一層,是集團的主機房,布有48個信息點,但目前只有20台左右的伺服器和工作站。
集團園區正在後期建設中,不存在遺留的網路系統。集團原有少量的網路設備,可以不作考慮或者用作臨時的補充之用。
2.網路設備需求
集團園區網計劃採用10M的光纖乙太網接入到網際網路服務提供商的網路,然後接入到網際網路中,使集團實現與外界的信息交換和網路通信。集團統一一個出口訪問Internet,集團能夠控制網路的安全。
根據集團的網路功能需求和實際的布線系統情況,系統集成商需要給出設備選擇的合理建議,包括樓層接入交換機、子公司主交換機、集團核心交換機等。其中,樓層接入設備需要選擇同一型號的設備;子公司主交換機可以根據需要通過堆疊方式進行靈活的升級擴容;核心交換機需要具有升級到720Gbps可用背板帶寬的能力。
網路設備必須在技術上具有先進性、通用性,必須便於管理、維護。網路設備應該滿足集團現有計算機設備的高速接入,應該具備未來良好的可擴展性、可升級性,保護用戶的投資。網路設備必須具有良好的在滿足功能與性能的基礎上性能價格比最優。網路設備應該選擇擁有足夠實力和市場份額的廠商的主流產品,同時設備廠商必須要有良好的市場形象與售後技術支持。
3.IP地址規劃
集團園區網計劃使用私有的A類IP地址。集團園區網的IP地址分配原則如下:
集團使用IPv4地址方案。
集團使用私有IP地址空間:10.0.0.0/8。
集團使用VLSM(變長子網掩碼)技術分配IP地址空間。
集團IP地址分配滿足合理利用的要求。
集團IP地址分配滿足便於路由匯聚的要求。
集團IP地址分配滿足分類控制等的要求。
集團IP地址分配滿足未來公司網路擴容的需要。
集團園區網的IP地址的一些具體使用規定:
了網化後,所有的第一個子網(0子網)都不分配給用戶使用。
網關的地址統一使用子網的最後一個可用地址。
IP地址的使用需要報集團總部審批備案。
具體配置如下:
機構 IP地址/地址范圍 說明
總部 10.16.*.252/24 1號樓接入層交換機管理IP地址(*表示從97至102對應2至7層)
10.16.35.?/32 非二層交換機的Loopback地址(*表示1至7連接辦公區域、伺服器區域、核心區域的6台交換機以及邊界路由器)
10.16.*.1 ~ 10.16.*.251/24 各層客戶端DHCP地址范圍(*表示從97至102對應2至7層)
10.16.*.252、253/24 1號樓匯聚層交換機對應每一Vlan的IP地址(*表示從97至102對應Vlan12至17)
10.16.*.254/24 1號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址(*表示從97至102對應Vlan12至17)
10.16.64.1、2/30 核心層交換機之間互聯IP地址
10.16.64.5、6/30 伺服器區塊匯聚層交換機互聯IP地址
10.16.64.17、18/30 伺服器區塊匯聚層交換機與核心層交換機互聯IP地址1
10.16.64.21、22/30 伺服器區塊匯聚層交換機與核心層交換機互聯IP地址2
10.16.64.25、26/30 路由器與核心層交換機互聯IP地址1
10.16.64.29、30/30 路由器與核心層交換機互聯IP地址2
10.16.64.33、34/30 路由器與防火牆互聯IP地址
10.16.64.37、38/30 1號樓匯聚層交換機互聯IP地址
10.16.64.41、42/30 2號樓匯聚層交換機互聯IP地址
10.16.64.45、46/30 3號樓匯聚層交換機互聯IP地址
10.16.64.49、50/30 4號樓匯聚層交換機互聯IP地址
10.16.64.53、54/30 5號樓匯聚層交換機互聯IP地址
10.16.64.57、58/30 6號樓匯聚層交換機互聯IP地址
10.16.64.61、62/30 7號樓匯聚層交換機互聯IP地址
10.16.64.65、66/30 網管工作站及相應的網關地址
10.16.96.1、2/27 域控/DNS伺服器主備IP地址
10.16.96.3、4/27 NAS伺服器主備IP地址
10.16.96.5、6/27 Web/Mail伺服器主備IP地址
子公司1 10.32.*.252/24 2號樓接入層交換機管理IP地址(*表示從97至102對應2至7層)
10.32.35.1、2/32 三層交換機的Loopback地址
10.32.*.1 ~ 10.32.*.251/24 各層客戶端DHCP地址范圍(*表示從97至102對應2至7層)
10.32.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址(*表示從97至102對應Vlan12至17)
10.32.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址(*表示從97至102對應Vlan12至17)
10.32.96.1/27 子域伺服器IP地址
10.32.96.2/27 Mail伺服器IP地址
子公司2 10.48.*.252/24 2號樓接入層交換機管理IP地址(*表示從97至102對應2至7層)
10.48.35.1、2/32 三層交換機的Loopback地址
10.48.*.1 ~ 10.48.*.251/24 各層客戶端DHCP地址范圍(*表示從97至102對應2至7層)
10.48.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址(*表示從97至102對應Vlan12至17)
10.48.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址(*表示從97至102對應Vlan12至17)
10.48.96.1/27 子域伺服器IP地址
10.48.96.2/27 Mail伺服器IP地址
子公司3 10.64.*.252/24 2號樓接入層交換機管理IP地址(*表示從97至102對應2至7層)
10.64.35.1、2/32 三層交換機的Loopback地址
10.64.*.1 ~ 10.64.*.251/24 各層客戶端DHCP地址范圍(*表示從97至102對應2至7層)
10.64.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址(*表示從97至102對應Vlan12至17)
10.64.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址(*表示從97至102對應Vlan12至17)
10.64.96.1/27 子域伺服器IP地址
10.64.96.2/27 Mail伺服器IP地址
四、系統需求
本項目的實施目的是在集團內部建立穩定、高效的辦公自動化網路,通過項目的實施,為所有員工配置桌面PC,使所有員工能通過總部網路接入Internet,從而提高所有員工的工作效率和加快企業內部的信息傳遞。同時需要建立集團的WEB伺服器,用於在互聯網上發布企業的信息。在總部及每個子公司均設立專用的伺服器,使集團內所有員工能夠利用伺服器方便的訪問公共的文件資源,並能夠完成企業內外的郵件收發。系統建立完成後,要求能滿足企業各方面應用的要求,包括辦公自動化、郵件收發、信息共享和發布、員工賬戶管理、系統安全管理等。
1.系統要求
① 集團原有少量筆記本電腦及PC機,由各級經理及財務部門使用,操作系統均為Windows98,為了滿足企業信息化建設的需要,集團將在本項目中更新所有的操作系統。本項目中的操作系統應選擇占市場份額最大的主流操作系統,整個網路(伺服器、客戶機)採用同一廠商的操作系統產品,所選擇的操作系統應簡單蝗用,便於安裝和管理。具體選擇應依據如下規則:
操作系統要求選擇最新版本
所選操作系統需要提供方便的更新與升級方法
伺服器操作系統需要能夠提供目錄服務功能
伺服器及客戶機操作系統都需要支持TCP/IP協議
所選操作系統應能夠方便的實現用戶和許可權的管理
秘選操作系統應能夠運行常用的大多數應用軟體,例如辦公軟體、圖像處理軟體、CAD財務軟體等
伺服器操作系統應能夠提供WEB、FTP、DNS服務及完善的管理功能
操作系統廠商應能夠提供優質的售後服務及技術支持
客戶端操作系統要求簡單易用,提供圖形界面
② 隨著集團近年來的高速發展,集團的業務已經涉及到各個商業領域,集團及公司內部的組織結構也日益復雜,在本項目的設計實施過程中,要求工程實施方在規劃系統設計時,充分考慮到集團管理的需求,設計出合理的系統管理架構,能夠最大程度的降低集團的系統管理上的成本,並能滿足各種商務工作的需求,具體的設計應依據以下原則:
清晰的邏輯結構:要求集團范圍內的系統管理結構清晰,層次分明,能夠充分的與集團的管理結構想吻合。集團總部及各個子公司應是相對獨立的管理單元。各個單位在自己公司范圍內實現用戶賬戶及網路安全的管理。總部管理員有許可權管理各子公司的系統。
便於管理:整個系統設計要便於網路管理員管理,在系統中提供便於管理員管理的各種有效方式。使管理員工在任何一個位置均能對伺服器進行維護和管理。集團總部及各子公司都有自己的專職系統管理員,應保障管理員對只對本公司網路具有管理許可權。總部管理員對集團所有系統具有管理許可權。
簡單的設計:在保障滿足集團需求的前提下,設計方案應以簡單為佳,避免由於復雜的設計增加工程實施的難度和增加集團系統管理的復雜性。
合理的用戶管理:所有的用戶採用統一的命名規范,每個單位對本單位員工賬戶進行獨立的管理,並按不同的部門管理用戶賬戶。
2.網路和應用服務
① WEB服務
隨著企業業務的不斷拓展,集團在業界的影響力越來越大,越來越多的商業合作夥伴和客戶需要從互聯網上了解集團的信息,並希望通過互聯網進行商務合作。為了進一步提高企業知名度並在互聯網發布集團及子公司的商業信息,集團計劃在網路中建立WEB伺服器,集團已經宴請了域名gzlk.local。集團下屬子公司教育公司也在Internet上注冊了域名gzlke.com。其他子公司不需要建立自己的WEB伺服器。所有的網站內容已經製作完畢。詳細的需求如下所述:
集團WEB伺服器放置在總部機房,教育公司WEB伺服器放置在該公司機房
WEB服務應和操作系統具有良好的兼容性,避免由於服務的不兼容影響性能和穩定性
WEB伺服器具有固定的IP地址配置
WEB網站允許匿名訪問
網站的文件存儲應具備良好的安全性
允許互聯網及集團內部的用戶可以通過www.gzlk.local訪問集團及子公司網站
② FTP服務
為了實現集團內部的文件存儲和管理,集團計劃採用兩種方式管理文件資源,總部及各子公司設立自己的文件伺服器,上項工作由各單位的系統管理員自行完成。另外,總部及各子公司建立自己的FTP伺服器,此項工作包含在本項目中,由工程實施單位完成。FTP服務的建立要求具備足夠的存儲空間用於存儲各單位的文檔資料及應用軟體並能夠實現利用FTP客戶端軟體及WEB瀏覽器訪問。具體的需求如下所述:
FTP伺服器具有固定的IP地址
採用所選操作系統自帶的FTP服務建立FTP伺服器,不採用第三方軟體
FTP伺服器允許本公司內部員工下載
只允許系統管理員上傳文件到FTP伺服器
FTP伺服器不對互聯網用戶開放
FTP伺服器需要設置合理的許可權,保障公用文件不被非法的刪除和改寫
③ 郵件服務
隨著集團規模的不斷擴大,企業內部的信息交流變得越來越重要,企業迫切的需要建立內部的消息傳遞平台,用於讓員工之間方便的傳輸各種文件、數據和其他消息。集團計劃在本項目中利用郵件服務實現企業內部的消息傳遞平台,需要在集團總部及各子公司建立郵件伺服器,允許所有員工方便的收發電子郵件。並且通過集團的郵件伺服器,員工也可以和外部的用戶之間收發電子郵件。具體的需求如下:
總部及各子公司均建立郵件伺服器
集團內的郵件服務之間能夠互相轉發郵件
每名員工均有公司統一分配的郵箱
所有員工能夠利用自己的電子郵件與外部用戶通信
所有員工發送郵件附件的大小不能超過4MB
所有員工能夠利用outlook、outlook express、web瀏覽器收發郵件
這是 第2 種
目 錄
一、 項目實施拓撲圖
二、 設備命名規范
為了便於管理以及方面日後的維護,本實施方案對集團網路所使用的網路設備進行統一命名。在實際的實施過程中,網路設備按照命名規則完成命名後,將以標簽的方式粘貼在設備的顯要位置。
實行統一命名的設備類型包括:
樓層接入交換機
匯聚層交換機
集團核心交換機
命名規則見下表
表1
設備類型 命名規則 說明 示例
樓層接入交換機 B?_F?_S??_T???? B?:表示樓號
F?:表示樓層號
S??:表示該樓層中的交換機號,為了以後的擴展性考慮,交換機號用兩位數字表示
T????:表示交換機型號 B1_F2_S03表示1號樓2樓的第3台交換機
匯聚層交換機 B?_D_S??_T????
M_D_S??_T????
I_D_S??_T???? D:表示匯聚層
M:表示伺服器區塊
I:表示網際網路接入區塊
其餘同上 B1_D_S02表示1號樓第2台主交換機
M_D_S01表示伺服器區塊第1台主交換機
I_D_S01表示網際網路接入區塊第1台主交換機
集團核心交換機 C_S?? C:表示核心層
其餘同上 C_S01表示核心層第1台交換機
三、 設備管理口令
配置設備口令,是防止非授權人員更改網路系統的配置的重要手段。
要為所有的設備設置口令,對於網路設備需要為每一台設備設置CONSOLE口令、AUX口令、VTY口令、特權口令等。
對於口令的設置,需要制定管理制度並嚴格執行,口令管理制度包括口令的設置、保管、更改以及口令的強度等內容。
口令強度
口令強度決定了口令被破譯的難度,是口令安全性的基本保障。從集團本身對網路安全性的要求來考慮,口令強度為一般性的強口令即可。
口令要求採用10-12位口令,該口令必須是數字和字母的組合,其中字母的個數不能少於4個。字母可以為大寫和小寫字母。
例如:XinWF7002
口令設置
從安全的角度出發,最佳方案是為每一台設備設置不同的口令。但是從實際的工作需要出發,也可以對每一分公司的同一類型的設備設置相同的口令,便於管理和日常的維護。口令需要定時或不定時地進行經常性修改
對於口令的保管必須遵從嚴格的管理規范。口令的保管方式同上口令設置表。
口令原則上只能由系統管理員保管,保管的介質為紙質和電子兩種。
為了防止系統管理員丟失口令,每次發生口令更新以後,對於紙質口令資料,系統管理員進行封存。對於電子的口令資料,系統管理員需要保存在特定伺服器的專用目錄中。該目錄只有系統管理員能夠訪問。
口令更改
為了減少口令發生泄漏或者被破譯的可能性,對於口令需要不定期進行修改。但是核心交換機口令必須至少90天修改一次,匯聚層、伺服器區塊和網際網路接入區塊交換機口令必須至少180天修改一次,接入層交換機口令必須至少360天修改一次。
一旦懷疑口令已經發生了泄漏,必須在12小時能對所有設備口令進行修改。
口令的更改由系統管理員進行,更改記錄填寫《網路設備口令更改單》,《網路設備口令更改單》的格式如下表所示:
表 3
網路設備口令更改單
更改事由
更改設備編號 更改日期
備注
操作人:
網路設備更改單完成後,系統管理員必須同時更新口令設置表,然後將更新後的口令設置表以及網路設備更改單同時保存。
四、 IP地址分配方案
根據集團公司的規模,集團內部網採用A類私有地址10.0.0.0/8。
為了管理方便除了伺服器、路由器等設備需要固定IP外,所有客戶端用戶均從DHCP伺服器上自動獲取IP地址。
五、 交換機管理地址分配
參見表4中相關項目
六、 路由器地址分配
由於本方案中採用三層交換機來實現路由器的功能,所以沒有單獨採用路由器。
七、 測試要求
為了保證網路設備正常使用,在網路設備配置完成後,需要進行網路設備連接測試。
測試要求:
路由表正確
各交換機之間兩兩互相執行Ping操作可以成功
各交換機之間兩兩互連,當其中的某一條連接鏈路失效的時候,交換機之間仍然可以互相Ping通。
八、 各種設備配置步驟(見PPT)
交換機的配置
交換機的配置步驟如下:
所有的交換機之間連接的埠需要配置成為TRUNK。
配置命令:Switchport Trunk
配置VIP域。啟用V2版本。
VTP模式為:各機構匯聚層交換機配置VTP Mode Server,接入層交換機配置為VTP Mode Client。
增加VLAN,配置VLAN名稱,將所屬埠加入到相應的VLAN中
在匯聚層交換機上創建Vlan,具體參見下表:
表 6
Vlan號 Vlan名稱 命令 說明
1 B?-NM Vlan 1 name B?-NM 設置IP用於管理交換機
10 B?-HL Vlan 10 name B?-HL 連接互聯網介面
11 B?-F2 Vlan 11 name B?-F2 連接2樓交換機
12 B?-F3 Vlan 12 name B?-F3 連接3樓交換機
13 B?-F4 Vlan 13 name B?-F4 連接4樓交換機
14 B?-F5 Vlan 14 name B?-F5 連接5樓交換機
15 B?-F6 Vlan 15 name B?-F6 連接6樓交換機
16 B?-F7 Vlan 16 name B?-F7 連接7樓交換機
說明:
、 分別表示1號樓、2號樓、3號樓、4號樓、5號樓、6號樓。
、 B?_D_S01和B?_D_S02交換機之間的兩條鏈路要能夠同時傳送數據,提高網路帶寬,同時需要減少中繼埠上不必要的流量,提高網路的性能。
在B?_D_S01和B?_D_S02交換機上啟用VTP Prunning
、 配置B?_F2_S01交換機,使得它到B?_D_S??的上行鏈路中的一條失效發生時,能夠有效減少對終端網路用戶的影響。
在B?_F2_S01交換機上配置上行速鏈路,當檢測到轉發鏈路發生失效時,可使交換機上一個阻斷的埠幾乎立刻開始進行轉發。
配置方法:B?_F2_S01(config)# Spanning-tree uplinkfast
、 每台交換機的F0/11都是用來連接伺服器的埠,需要配置速埠。
B?_F2_S01(config)# int F0/11
B?_F2_S01(config-if)# spanning-tree portfast
、 B?_D_S??可以增刪VLAN配置,而B?_F2_S01交換機不能增刪VLAN的配置。採取措施,使得當一台新的交換機接入網路的時候不能自動加入域;將交換機上不使用的埠關閉;以提高網路的安全性。
配置接入層交換機和匯聚層交換機的VTP功能具體配置參見表
、 配置所有交換機的VLAN1介面。
所有交換機的F0/01作為Vlan1介面
WINDOWS SERVER 2003架設配置
1. 在安裝完WINDOWS 2003伺服器上用dcpromo命令創建域;
① 開始安裝
② 在安裝時選擇:否,只在這台計算機上安裝並配置DNS,成為第一台的首選DNS伺服器;
③ 正在創建域寫入硬碟中;
④ 完成區域網中的第一台域控制器的安裝,點擊完成;
2. 在總公司的伺服器上建立首選DNS伺服器,將各子域的域添加到總公司的首選DNS伺服器中;
① 正向區域的配置:
② 在反向域區域添加相應的指針,確保能夠通過IP查找域名;
3. 總經理和各部門的經理不需要繼承他所屬部門的組策略,在另一個OU里添加他們,賦予他們能監督自己部門里的員工工作情況,而總經理就可以監督整個域里的員工工作情況。
OU分配圖如下:
① 創建經理OU;
② 創建人事部OU;
③ 創建市場部OU;
4. 為了增加安全性和容易管理,在伺服器里創建必需的域組策略和本地組策略,策略如下:
① 密碼策略
啟用密碼必須滿足復雜性要求.
密碼長度不小於7位.
密碼最長保留為30天.
密碼過期期限為50天
② 帳戶鎖定策略.
帳戶鎖定閥值為5次無效登錄
③ 審核策略
啟用審核登錄事件
啟用審核對象訪問
④ 用戶配置-Internet Explorer維護-連接
代理設置:代理伺服器設置:IP地址容後寫 埠:9999
⑤ 在用戶配置的軟體設置里將所有需要安裝的軟體指派給域的用戶,只要員工登錄域時就會全部全部安裝到他們本地的機器。
⑥ 更新組策略用gpupdate命令
5. 根據該公司的情況創建每個所屬的OU,而且在方案中採用AGDLP和AGUDLP策略。在每個域中創建全局組,用於組織本域的賬戶;在每個域中創建域本地組,用於完成許可權的指派。在本域內的許可權分配,可以使用AGDLP策略,在域間的許可權分配,使用AGUDLP策略,依次將用戶賬戶加入全局組,將全局組加入到通用組,再將通用組加入到域本地組,最後可以根據需要將許可權授予指定的域本地組。
③ 網路信息安全包括哪些方面
網路信息安全包括以下方面:
1、網路安全模型
通信雙方在網路上傳輸信息,需要先在發收之間建立一條邏輯通道。這就要先確定從發送端到接收端的路由,再選擇該路由上使用的通信協議,如TCP/IP。
2、信息安全框架
網路信息安全可看成是多個安全單元的集合。其中,每個單元都是一個整體,包含了多個特性。一般,人們從三個主要特性——安全特性、安全層次和系統單元去理解網路信息安全。
3、安全拓展
網路信息安全往往是根據系統及計算機方面做安全部署,很容易遺忘人才是這個網路信息安全中的脆弱點,而社會工程學攻擊則是這種脆弱點的擊破方法。社會工程學是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊,是防不勝防的。
(3)網路安全的統一模型擴展閱讀:
網路信息安全的主要特徵:
1、完整性
指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性,即保持信息原樣性,使信息能正確生成、存儲、傳輸,這是最基本的安全特徵。
2、保密性
指信息按給定要求不泄漏給非授權的個人、實體或過程,或提供其利用的特性,即杜絕有用信息泄漏給非授權個人或實體,強調有用信息只被授權對象使用的特徵。
3、可用性
指網路信息可被授權實體正確訪問,並按要求能正常使用或在非正常情況下能恢復使用的特徵,即在系統運行時能正確存取所需信息,當系統遭受攻擊或破壞時,能迅速恢復並能投入使用。可用性是衡量網路信息系統面向用戶的一種安全性能。
4、不可否認性
指通信雙方在信息交互過程中,確信參與者本身,以及參與者所提供的信息的真實同一性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。
5、可控性
指對流通在網路系統中的信息傳播及具體內容能夠實現有效控制的特性,即網路系統中的任何信息要在一定傳輸范圍和存放空間內可控。除了採用常規的傳播站點和傳播內容監控這種形式外,最典型的如密碼的託管政策,當加密演算法交由第三方管理時,必須嚴格按規定可控執行。
④ 網路安全機制包括些什麼
網路安全機制包括接入管理、安全監視和安全恢復三個方面。
接入管理主要處理好身份管理和接入控制,以控制信息資源的使用;安全監視主要功能有安全報警設置以及檢查跟蹤;安全恢復主要是及時恢復因網路故障而丟失的信息。
接入或訪問控制是保證網路安全的重要手段,它通過一組機制控制不同級別的主體對目標資源的不同授權訪問,在對主體認證之後實施網路資源的安全管理使用。
網路安全的類型
(1)系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
(2)網路信息安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
(3)信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上自由傳輸的信息失控。
(4)信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
⑤ 網路及信息系統需要構建什麼樣的網路安全防護體系
網路安全保障體系的構建
網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等,便於有效地預防、保護、響應和恢復,確保系統安全運行。
圖4 網路安全保障體系框架
網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心,其中的風險分為信用風險、市場風險和操作風險,包括網路信息安全風險。實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
1) 網路安全策略。屬於整個體系架構的頂層設計,起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念,從長遠發展規劃和戰略角度整體策劃網路安全建設。
2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個層面,各層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整並相互適應,反之,安全政策和標准也會影響管理、運作和技術。
3) 網路安全運作。基於日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
4) 網路安全管理。對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
摘自-拓展:網路安全技術及應用(第3版)賈鐵軍主編,機械工業出版社,2017
⑥ 網路信息安全說法正確的有什麼
網路信息安全說法正確的有:
1、網路運營者應當對其收集的用戶信息嚴格保密。
2、網路運營者不得泄露、篡改、毀損其收集的個人信息。
3、在經過處理無法識別特定個人且不能復原的情況下未經被收集者同意網路運營者不得向他人提供個人信息。
簡介
網路信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
它主要是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
⑦ 簡要概述網路安全保障體系的總體框架
網路安全保障體系的總體框架
1.網路安全整體保障體系
計算機網路安全的整體保障作用,主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。
圖4 網路安全保障體系框架結構
【拓展閱讀】:風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上,制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法,以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心,風險分為信用風險、市場風險和操作風險,其中包括信息安全風險。
實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
(1)網路安全策略。以風險管理為核心理念,從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層,起到總體的戰略性和方向性指導的作用。
(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個不同層面,在每一層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,以保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整相互適應,反之,安全政策和標准也會影響管理、運作和技術。
(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
(4)網路安全管理。網路安全管理是體系框架的上層基礎,對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9