网络节点设备 erp系统 终端设备 数据库
1.权限限制(su权限类似的需要管理层以上审批才可以使用)(多级分层)
2.访问限制:不管是IPV4还是IPV6,只能是允许访问的目标网段(可多个 甚至使用vlan 让某个端口作为蜜罐口 )
3.MAC白名单绑定账号,管理员账号在其他设备无法登录
4.身份多次验证,可以考虑使用生物信息,但是如果本身园区的安全就存在后门的话,尽可能减少避免暴露关键人员的任何相关信息。
5.蜜罐不要考虑把实际地点隐藏,尽可能让实际地点存在光明正大的入口,欢迎大家参观,顺便测试目前的安防系统(物理的程度)而关键信息,不以任何纸质版资料进行记载,全部使用云,云这边假设可以考虑专门一个安防部门,甚至多点(实际物理地址)但是访问不用镜像,用高通用量集群,备份镜像同样如下,访问不适用密匙还需要审批登录。
6.监管信息不考虑实际页面,毕竟在这么高分析也没有实际意义,毕竟信息传递不一定可以作为呈堂证供,而且存在失实性,误判,甚至人员本身是我方人员,但是在不知名情况下携带了违规物品,且本身该人员是不知情的情况下。所以最好在关键地方使用热成像监控,而温差本身是有颜色差异的,必要的地方考虑安检过机的形式布置隐形检索装置。
7.门闸不用实际物理的形式,以声音报警,毕竟火灾时,你这门就是个隐患。
8.刷卡验证在重要场所,不留下检验的机制,不以板卡进行验证,架设专门的云服务检验CS端,尽可能避免使用BS端,毕竟Web其实很脆弱。
9.尽可能多的留下空白盲区,但是该区域不以封闭的建筑遮挡,使用玻璃挡风,并且这些区域照明要使用多个备用电源,保证就算火灾这个地方也是最亮的。
10.如果是在已规划或规划中的区域工作,尽可能利用现有场所资源改造,毕竟重建的话,电路等已经架设完毕,即使修改,也是个大工程,还辛苦原供应商们重新工作,运输材料。所以在加固安防的同时,尽可能完善园区工作环境,而资金目前除了加重安防的使用,还需要优化工作环境。
11.公司专用设备,终端,且上级已提醒这是内网设备,即使出于保管的需要,也不应在未请示上级的时候,私自用其链接私网,而且保证登录终端是具备密码锁定功能。
设计理念:(需扩展)
“透明”的概念:
”透明”是一个很重要的术语。它表示,某一个实际存在的事物看起来却好像不存在一样。
“安全”的概念:
“安全不单单是一个园区网络策略等安全控制,还需要保证施工过程不出现意外的人员伤亡,毕竟不管论不论风水,一旦出现这些意外,就会影响工人的积极性,注意几点,不管任何,多大规模的园区,防火消防必定是首位,这不应该就地取材,而是保证水管和消防设施齐全,最后才使用就地取材方式补救,因为前面的设备都不齐全,才会考虑使用这种必然带破坏性的补救方法。
“人员管控,材料确认”
施工区注定了有不同的供应商,所以记录人脸本身就是个不科学且麻烦的手段,一般都是使用安全帽的颜色加以区分不同人员,但是如何确认该人员是在登机的公司内,可以考虑门闸关卡(内部也可以存在关卡,考虑发放必要物资的时候,记录常见人员(登记者可以考虑和政府安防单位有合作,如果安防等级要求高的话。)大门的话由供应商的登记人员领入,(上班时间),不需要去询问,因为那样其实会得罪供应商,也影响工人心情,只要记住供应商的关键人员,或者第一次进行确认后即可,不然,这个大门关卡是不及格的,需要考虑补救措施。
材料不可以只考虑使用出现问题的时候找供货商,最好货到之前做一次抽检,避免因为量过大存在瑕疵,如果等保要求高的话。
“夜间工作的意外保证”
在园区,一般是郊外,可以考虑使用报警装置(声音,特殊信号灯,呼喊,工作人员距离不太远等。)其次照明是必须要保证的,不管是日间还是夜间,存在意外风险的地方,必须保证照明,且特殊区域,在施工前,就必须确认监控等系统已经架设完全无死角,即使因为一两个存在意外,(无法避免的,量太多,施工肯定有风险)但是这个风险,不单是供应商的责任,在场任何一个参与施工的人员都有责任(如果等保要求高的话。)
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
