2025年信息技术标准与信息安全手册.docxVIP

2025年信息技术标准与信息安全手册

第1章信息技术基础架构与安全规范

1.1网络拓扑设计与接入安全

在设计网络拓扑时，必须遵循“核心-汇聚-接入”的三层架构模型，以确保流量路径最短并降低单点故障风险。具体做法是：将核心层定义为承载全网90%流量的骨干网段，采用100Gbps的万兆骨干光纤连接汇聚层；汇聚层负责连接各业务域，配置三层交换设备实现VLAN划分，确保广播域隔离；接入层则部署千兆或万兆接入交换机，直接连接终端设备，并实施基于IP地址的静态VLAN策略，将办公网、访客网与IoT设备物理隔离。在物理接入安全方面，所有进入核心区域的物理线缆必须经过严格的端口安全认证。具体做法是：在核心交换机端口上启用802.1X端口安全协议，强制要求接入设备必须通过EAP-TLS或PEAP协议完成身份认证，并绑定唯一的MAC地址与证书；严禁在未授权情况下插入非认证线缆，若发生违规，系统应自动触发端口封锁并记录告警信息，确保物理接入环节的零信任边界。

网络接入点（AP）的射频性能与信号覆盖是保障无线安全的关键，需严格控制信号强度以平衡覆盖与干扰。具体做法是：部署低干扰（LowInterference）AP设备，其发射功率严格控制在20mW以内，工作频段锁定在5GHz频段，避免2.4GHz频段干扰；在关键区域（如机房