信息技术应用与网络安全手册（执行版）.docxVIP

信息技术应用与网络安全手册（执行版）

第1章信息技术基础架构与安全规范

1.1网络拓扑结构与设备管理

网络拓扑图是构建企业IT环境的“蓝图”，必须严格遵循VLAN（虚拟局域网）划分原则。例如，将办公区、会议室和访客区划分为逻辑隔离的VLAN，确保不同部门间的数据无法越界，同时通过三层交换机实现跨网段的路由转发，确保核心骨干网带宽利用率保持在85%以上，避免单点拥塞。物理设备管理需建立严格的资产标签制度，所有接入核心网络的服务器、防火墙及交换机必须粘贴唯一的资产编码。管理员在配置设备时，需记录MAC地址、IP地址、硬件序列号及固件版本，并建立实时在线监控列表，确保任何设备变动都能被即时发现。

网络设备配置变更必须遵循“最小权限原则”和“变更窗口期”规范。在业务低峰期（如凌晨2:00-4:00）进行配置修改，并在修改后必须执行“配置漂移检测”，对比新旧配置差异，确认无异常流量泄露或非法访问端口开启。核心交换机与防火墙需部署双机热备或集群机制，确保单台设备故障时业务不中断。配置策略需包含“默认拒绝”原则，仅允许特定源IP访问特定目标IP，并在配置文件中保留详细的审计日志，记录所有访问行为以防被篡改。网络设备定期运行安全基线检查，包括端口安全、MAC地址绑定及非法访问检测。例如，在接入层交换机上配置Port-Security协议，限制每个端口最大接入