信息技术与网络安全手册（执行版）.docxVIP

信息技术与网络安全手册（执行版）

第1章网络基础架构与物理环境安全

1.1网络拓扑设计与物理边界防护

网络拓扑设计必须遵循“逻辑分层、物理隔离”原则，在物理上建立清晰的边界。以企业核心交换机为例，应在楼层间部署物理防火墙，将办公区、财务区与互联网区域完全隔离，确保攻击者无法跨越楼层进行横向移动。设计时需采用环网或星型拓扑结构，并预留冗余接口。例如，在核心交换机与接入层交换机之间采用双活链路，当主链路中断时，毫秒级切换至备用链路，避免业务中断。

物理边界防护应包含门禁系统与生物识别技术。在机房入口部署双因素认证（2FA）门禁系统，员工刷卡进入后，系统自动记录人员ID与时间戳，防止未授权人员进入。对于关键业务区域，应设置物理隔离区（Air-Gapped），即切断物理网络连接，仅通过专用安全通道进行数据交换，防止勒索软件通过网络接口窃取数据。物理边界需配备红外入侵探测器与震动传感器，一旦检测到非法入侵或设备异常震动，立即触发声光报警并切断非授权设备电源。

定期由安全人员联合IT团队对物理边界进行模拟攻击测试，验证门禁系统、入侵探测器的响应速度是否满足SLA要求，确保防御体系有效。

机房环境监控需部署高精度温湿度传感器与漏水报警装置，环境数据需实时至中央管理平台。例如，在数据中心机房，传感器应设定湿度阈值在45%-55%之间，温度在18%-28℃，超