1.1.2 網(wǎng)絡結(jié)構(gòu)規(guī)劃

網(wǎng)絡結(jié)構(gòu)對網(wǎng)絡安全的影響是至關(guān)重要的。目前，大多數(shù)企業(yè)計算機網(wǎng)絡都是采用共享方式接入Internet，內(nèi)網(wǎng)則多采用“星型+樹型”的綜合拓撲結(jié)構(gòu)，在網(wǎng)絡邊緣部署防火墻、服務器等安全設(shè)備。在實際應用中，往往由于實際需求或投入資金等問題，企業(yè)網(wǎng)絡各種功能的實現(xiàn)方式有所不同，也需要在規(guī)劃中提供不同的解決方案。

1. 設(shè)置ADSL連接內(nèi)部不同安全區(qū)域間的訪問控制

在規(guī)模龐大的企業(yè)網(wǎng)絡中往往存在多個功能不同的網(wǎng)絡分支，如研發(fā)部門、營銷部門、售后服務等，為了企業(yè)機密信息不外漏，就需要對不同部門用戶的訪問進行合理控制，例如可以借助交換機的VLAN（Virtual Local Area Network，虛擬網(wǎng)絡）功能實現(xiàn)網(wǎng)絡隔離的訪問控制。

通過在交換機上劃分VLAN可以將整個網(wǎng)絡劃分為幾個不同的廣播域，實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離。這樣，就能防止影響一個網(wǎng)段的問題傳播到整個網(wǎng)絡。在某些情況下，局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任，或者某個網(wǎng)段比另一個更敏感。通過將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN內(nèi)，就可以限制局部網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。

對安全需求較高的網(wǎng)絡敏感區(qū)域，可以考慮在其邊緣部署網(wǎng)絡防火墻，嚴格控制內(nèi)網(wǎng)用戶的訪問，如財務部門、新技術(shù)研發(fā)部門的服務器等。

2. 審核與監(jiān)控

審核是記錄用戶使用計算機網(wǎng)絡系統(tǒng)進行所有活動的過程，是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能看出系統(tǒng)正被怎樣地使用。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集與積累，并且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對可能產(chǎn)生破壞性的行為提供有力證據(jù)。

通常情況下，Windows系統(tǒng)、應用服務本身以及大部分網(wǎng)絡管理工具都可以提供基本的審核和日志記錄功能，可以滿足用戶的常規(guī)需求。另外，入侵檢測技術(shù)以及相關(guān)設(shè)備也已經(jīng)非常成熟，可以幫助管理員實時監(jiān)控網(wǎng)絡運行狀態(tài)，并通過阻斷和報警機制，防止網(wǎng)絡安全事件的發(fā)生。

3. 備份系統(tǒng)

備份系統(tǒng)的主要目的，就是盡可能快地恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機制有：數(shù)據(jù)中心高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復；其他區(qū)域（備份區(qū)域）的數(shù)據(jù)存儲、備份與恢復；對系統(tǒng)設(shè)備的備份。備份不僅在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起到保護作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡攻擊及破壞數(shù)據(jù)完整性時起到保護作用，同時亦是系統(tǒng)災難恢復的前提之一。

在確定備份的指導思想和備份方案之后，就要選擇安全的存儲媒介和技術(shù)進行數(shù)據(jù)備份，有“冷備份”和“熱備份”兩種。

熱備份是指“在線”備份，即下載備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡中，只不過傳到另一個非工作的分區(qū)，或另一個非實時處理的業(yè)務系統(tǒng)中存放。熱備份的優(yōu)點是調(diào)用快，使用方便，在系統(tǒng)恢復中需要反復調(diào)試時更顯優(yōu)勢。熱備份的具體做法是：可以在主機系統(tǒng)開辟一塊非工作運行空間，專門存放備份數(shù)據(jù)，即分區(qū)備份；另一種方法是，將數(shù)據(jù)備份到另一個子系統(tǒng)中，通過主機系統(tǒng)與子系統(tǒng)之間的傳輸，同樣具有速度快和調(diào)用方便的特點，但投資比較昂貴。

冷備份是指“不在線”備份，下載的備份存放到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡沒有直接聯(lián)系，在系統(tǒng)恢復時重新安裝，有一部分原始的數(shù)據(jù)長期保存并作為查詢使用。冷備份彌補了熱備份的一些不足，二者優(yōu)勢互補，相輔相成，因為冷備份在回避風險中還具有便于保管的特殊優(yōu)點。

4. 網(wǎng)絡邊緣安全規(guī)劃

企業(yè)網(wǎng)絡接入Internet已經(jīng)成為大勢所趨。一個接入Internet的網(wǎng)絡中可以沒有專業(yè)的網(wǎng)絡服務器，但絕不可缺少網(wǎng)絡防火墻。網(wǎng)絡防火墻是網(wǎng)絡邊緣的主要設(shè)備，用于隔離內(nèi)網(wǎng)和Internet。由于防火墻可以同時提供Internet接入功能，所以通常可以取代路由器，降低實現(xiàn)成本。對于規(guī)模較小的中小型企業(yè)網(wǎng)絡，則可以采用代理服務器方式接入Internet，雖然不如硬件防火墻安全性高，但其實現(xiàn)成本卻只有硬件防火墻方案的十分之一左右，所以仍吸引了大部分用戶。