1.1.2 网络结构规划

网络结构对网络安全的影响是至关重要的。目前，大多数企业计算机网络都是采用共享方式接入Internet，内网则多采用“星型+树型”的综合拓扑结构，在网络边缘部署防火墙、服务器等安全设备。在实际应用中，往往由于实际需求或投入资金等问题，企业网络各种功能的实现方式有所不同，也需要在规划中提供不同的解决方案。

1. 设置ADSL连接内部不同安全区域间的访问控制

在规模庞大的企业网络中往往存在多个功能不同的网络分支，如研发部门、营销部门、售后服务等，为了企业机密信息不外漏，就需要对不同部门用户的访问进行合理控制，例如可以借助交换机的VLAN（Virtual Local Area Network，虚拟网络）功能实现网络隔离的访问控制。

通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域，实现内部一个网段与另一个网段的物理隔离。这样，就能防止影响一个网段的问题传播到整个网络。在某些情况下，局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN内，就可以限制局部网络安全问题对全局网络造成的影响。

对安全需求较高的网络敏感区域，可以考虑在其边缘部署网络防火墙，严格控制内网用户的访问，如财务部门、新技术研发部门的服务器等。

2. 审核与监控

审核是记录用户使用计算机网络系统进行所有活动的过程，是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能看出系统正被怎样地使用。同时，系统事件的记录能够更迅速和系统地识别问题，并且是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累，并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对可能产生破坏性的行为提供有力证据。

通常情况下，Windows系统、应用服务本身以及大部分网络管理工具都可以提供基本的审核和日志记录功能，可以满足用户的常规需求。另外，入侵检测技术以及相关设备也已经非常成熟，可以帮助管理员实时监控网络运行状态，并通过阻断和报警机制，防止网络安全事件的发生。

3. 备份系统

备份系统的主要目的，就是尽可能快地恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：数据中心高速度、大容量自动的数据存储、备份与恢复；其他区域（备份区域）的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。

在确定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进行数据备份，有“冷备份”和“热备份”两种。

热备份是指“在线”备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到另一个非工作的分区，或另一个非实时处理的业务系统中存放。热备份的优点是调用快，使用方便，在系统恢复中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开辟一块非工作运行空间，专门存放备份数据，即分区备份；另一种方法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用方便的特点，但投资比较昂贵。

冷备份是指“不在线”备份，下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。冷备份弥补了热备份的一些不足，二者优势互补，相辅相成，因为冷备份在回避风险中还具有便于保管的特殊优点。

4. 网络边缘安全规划

企业网络接入Internet已经成为大势所趋。一个接入Internet的网络中可以没有专业的网络服务器，但绝不可缺少网络防火墙。网络防火墙是网络边缘的主要设备，用于隔离内网和Internet。由于防火墙可以同时提供Internet接入功能，所以通常可以取代路由器，降低实现成本。对于规模较小的中小型企业网络，则可以采用代理服务器方式接入Internet，虽然不如硬件防火墙安全性高，但其实现成本却只有硬件防火墙方案的十分之一左右，所以仍吸引了大部分用户。