以一个有两个分公司的集团性质的公司（分公司通过VPN方式与集团公司本部连接）建设信息安全网络为例，其网络拓扑图如图1所示。

 
　　图1 网络信息安全建设实例

　　案例中不讨论分公司的网络信息安全性，集团公司在网络信息安全方面采取的措施有：

• 制定并执行了完善的网络信息安全管理制度。
• 中心机房UPS电源、防静电、防盗、防水、防鼠。
• 路由器VPN认证，日志记录，流量记录，Telnet认证，NAT，部分高危端口关闭；路由器与Internet连接的网卡关闭ICMP和Telnet。
• 综合性防火墙，防毒、入侵监测与网络监察审计系统联动；防火墙只开启必须的端口，如WWW、SMTP、POP3、DNS、Telnet、SNMP等。
• 核心交换机支持VLAN间访问许可的灵活定义。
• 接入级交换机支持IP地址与MAC地址的绑定，支持基于端口号的ACL。
• 整个网络按部门和系统用户群划分为多个VLAN，VLAN间部分允许互相访问，部分不允许互相访问。
• 网络管理软件记录了所有可以管理的网络设备的流量，记录了这些网络设备的日志信息。
• 装有Symantec网络企业版杀毒软件，该杀毒软件要求部署到网络内所有计算机上，杀毒软件带有防火墙和入侵检测功能。
• 计算机操作系统升级问题采用微软的SUS（免费软件）实现。
• 网络监察审计系统旁路接入核心交换机，与防火墙联动，有防入侵的功能，主要用于记录谁在什么时候与Internet的哪个IP地址有连接。
• 数据库采用同一机房的另一台服务器来备份。
• 对每台可以远程管理的网络设备，每天记录一次CPU利用率、内存利用率、连续运行时间。对路由器还记录ICMP拒绝包数量、Telnet拒绝包数量、L2tp VPN用户以及路由器上的防火墙拒绝包的比例。对防火墙还记录匹配的Telnet、ICMP、WWW、SMTP、POP3、DNS、FTP等匹配次数，记录其他高危端口号如135、139等的匹配次数。对接入级交换机还记录高危端口如冲击波病毒、震荡波病毒、常见木马程序等的ACL匹配次数。这些记录对网络设备和网络的正常运行有预警的作用。
• 每天查看网络设备的日志信息，找出可能会出现网络故障的预警信息，以及出现了的网络故障的信息。
• 每天查看杀毒软件服务器日志信息，及时掌握网络病毒情况。
• 每天查看网络监察审计系统日志信息，及时掌握内外网联接的情况。