浅谈网络系统的安全设计范文

1网络系统安全设计

1.1设计原则

为了体现网络系统的安全性，在设计时一般有如下原则:

(l)最小特权原则:即对每一个已认证用户拥有不同的操作权限

(2)多层次防御原则:在网络系统在安全保护上，应逐层进行保护设置

(3)建立网络边界阻塞点原则:在网络系统与互联网交叉点设置阻塞点，从而对网络系统流量进行控制

(4)加固或消除网络系统最薄弱点原则:一般来讲，设备弱点越大，安全系数越低，所以必须要加固网络系统中的最薄弱点，以此提高系统的整体安全性

(5)幼整体性原则:网络系统安全在整体上要考虑周全，要兼顾各方，全局处理

(6)易操作性原则:针对系统安全措施的操作，要简单、直观和有效，这样才能在最短的时间内解决尽可能多的问题

1.2安全设计方案

根据以上的分析和设计原则，本文提出以下的安全设计方案:

(l)逻辑隔离设计;在具体设计上，采用VLAN将网络系统所处的大的局域网划分为若干个逻辑网段，以此合理配置了网络资源、提高了网络系统的整体安全性、使用户端更为简捷网络网络配置当然，在进行VLAN划分时，有基于端口的VLAN划分，也有基于工P地址的VLAN划分，可以根据实际具体环境，选择特定的技术手段实现VLAN的划分

(2)人侵防御设计;一定程度上，通过防火墙可以实现网络系统的安全然而由于防火墙自身的不足，针对某些特定应用，无法从根本上保障系统的安全所以，需要对人侵防御进行再次设计在具体设计上，通过主动监测和主动防御安全策略的防御系统，使网络系统与外界以串联的方式进行连接，以此实现对网络系统的多级保护

(3)网络防病毒设计;在网络防病毒设计上，采用“驻点安防”的原则，也就是说，在系统中容易受到病毒攻击和威胁的节点都应安装侦测组件，这样可以实时监视系统中流通的数据，如发现病毒，可以就地进行处理

(4)漏洞扫描设计;在网络应用系统中，比较常见的漏洞是各种系统的漏洞，譬如操作系统、WEB服务器、应用服务器和数据库服务器等所以在漏洞扫描设计上，在当前的各种服务器的基础上，再增加针对漏洞的补丁下载和分发服务器，通过该服务实现补丁的统一管理

(5)幼身份鉴别认证设计;身份鉴别认证实现了用户的安全登录，但是在系统账户管理上，仍然存在潜在风险针对于此，在设计身份鉴别认证时，主要通过当前成熟的硬件身份认证系统，在使用时通过USB端口的数字证书秘钥实现系统的正常登陆

(6)数据备份与恢复设计;数据是系统中的重要资源，所以必须通过备份设备将网络系统中的数据进行备份，一旦系统出现故障，可以通过备份设备进行恢复，这样可以确保系统数据的安全在设计中，可以采用两台或两台以上的数据库服务器以及磁盘阵列实现热备，采用磁带进行辅备，这样形成双机热备与磁带备份一体化的解决方案

2结语

该文针对一般的网络环境，提出了计算机网络系统的安全设计方案，以期为网络安全方面的理论分析和实践提供参考但是，随着技术的不断发展，新的安全问题又会不断出现，而且针对网络系统安全包含的技术问题有时很复杂，网络安全还有很长的路要走所以，该文的探讨仅仅是站在当前的发展阶段，针对一般环境提出的合理设计，对于未来的发展，还有待进一步地验证。

作者：代杰单位：泊江海子矿机电工程管理部