浅谈网络系统的安全设计

浅谈网络系统的安全设计

1网络系统安全设计

1.1设计原则

为了体现网络系统的安全性，在设计时一般有如下原则：

(l)最小特权原则：即对每一个已认证用户拥有不同的操作权限

(2)多层次防备原则：在网络系统在安全保护上，应逐层实行保护设

置

(3)建立网络边界堵塞点原则：在网络系统与互联网交叉点设置堵塞点，从而对网络系统流量实行操纵

(4)加固或消除网络系统最薄弱点原则：一般来讲，设备弱点越大，

安全系数越低，所以必须要加固网络系统中的最薄弱点，以此提升系

统的整体安全性

(5)幼整体性原则：网络系统安全在整体上要考虑周全，要兼顾各方，全局处理

(6)易操作性原则：针对系统安全措施的操作，要简单、直观和有效，这样才能在最短的时间内解决尽可能多的问题

1.2安全设计方案

根据以上的分析和设计原则，本文提出以下的安全设计方案：

(l)逻辑隔离设计;在具体设计上，采纳VLAN将网络系统所处的大的

局域网划分为若干个逻辑网段，以此合理配置了网络资源、提升了网

络系统的整体安全性、使用户端更为简捷网络网络配置当然，在实行VLAN划分时，有基于端口的VLAN划分，也有基于工P地址的VLAN划分，能够根据实际具体环境，选择特定的技术手段实现VLAN的划分

(2)人侵防备设计;一定水准上，通过防火墙能够实现网络系统的安全

不过因为防火墙自身的不足，针对某些特定应用，无法从根本上保障

系统的安全所以，需要对人侵防备实行再次设计在具体设计上，通过

主动监测和主动防备安全策略的防备系统，使网络系统与外界以串联

的方式实行连接，以此实现对网络系统的多级保护

(3)网络防病毒设计;在网络防病毒设计上，采纳“驻点安防”的原则，也就是说，在系统中容易受到病毒攻击和威胁的节点都应安装侦测组件，这样能够实时监视系统中流通的数据，如发现病毒，能够就地实

行处理

(4)漏洞扫描设计;在网络应用系统中，比较常见的漏洞是各种系统的

漏洞，譬如操作系统、WEB服务器、应用服务器和数据库服务器等所以在漏洞扫描设计上，在当前的各种服务器的基础上，再增加针对漏洞

的补丁下载和分发服务器，通过该服务实现补丁的统一治理

(5)幼身份鉴别认证设计;身份鉴别认证实现了用户的安全登录，但是

在系统账户治理上，仍然存有潜在风险针对于此，在设计身份鉴别认

证时，主要通过当前成熟的硬件身份认证系统，在使用时通过USB端

口的数字证书秘钥实现系统的正常登陆

(6)数据备份与恢复设计;数据是系统中的重要资源，所以必须通过备

份设备将网络系统中的数据实行备份，一旦系统出现故障，能够通过

备份设备实行恢复，这样能够确保系统数据的安全在设计中，能够采

纳两台或两台以上的数据库服务器以及磁盘阵列实现热备，采纳磁带

实行辅备，这样形成双机热备与磁带备份一体化的解决方案

2结语

该文针对一般的网络环境，提出了计算机网络系统的安全设计方案，

以期为网络安全方面的理论分析和实践提供参考但是，随着技术的持

续进展，新的安全问题又会持续出现，而且针对网络系统安全包含的

技术问题有时很复杂，网络安全还有很长的路要走所以，该文的探讨

仅仅是站在当前的进展阶段，针对一般环境提出的合理设计，对于未来的进展，还有待进一步地验证。

浅谈网络系统的安全设计