析、評估和檢測(包括模擬攻擊),是設計網路安全系統的必要前提條件。
2.網路安全系統的整體性原則
強調安全防護、監測和應急恢復。要求在網路發生被攻擊、破壞事件的情況下,必須盡可能快地恢復網路信息中心的服務,減少損失。所以網路安全系統應該包括3種機制:安全防護機制、安全監測機制、安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅採取的相應防護措施,避免非法攻擊的進行;安全監測機制是監測系統的運行情況,及時發現和制止對系統進行的各種攻擊;安全恢復機制是在安全防護機制失效的情況下,進行應急處理和盡量、及時地恢復信息,減少攻擊的破壞程度。
3.網路安全系統的有效性與實用性原則
網路安全應以不能影響系統的正常運行和合法用戶的操作活動為前提。網路中的信息 安全和信息利用是一對矛盾
西京亮 11:13:46
:一方面,為健全和彌補系統缺陷的漏洞,會採取多種技術手段和管理措施;另一方面,勢必給系統的運行和用戶的使用造成負擔和麻煩,「越安全就意味著使用越不方便」。尤其在網路環境下,實時性要求很高的業務不能容忍安全連接和安全處理造成的時延和數據擴張。如何在確保安全性的基礎上,把安全處理的運算量減小或分攤,減少用戶的記憶、存儲工作和安全伺服器的存儲量、計算量,這應該是一個需要解決的矛盾。
4.網路安全系統的「等級性」原則
良好的網路安全系統必然是分為不同級別的,包括對信息保密程度分級(絕密、機密、秘密、普密);對用戶操作許可權分級(面向個人及面向群組),對網路安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網路層、鏈路層等),從而針對不同級別的安全對象,提供全面的、可選的安全演算法和
西京亮 11:13:46
安全體制,以滿足網路中不同層次的各種實際需求。
5.設計為本原則
強調安全與保密系統的設計應與網路設計相結合。即在網路進行總體設計時考慮安全系統的設計,二者合二為一。由於安全與保密問題是一個相當復雜的問題,因此必須搞好設計,才能保證安全性。
6.自主和可控性原則
網路安全與保密問題關系著一個國家的主權和安全,所以網路安全產品不能依賴國外進口產品。
7.安全有價原則
網路系統的設計是受經費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡,而且不同的網路系統所要求的安全側重點各不相同。例如國家政府首腦機關、國防部門計算機網路系統安全側重於存取控制強度。金融部門側重於身份認證、審計、網路容錯等功能。交通、民航側重於網路容錯等
❷ 網路設計需要考慮哪些
網路工程集成設計的一般步驟(2) 成本/效益評估 根據用戶的需求和現狀分析,對設計新的網路系統所需要投入的人力、財力、物力,以及可能產生的經濟、社會效益進行綜合評估。這項工作是集成商向用戶提出系統設計報價和讓用戶接受設計方案的最有效參考依據。 書寫需求分析報告 詳細了解用戶需求並進行現狀分析和成本/效益評估後,就要以報告的形式向用戶和項目經理人提出,以此作為下一步正式的系統設計的基礎與前提。 (2)網路工程初步設計。 在全面、詳細地了解了用戶需求,並進行了用戶現狀分析和成本/效益評估後,在用戶和項目經理人認可的前提下,就可以正式進行網路工程設計了。首先需要給出一個初步的方案,其中主要包括以下幾個方面: 確定網路的規模和應用范圍 確定網路覆蓋范圍(這主要是根據終端用戶的地理位置分布而定)、定義網路應用的邊界(著重強調的是用戶的特定行業應用和關鍵應用,如MIS系統、ERP系統、資料庫系統、廣域網連接、企業網站系統、郵件伺服器系統、VPN連接等)。 統一建網模式 根據用戶網路規模和終端用戶地理位置分布確定網路的總體架構,比如是集中式還是分布式,是採用客戶機/伺服器模式還是對等模式等。 確定初步方案 將網路系統的初步設計方案用文檔記錄下來,並向項目經理人和用戶提交,審核通過後方可進行下一步運作。 (3)網路工程詳細設計。 網路協議體系結構的確定 根據應用需求,確定用戶端系統應該採用的網路拓撲結構類型,可選擇的網路拓撲通常包括匯流排型、星型、樹型和混合型4種。如果涉及廣域網系統,則還需要確定採用哪一種中繼系統,確定整個網路應該採用的協議體系結構。 節點規模設計 確定網路的主要節點設備的檔次和應該具備的功能,這主要是根據用戶網路規模、網路應用需求和相應設備所在的網路位置而定。區域網中核心層設備最高檔,匯聚層的設備性能次之,接入層的性能要求最低。廣域網中,用戶主要考慮的是接入方式的選擇,因為中繼傳輸網和核心交換網通常都是由NSP提供的,無需用戶關心。 確定網路操作系統 一個網路系統中,安裝在伺服器中的操作系統決定了整個網路系統的主要應用和管理模式,也基本上決定了終端用戶所能採用的操作系統和應用軟體系統。網路操作系統方面,目前主流應用的有Microsoft公司的Windows Server 2003和Windows Server 2008系統,是目前應用面最廣、最容易掌握的操作系統,在中小型企業中絕大多數是採用這兩種網路操作系統。另外還有一些Linux系統版本,如RedHat Enterprise Linux 5.0、Red Flag DC Server 5.0等。UNIX系統品牌也比較多,目前最主要應用的是SUN公司的Solaris 10.0、IBM AIX 5L等幾種。 選定通信介質 根據網路分布、接入速率需求和投資成本分析為用戶端系統選定適合的傳輸介質,為中繼系統選定傳輸資源。在區域網中,通常是以廉價的五類/超五類雙絞線為傳輸介質,而在廣域網中則主要是以電話銅線、光纖、同軸電纜作為傳輸介質,具體要視所選擇的接入方式而定。 網路設備的選型和配置 根據網路系統和計算機系統的方案,選擇性能價格比最好的網路設備,並以適當的連接方式加以有效的組合。 結構化布線設計 根據用戶的終端節點分布和網路規模設計整個網路系統的結構化布線(也就是通常所說的"綜合布線")圖,在圖中要求標注關鍵節點的位置和傳輸速率、傳輸介質、介面等特殊要求。結構化布線圖要符合結構化布線的國際、國內標准,如EIA/TIA 568A/B、ISO/IEC 11801等。 確定詳細方案 確定網路總體及各部分的詳細設計方案,並形成正式文檔交項目經理和用戶審核,以便及時地發現問題,及時糾正。 (4)應用系統集成設計。 前面3個步驟是設計網路架構的,接下來要做的是進行應用系統集成設計。其中包括各種用戶計算機應用系統設計和資料庫系統、MIS管理系統選擇等,具體包括以下幾個方面: 應用系統設計 分模塊地設計出滿足用戶應用需求的各種應用系統的框架和對網路系統的要求,特別是一些行業特定應用和關鍵應用,如進銷存資料庫系統、電子商務應用系統、財務管理系統、人事管理系統等。 計算機系統設計 根據用戶業務特點、應用需求和數據流量,對整個系統的伺服器、工作站、終端以及列印機等外設進行配置和設計,還可根據用戶網路管理方面的需求選擇適當的MIS管理系統對整個網路系統設備進行集中監控和管理。 機房環境設計 確定用戶端系統的伺服器所在機房和一般工作站機房的環境,包括溫度、濕度、通風等要求。 確定系統集成詳細方案 將整個應用系統涉及的各個部分加以集成,並最終形成系統集成的正式文檔。 完成好應用系統集成後,就可以開始進行工程施工了,然後再進行下面的方案測試和試運行。 (5)網路工程方案測試。 系統設計後還不能馬上投入正式的運行,而是要先做一些必要的性能測試和小范圍的試運行。性能測試一般是通過專門的測試工具進行,主要測試網路接入性能、響應時間,以及關鍵應用系統的並發用戶支持和穩定性等方面。試運行通常是就網路系統的基本性能進行評估,特別是對一些關鍵應用系統。試運行的時間一般不得少於一個星期。小范圍試運行成功後即可全面試運行,全面試運行時間不得少於一個月。 在試運行過程中出現的問題應及時加以解決和改進,直到用戶滿意為止,當然這也結合用戶的投資和實際應用需求等因素綜合考慮。 做任何事都是有規律可循的,也必須遵守一定的原則。根據目前計算機網路的現狀和需求分析以及未來的發展趨勢,在網路工程設計時應遵循以下幾個原則: 開放性和標准化原則 首先採用國際標准和國家標准,其次採用廣為流行的、實用的工業標准,只有這樣,網路系統內部才能方便地從外部網路快速獲取信息。同時還要求在授權後網路內部的部分信息可以對外開放,保證網路系統適度的開放性。這是非常重要而且非常必要的,同時又是許多網路工程設計人員經常忽視的。我們在進行網路工程設計時,在有標准可執行的情況下,一定要嚴格按照相應的標准進行設計,而不要我行我素,特別是在像網線製作、結構化布線和網路設備協議支持等方面。採用開放的標准後就可以充分保障網路工程設計的延續性,即使將來當前設計人員不在公司了,後來人員也可以通過標准輕松地了解整個網路系統的設計標准,保證互連簡單易行。 實用性與先進性兼顧原則 在進行網路工程設計時首先應該以注重實用為原則,緊密結合具體應用的實際需求。在選擇具體的網路技術時一定同時考慮當前及未來一段時間內主流應用的技術,不要一味追求新技術和新產品,一則新的技術和產品還有一個成熟的過程,立即選用則可能會出現各種意想不到的問題;另一方面,最新技術的產品價格肯定非常昂貴,會造成不必要的資金浪費。 如在以太區域網技術中,目前千兆以下的乙太網技術都已非常成熟,產品價格也已降到了合理的水平,但萬兆乙太網技術還沒有得到普及應用,相應的產品價格仍相當昂貴,所以如果沒有十分的必要,則不要選擇萬兆乙太網技術的產品。 另外在選擇技術時,一定要選擇主流應用的技術,如像同軸電纜的令牌環乙太網和FDDI光纖乙太網目前已很少使用,就不要選用了。目前的乙太網技術基本上都是基於雙絞線和光纖的,其傳輸速率最低都應達到10/100Mb/s。 無瓶頸原則 這個非常重要,否則會造成花了高的成本購買了主檔次設備卻得不到相應的高性能。網路性能與網路安全一樣,最終取決於網路通信鏈路中性能最低的那部分。 如某匯聚層交換機連接到了核心交換機的1000Mb/s雙絞線乙太網埠上,而該匯聚層交換機卻只有100Mb/s甚至10Mb/s的埠,很顯然這個匯聚層交換機上所連接的節點都只能享有10Mb/s或100Mb/s的性能。如果上聯埠具有1000Mb/s性能,而各節點埠支持100Mb/s連接,則性能就完全不一樣了。 還如伺服器的各項硬體配置都非常高檔(達到了企業級標准),但所用的網卡卻只是普通的PCI 10/100Mb/s網卡,顯然這又將成為伺服器性能發揮的瓶頸。再好的其他配置,最終也無法正常發揮。再如,伺服器的處理器達到了4個至強處理器,而內存容量卻只有初始配置的1GB,或者磁碟採用了讀寫性能較低的IDE RAID或SATA RAID,這樣配置的結果同樣會使伺服器的性能大打折扣,浪費了高性能配置資源。 這類現象還非常多,在此就不一一列舉了。這就要求在進行網路工程設計時一定要全局綜合考慮各部分的性能,而不能只注重局部的性能配置。特別是交換機埠、網卡和伺服器組件配置等方面。 可用性原則 我們知道伺服器的"四性"中有一個"可用性",網路系統也一樣。它決定了所設計的網路系統是否能滿足用戶應用和穩定運行的需求。網路的"可用性"其實就表現在網路的"可靠性"和"穩定性"上,要求網路系統能長時間穩定運行,而不要經常出現這樣或那樣的問題。否則給用戶帶來的損失可能是非常巨大的,特別是大型、外貿、電子商務類型的企業。當然這里所說的"可用性"還表現在所選擇的產品要能真正用得上,如所選擇的伺服器產品只支持UNIX系統,而用戶系統中根本不打算用UNIX系統,則所選擇的伺服器就用不上。 網路系統的"可用性"通常是由網路設備(軟體系統其實也有"可用性"要求)的"可用性"決定的,主要體現在伺服器、交換機、路由器、防火牆等重負荷設備上。這就要求在選購這些設備時一定不要一味地貪圖廉價,而要選擇一些國內外主流品牌、應用主流技術和成熟型號的產品。對於這些關鍵設備千萬不要選擇那些雜牌,一方面性能和穩定性無法保障,另一方面售後服務更將是無法彌補的長久的痛。 另外,網路系統的電源供應在可用性保障方面也非常重要,特別是對於關鍵網路設備和關鍵用戶機。這時就需要為這些節點配置足夠功率的不間斷電源(UPS),在市電出現不穩定或者停電時可以持續一段時間供用戶保存數據、退出系統,以免數據丟失。通常像伺服器、交換機、路由器、防火牆之類的關鍵設備要接在支持數個小時以上(通常是3小時)的UPS電源上,而關鍵用戶機則需要接在支持15分鍾以上的UPS電源上。 適度安全性原則 網路安全涉及許多方面,最明顯、最重要的就是對外界入侵、攻擊的檢測與防護。現在的網路幾乎時刻受到外界的安全威脅,稍有不慎就會被那些病毒、黑客入侵,致使整個網路陷入癱瘓。在一個安全措施完善的計算機網路中,不僅要部署病毒防護系統、防火牆隔離系統,還可能要部署入侵檢測、木馬查殺系統和物理隔離系統等。當然所選用系統的具體等級要根據相應網路規模的大小和安全需求而定,並不一定要求每個網路系統都全面部署這些防護系統。在安全系統方面,要適度,不能片面強調什麼安全第一。 除了病毒、黑客入侵外,網路系統的安全性需求還體現在用戶對數據的訪問許可權上,一定要根據對應的工作需求為不同用戶、不同數據配置相應的訪問許可權,對安全級別需求較高的數據則要採取相應的加密措施。同時,用戶賬戶,特別是高許可權賬戶的安全也應受到高度重視,要採取相應的賬戶防護策略(如密碼復雜性策略和賬戶鎖定策略等),保護好用戶賬戶,以防被非法用戶盜取。 在安全性防護方面,還有一個重要的方面,就是數據備份和容災。這非常重要,在一定程度上決定了企業的生存與發展,特別是企業數據主要是電子文檔的電子商務類企業。在設計網路系統時,一定要充分考慮到用戶對數據備份和容災的需求,部署相應級別的備份和容災方案。如中小型企業通常是採用Microsoft公司Windows Server 2003和Windows Server 2008系統中的備份工具進行數據備份和恢復,而對於大型企業,則可能要採用第三方專門的數據備份系統,如Veritas(維他斯,現已並入賽門鐵克公司)的Backup Exec系統。 適度可擴展性原則 這是為了適應用戶業務和網路規模發展的需求,相當重要,特別是對於中小型企業網路來說。這類企業一般成長較快,很可能不到三年時間,網路用戶規模就要翻倍,關鍵應用帶寬需求也可能成倍增加。這時如果所設計的網路系統的可擴展性不強,就會給網路用戶和性能的擴充帶來極大的不便。 網路的可擴展性保證主要是通過交換機埠、伺服器處理器數、內存容量、磁碟架數等方面來保證。通常要求核心層或骨幹層,甚至匯聚層交換機的高速埠(通常為千兆埠)要有兩個以上用於維護和擴展(通常是用加連接新增加的下級交換機),不要在設計之初就只想到當前所需的這類埠數,把所有高速埠都佔用完。當然也不要為將來的網路留有太多這樣的埠或設備,否則就會給網路工程設計帶來巨大的成本壓力,也會造成巨大的投資浪費。
❸ 選擇計算機網路協議要遵循什麼原則
不管是做事還是做人我們就需要有一個規則來約束我們。在計算機網路的世界中也是如此。那麼,這種約束力的產生者就是計算機網路協議。這個協議就如同我們使用的法律一般,約束著計算機網路的各項工作。
1.計算機網路協議(Protocol)
為進行計算機網路中的數據交換而建立的規則?標准或約定的集合?協議總是指某一層協議,准確地說,它是對同等實體之間的通信制定的有關通信規則約定的集合?
計算機網路協議的三個要素:
1)語義(Semantics)?涉及用於協調與差錯處理的控制信息?
2)語法(Syntax)?涉及數據及控制信息的格式?編碼及信號電平等?
3)定時(Timing)?涉及速度匹配和排序等?
2.網路的體系結構及其劃分所遵循的原則
計算機網路系統是一個十分復雜的系統?將一個復雜系統分解為若干個容易處理的子系統,然後「分而治之",這種結構化設計方法是工程設計中常見的手段?分層就是系統分解的最好方法之一?
在計算機網路協議(圖1)所示的一般分層結構中,n 層是n-1層的用戶,又是n+1層的服務提供者?n+1層雖然只直接使用了n層提供的服務,實際上它通過n層還間接地使用了n-1層以及以下所有各層的服務?
❹ 網路技術的選擇原則是什麼
這個問題太大了,一般性的:
1 技術成熟
2 性能穩定
3 服務到位
4 便於擴容
有時根據業務需求還有安全高效的原則。
❺ 網路規劃和設計的基本原則是什麼
1.網路安全性
根據企業應用的特殊性,網路的安全性在本次網路建設中是比較重要的,整個網路必須保證萬無一失的安全性,並對各個部門的信息要有嚴格分離保護的辦法,防止網路黑客非法入侵。網路系統應配備全面的病毒防治和安全保護功能。
2.易管理易操作性
必須採用智能型網路管理系統,保證全網路設備(交換機、路由器)均可用一套統一的網管系統進行管理;網管軟體要求界面為圖形界面;所有站點重新分配網段、虛網的重新配置、所有網路設備的重新配置均可通過網管軟體由網管站實現;網路布線的設計要求便於管理和維護,當某條鏈路出現故障時,必須可以在主設備間或配線間內重新配置。
3.技術先進性
當今世界,通信和計算機技術的發展日新月異,我們的方案應該適應新技術發展的潮流,既要保證網路的先進性,同時又要確保各項技術的成熟性。
4.標准化
計算機管理信息系統就是要實現網路及設備資源的共享,把不同廠商的設備和計算機軟體進行互連。在一個復雜的大型網路系統里,必然有多個廠商的硬體及軟體,為了保證用戶的計算機網路系統具有互操作性、可用性、可靠性、可擴充性、可管理性,需要建立一個開放式、遵循國際標準的網路系統。
5.可擴展性
由於用戶業務的不斷發展,網路系統必然隨之不斷擴大,為此,目前的網路設計必然為今後的擴充留有足夠的餘地,以保護用戶的投資,並且不影響原有用戶的工作。
6.可用性
由於本網路系統對於數據的時效性、可靠性要求較高,因此在設計時應重點考慮網路及設備的可用性。我們的方案要充分考慮用戶的費用情況,不但理論上可行,更重要的是實際上可用,最好地適應用戶的需要。
7.兼容性
網路結構有良好的兼容性,能夠實現與不同類型的子網的無縫連接。
8.可靠性
為使網路可靠地運行,我們方案中要選用高品質的產品,把故障率降到最小。
9.冗餘性
在設計時應考慮為網路留有適當的冗餘度,硬體設備應具備一定的冗餘模塊,以提高網路容錯能力。
10.容錯性
設備容錯性:所選用設備必須具有全容錯結構,一台設備中單個電源、單個風扇的故障不影響設備工作,單個模塊的故障不影響其它模塊的正常工作;設備應具有熱修復能力,即當設備的某些部件發生故障時,可以帶電更換而不影響設備其它部件工作,新更換部件可直接投入工作而不必重新引導整個設備。
網路結構容錯:不能因某台設備的故障而影響到整個主幹網路的正常運行;任意一條鏈路的中斷不能使得主幹網路的任何部分中斷工作。
❻ 選擇網路操作系統構建計算機網路時應考慮哪些因素
網路操作系統的選擇應遵循以下一般原則:
1、標准化;
2、可靠性;
3、安全性;
4、網路應用服務的支持;
5、易用性。
選擇網路操作系統時還應考慮以下因素:
1、首先要考慮的是成本因素;
2、其次要考慮網路操作系統的可集成性因素;
3、可擴展性是選擇網路操作系統時要考慮的另外一個因素。
❼ 工業控制網路系統集成的原則
實時性原則:大多數監控系統中,對數據的採集和處理數度要求都很高,因此在進行網路化設計時應該首先考慮到這一點,根據具體的情況在不同的網段採用響應的解決辦法,以減少延遲,提高系統的實時性。
1、可靠性原則:監控系統一般對傳輸網路的可靠性要求很高,因為其可靠性直接影響到監控計算機所得到的現場信息的正確性,以及上層管理系統的命令是否能得以正確執行,進而影響,整個監控系統的性能。
2、開放性原則:網路系統的開放性關繫到網路系統內不同網段間的互聯、企業內部網路與外界網路互聯的可實現性。
3、實用性原則:網路系統的設計應以需求分析作為設計基礎,如網路的節點數、節點的地理位置分布,網路的信息量、運行速率、傳輸能力,以及網路建成之後改建的可擴充性,如網路節點增加、網路擴展等。
4、先進性原則:當今網路技術發展相當迅速,應當盡量選擇技術水平高、有發展前途短期內不會被淘汰。
❽ 計算機網路系統設計方案時應遵循哪些原則
盡管沒有絕對安全的網路,但是,如果在網路方案設計之初就遵從一些合理的原則,那麼相應網路系統的安全和保密就更加有保障。設計時如不全面考慮,消極地將安全和保密措施寄託在網管階段事後「打補丁」的思路上,這是相當危險的和不可取的做法。從工程技術角度出發,在設計網路方案時,應該遵守以下原則: 1.網路信息系統安全與保密的「木桶原則」 強調對信息均衡、全面地進行安全保護。「木桶的最大容積取決於最短的一塊木板」。網路信息系統是一個復雜的計算機系統,它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是多用戶網路系統自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的是「最易滲透原則」,必然在系統中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統的安全漏洞和安全威脅進行分