1.5 網絡工程的構建原則

計算機網絡工程的構建必須遵循一定的系統(tǒng)設計原則，并以該總體原則為指導，設計經濟合理、技術先進和資源優(yōu)化的工程構建方案。計算機網絡工程的構建原則通常包括如下幾個方面。

1.5.1 可靠性原則

可靠性是網絡信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定時間內完成規(guī)定功能的特性。可靠性是系統(tǒng)安全的基本要求之一，是所有網絡信息系統(tǒng)的建設和運行目標。可靠性原則用于保證在人為或隨機性破壞下，系統(tǒng)依然安全可用。提高系統(tǒng)的可靠性有很多途徑和專門技術，如下方法可供參考。

●對數據進行完善備份，如進行日備份、周備份；注意數據異地備份，以防止火災和其他自然災害或人為破壞。

●對設備進行備份，發(fā)現(xiàn)損壞設備用備件及時進行更換。

●關鍵設備（如重要的服務器及網絡設備）應具有容錯功能，選用雙機備份或雙機熱備份（對不能中斷的服務）技術、集群（Cluster）技術等。

●應用網絡管理技術嚴格監(jiān)控系統(tǒng)、設備和應用系統(tǒng)的運行和操作。

1.5.2 實用性原則

實用性指的是構建的計算機網絡工程系統(tǒng)基于實際的網絡需求出發(fā)，能極大程度地滿足實際業(yè)務需求。實用性原則主要包括如下4個方面。

●系統(tǒng)總體設計要充分考慮用戶當前各業(yè)務層次、各環(huán)節(jié)管理中數據處理的便利性和可行性，把滿足用戶業(yè)務要求作為重要目標進行考慮。

●采用總體設計、分步實施的技術路線。在總體設計的前提下，先選擇用戶需求迫切、產生應用效益高、管理中的較低層進行實施，穩(wěn)步向中高層及系統(tǒng)全面推進。這樣系統(tǒng)能始終與用戶的實際需求緊密聯(lián)系在一起，增強系統(tǒng)的實用性，而且可使系統(tǒng)建設保持良好的連貫性。

●人機接口設計應考慮不同用戶層次的實際需求，如對使用頻繁的業(yè)務人員而言，人機接口應以提高工作效率為主；對領導人員而言，人機接口應以方便使用為主。

●用戶接口設計應充分考慮人體特征和視覺特征，界面盡可能美觀大方，操作簡便實用。

1.5.3 先進性原則

先進性指的是采用國際、國內先進和成熟的信息技術，使系統(tǒng)能夠在一定的時期內保持效能，適應今后技術發(fā)展變化和業(yè)務發(fā)展變化的需要。一般而言，目前系統(tǒng)的先進性原則主要體現(xiàn)在以下4個方面。

●采用先進的、開放的系統(tǒng)體系結構，如網絡通信采用TCP/IP體系結構和基于Intranet的信息技術等。

●計算機技術根據需要采用一些新技術，如容錯技術、雙機互為備份技術、廉價冗余磁盤陣列（RAID）技術、共享磁盤陣列技術和多媒體技術等。

●采用先進的網絡技術，如寬帶IP技術、ATM技術、局域網交換技術、網絡管理技術和流量負載均衡技術等。

●采用先進的項目管理技術，為了保證項目的質量和系統(tǒng)的科學性，項目管理的科學性是必要的。

1.5.4 可擴展性原則

可擴展性指的是網絡要能適應用戶當前需求及將來需求的增長、新技術發(fā)展等變化。在保護原有投資的同時，要滿足用戶數的增加，以及用戶隨時隨地增加設備、增加網絡功能等需求。隨著應用規(guī)模的發(fā)展，系統(tǒng)能靈活方便地進行硬件或軟件系統(tǒng)的擴展和升級。在網絡設計時應考慮網絡在未來幾年中的發(fā)展，讓網絡的擴展可以在現(xiàn)有網絡的基礎上通過簡單地增加設備和增大鏈路帶寬的方法來實現(xiàn)，以適應不斷增長的業(yè)務需求，保護本次網絡建設的投資。提高網絡工程的可擴展性一般考慮如下相關問題。

●以參數化方式設置、管理硬件設備的配置、刪減、擴充、端口等，系統(tǒng)化管理軟件平臺，系統(tǒng)化管理并配置應用軟件。

●應用軟件要采用面向對象的方法進行開發(fā)，使之具有較好的可維護性和可移植性，可根據需要修改某個模塊、增加新的功能，以及重新組合系統(tǒng)的結構，從而達到軟件可復用的目的。

●數據存儲結構設計在合理、規(guī)范的基礎上，同時具有可維護性，對數據庫表的修改和維護可以在較短的時間內完成。

●系統(tǒng)部分功能考慮采用參數定制及生成方式，以保證其具備普遍適應性。

●系統(tǒng)部分功能采用多種處理選擇模塊，以適應管理模塊的變更。

●系統(tǒng)提供通用報表及模塊管理組裝工具，以支持新的應用。

1.5.5 安全性原則

網絡安全（Network Security）是指保護網絡中的軟硬件資源不受非法訪問、獲取、篡改、破壞的計算機網絡維護技術。網絡安全是保障網絡穩(wěn)定正常運行的重要方面。凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全要研究的領域。網絡工程設計的安全性原則主要包括如下7個方面。

1.網絡分段

網絡分段通常被認為是控制“網絡廣播風暴”的一種基本手段，也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽。

2.虛擬局域網

采用交換式局域網技術組建的局域網，可以應用虛擬局域網（VLAN）技術來加強內部網絡管理。VLAN 技術的核心是網絡分段，根據不同的部門及不同的安全機制，將網絡進行隔離，可以達到限制用戶非法訪問的目的。在集中式網絡環(huán)境下，通常將中心的所有主機系統(tǒng)集中到一個VLAN里，在這個VLAN里不允許有任何用戶節(jié)點，從而較好地保護敏感的主機資源。VLAN內部的連接采用交換實現(xiàn)，VLAN與VLAN之間的連接則采用路由實現(xiàn)。

3.網絡訪問權限設置

局域網中的主機如果不進行權限和用戶身份設置，則可以完全被網絡中的其他用戶訪問，所以在局域網中設置訪問權限，實現(xiàn)數據的加密服務顯得非常重要。局域網是以用戶為中心的系統(tǒng)，登錄控制能有效地控制用戶登錄服務器、路由器和交換機等網絡設備并獲取資源。登錄控制大致分為用戶名的識別和驗證、用戶密碼的識別和驗證、賬號的缺省限制檢查三個方面。登錄控制能有效地保證網絡的安全。

權限控制是針對網絡非法操作所提出的一種安全保護措施。對用戶和用戶組賦予一定的權限，可以限制用戶和用戶組對目錄、子目錄、文件、打印機和其他共享資源的訪問，也可以限制用戶和用戶組對共享文件、目錄和共享設備的操作。

4.網絡設備安全控制

局域網中的路由器和三層交換機基本上都內置防火墻功能，且可通過設置IP訪問列表與 MAC 地址綁定等方案對網絡中的數據進行過濾，限制出入網絡的數據，從而增加網絡安全性。

5.防火墻控制

防火墻是目前最為流行、也是使用最廣泛的一種網絡安全技術。防火墻作為分離器、限制器和分析器，用于執(zhí)行兩個網絡之間的訪問控制策略，有效地監(jiān)控內部網和Internet之間的任何活動，既可為內部網提供必要的訪問控制，又不會造成網絡瓶頸，并通過安全策略控制進出系統(tǒng)的數據，保護內部網的關鍵資源。

6.入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（Intrusion Detection System，IDS）指的是任何有能力檢測系統(tǒng)或網絡狀態(tài)改變的系統(tǒng)或系統(tǒng)的集合。IDS 能發(fā)送警報或采取預先設置好的行動來幫助保護用戶的網絡。IDS可以是一臺簡單的主機，也可以是一個復雜的系統(tǒng)，使用多臺主機來幫助捕獲、處理并分析網絡流量。

7.殺毒軟件

目前，計算機病毒技術與計算機反病毒技術之間的矛盾越來越尖銳。病毒的“變異性”使得用戶防不勝防，幾乎每天都會出現(xiàn)無數種新病毒，稍有不慎，病毒就會給用戶造成嚴重后果。對計算機病毒的防范應該首先杜絕它的傳染途徑，對存儲介質和網絡都進行實時監(jiān)控，并且安裝優(yōu)秀的殺毒軟件，對系統(tǒng)時常進行掃描和病毒清除，還應該建立系統(tǒng)備份和還原機制，以防不測。