毕业设计医院的网络规划与设计

经典word整理文档，仅参考，双击此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！题目系专业班级学号职称级2班二〇一二年五月八日滨州学院专科毕业设计（论文）莒南县医院的网络规划与设计摘要随着网络技术，信息通信领域的长足发展，网络经济，知识经济再不是IT面对网络时代带来的冲击，如何利用网络技术提高我们医疗卫生行业的管理水平和服务质量，是无法回避的问题。随着网络硬件性能的不断提高，成本不断降低，目前新建的局域网基本上都采用了性能先进的快速以太网技术，其核心交换机采用三层交换机，能很好地支持。本方案提供了丰富、全面的系统安全设计。整个方案考虑了用户层面、设备、数据和管理的各个层面的安全需求，并进行了整体安全的设计。设备方面，采用的各个层次的设备都支持了对自身负责层面的安全功能，从接入层、汇聚层到核心层，都进行了安全方面的考虑和设计；如接入层面提供的VLAN保护接入层面数据和用户的安全。防ARP功能和常见的蠕虫、冲击波等病毒的防范。数据层面，对数据在各个系统层面的传输都考虑的安全方面的设计。关键词：网络性能；网络安全；网络配置；VLANI滨州学院专科毕业设计（论文）NetworkPlanningandDesignoftheJunanCountyHospitalAbstractWiththerapiddevelopmentofnetworktechnology,informationcommunications,networkeconomy,knowledgeeconomy,nottheIThigh-techindustrypatents.Asoneofthetraditionalindustriesofthehealthcareindustry,andhowtodealwiththeimpactoftheInternetage,howtousenetworktechnologytoimprovethemanagementlevelandservicequalityofourhealthcareindustry,isanunavoidableproblem.Theprogramprovidesarichandcomprehensivesystemsecuritydesign.Equipment,atalllevelsofequipmentsupportlevelisresponsiblefortheirownsecurityfeatures,fromtheaccesslayer,convergencelayertothecorelayer,allthesecurityconsiderationsanddesign;suchasaccesslevelVLANtoprotectaccesstoentry-leveldataandusersecurity.Preventionofthevirusofanti-ARPfeature,commonworms,suchasshockwaves.Datalevel,thesafetyaspectsareconsideredbythetransmissionofdataineachsystemleveldesign.Keywords:NetworkPerformance;NetworkSecurity;NetworkConfiguration;VLANII滨州学院专科毕业设计（论文）目录第一章绪论.......................................................................................................................11.1研究的目的和意义...................................................................................................11.1.1研究目的............................................................................................................11.1.2研究意义............................................................................................................21.2国内外研究现状.......................................................................................................21.2.1国外研究现状....................................................................................................31.2.2国内研究现状....................................................................................................3第二章概述.......................................................................................................................42.1医院的背景................................................................................................................42.2需求分析....................................................................................................................42.2.1网络稳定.............................................................................................................42.2.2网络性能.............................................................................................................52.2.3网络安全.............................................................................................................5第三章网络规划...............................................................................................................73.1医院网络设计目标....................................................................................................73.2医院网络规划拓扑....................................................................................................83.2.1结构设计.............................................................................................................83.2.2VLAN划分........................................................................................................103.3IP地址.....................................................................................................................123.3.1IP地址设计规则................................................................................................123.3.2IP地址划分........................................................................................................123.4网络的简要配置......................................................................................................143.5网络安全设计..........................................................................................................16第四章结论.....................................................................................................................204.1高稳定的网络架构设计..........................................................................................20i滨州学院专科毕业设计（论文）4.2独立的服务器区域设计.........................................................................................204.3全面的系统安全设计..............................................................................................20参考文献...........................................................................................................................21谢辞...................................................................................................................................22滨州学院专科毕业设计（论文）1.1研究的目的和意义互联网发展到今天，已经给人们的生活带来了巨大的变化，它为人们构造了一条信息高速路。但是，这条信息高速路的使用率只有。因此，摆在人们面前的问题是如何利用互联网的价值。越来越多的人认为，网络作为一种新的理念，新的技术，新的设施，将会成为互联网的下一个浪潮。网络研究已被列入国家“八六三”计划和“九七三”项目。[1]1.1.1研究目的随着医疗技术的发展，医疗体制改革的不断深入，我国已经开始从公费医疗体制转向社会保障体制，并通过建立医疗保险制度，将新的医疗保障制度逐步推向社会。同时，在市场经济的外部环境下，医疗卫生机构如何通过信息化建设完善内部的管理，降低管理成本，提高对市场的反应速度，占据竞争优势，开发新的、更方便更快捷的服务项目，为广大人们群众提供优质、卫生、满意的服务，是一个很重要的课题，是一件利国利民的大事。随着计算机网络技术的不断发展，简单的内部网络已经不能适用现代的网络技术发展的要求。医院若要做到面向社会、面向世界，和国际是先进的医疗技术相接轨，就必须认真贯彻落实国家有关加快医疗系统信息化建设及管理的精神，进一步推进医疗系统的信息化建设，才能及时了解国际医疗系统的新信息、新发展动态，吸收国内外新的医疗理念和管理经验，及时提高医院的医疗系统的信息化应用和管理水平。在对医院内部网络规划中，我将从需求分析、医院网络总体规划、服务器择稳定和成熟的技术和产品，是医院的网络在开通运行后处于稳定的的状态。在结构上将采用流行的三层网络结构，及核心层、交换层和接入层，选用星型网络拓扑结构，通过防火墙来接入骨干网络。考虑到医院的规模较小，信息接点较少，信息流量小的的特点，实施的的时候，在核心层主要采用硬件与软件技术相结合来实现其功能，并不仅仅采用昂贵的硬件来实现网络功能，要充分利用现有的资源，不浪1滨州学院专科毕业设计（论文）费，不盲目追求设备的高端化。同时考虑到医院的应用环境应建立丰富的应用服务器，来满足信息共享的需求。同时考虑到医院今后的发展，采用开放式的结构和技术，一便使医院网络具有良好的扩充能力和开放性，以满足今后医院对网络的发展要求1.1.2研究意义网络技术已经对社会，经济和文化各方面产生重大影响，并将改变人们认识世界，思考世界的观点和方法。作为传统行业之一的医疗卫生行业，如何面对网络时代带来的冲击，如何利用网络技术提高我们医疗卫生行业的管理水平和服务质量，是无法回避的问题。为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管吸收新的技术和管理经验，提高医卫系统信息化应用的管理水平，使医院经济效益和社会效益双丰收，全国各省都在逐步加快医院的信息化建设步伐。传统医疗卫生行业正利用其行业特点，汲取网络技术精华，努力创造着医疗卫生行业的又一个春天。未来是美好的，但现实不可回避。在选取“飞”的翅膀时，好的网络设计方案对医疗行业网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要，具有深远的意义。1.2国内外研究现状20世纪90年代末至今，是数字化医院以前所未有的速度发展的时期。发展过程中，我国医院网络建设已初具规模并取得了长足的进步。[2]事实证明，医院网络建设是实现医院现代化的重要任务和标志，也是社会信息化不可缺少的组成部分，更是医院适应改革的必然选择。1.2.1国外研究现状美国HIMSS协会2006年调查报告显示，美国数字化医院建设投入很大，我国医院与美国医院在信息化建设投资规模上有着很大的差距。最为突出的就是人才投IT据CHIMA3～10级医院信息部门的全职职工规模主要集中在3～20人，占三级医院的82．22。而三级以下医院则主要集中在1～109034HIMSS2滨州学院专科毕业设计（论文）协会2006年医院信息化现状调查中IT部门全职员工数据，美国80的医院IT人员编制在10人以上。其中，32的医院10～24人，17的医院25～50人，9的医院51～75人，4的医院76～100门诊量、收容量远大于美国医院，人力资源不足的情况与发达国家医疗行业相比，差距较大。在技术应用方面，也存在较大差距。当前我国各级各类医院信息技术采用率排在前3位的依次是高速以太网(≥100M)技术、数据安全技术、条码技术。CHIMA样本调查结果显示，采用率第1位的是高速以太网≥100M)技术，比例高达7377；第2位是数据安全技术，比例达3238；第3位是条码技术，比例达28482006年美国HIMSS统计结果显示，美国医院较流行、较成熟的IT技术，主要是高速网络(93)、无线(84)、移动(77)、Internet(84)、Extranet(68)、集成引擎(75、条码技术(65)等从以上对比可以看出，我国医院目前普遍采用的技术，美国早已采用。我国数字化医院建设的先进技术普及程度与美国有较大差距。[3]1.2.2国内研究现状我国传统数字化医院的发展可分为3个阶段。首先是单机单用户应用阶段。始于20世纪7080年代初，这一阶段开始是以小型机为主，采用分时终端方80年代中期进入部门级系统应用阶段。一些医院开始建立小型的局域网络，并开发出基于部门管理的小型网络90年代开始进入全院级系统应用阶段。以军队医院“军卫一号”系统的全面运行为标志，大规模进入全院级系统应用阶段。快速以太网和大型关系型数据库日益盛行，完整的医院网络管理系统的实现已经成为可能。[4]3滨州学院专科毕业设计（论文）2.1医院的背景医院现拥有床位500张，科室齐全，人才荟萃。该院在本地区有较大优势的学科和技术项目主要有：临床设有内、外、妇、眼、耳鼻喉、口腔各科，痤疮专科。建筑楼群及信息点分布：综合医疗大楼一幢该楼在医院的左下，一层有31个房间，二层47个房，三层39个房间，四层33个房间，每间房间配有一部电脑。为使信息和资源共享，院方要求每个房间的办公设备都需要网络连通，同时大楼内的网络与医院的网络连通。行政办公楼一幢6层，每层有办公室18间。每个办公室均配置有电脑1台。综合住院楼一幢10层，每层有一个值班室，每个值班室配置一电脑，并与医院的网络连接。物资供应楼一幢该楼位于综合住院楼右面，楼高3层，每层有一个办公室，配置两台电脑，与医院网络连接。体检康复楼一幢4层，每层有20个房间，每个房间安装一台电脑。2.2需求分析2.2.1网络稳定医疗行业是关系到病人生命安危的重要行业，莒南人民医院的各种应用系统和7*24稳定、可靠、持续运行）是投入运行的医疗系统的生命线。同时，对于门诊等重要区域，由于门诊收费是患者4滨州学院专科毕业设计（论文）进入医院的第一站，稳定的网络系统建设是医院各种应用系统开展的根本保障，是降低医院目前出现问题的根本性措施。[5]1）网络本身稳定性。2）网站的有效性。3）网络的安全性。4）具有一定的可扩展性。5）在满足基本功能的同时，尽量节约资金。6）办公用户要具有强大的信息传递能力，以保证医院信息畅通。2.2.2网络性能作为临床信息系统最为重要的PACS系统的应用其在传输患者的放射图像信息时，需要消耗大量的网络传输带宽，虽然目前莒南人民医院仍然采用的是科室级的PACS系统，然而，随着医院信息化的发展，毕竟以全院级的FULLPACS系统为发展方向，在建设了PACS系统之后，堆积如山的胶片、病例档案都没有了，但是网络上数据量却在急剧增长。海量存储和数据浏览就成为必须解决的问题。在计算机中一页文字资料仅占几千字节，而一张数字化的X线片将产生上百万字节(Mb)医院FULLPACS系统应用传输带宽的考虑。[6]2.2.3网络安全软件及其系统中的数据受到保护、不受偶然的或者恶意的原因而遭到破坏、更改、泄露、系统连续、可靠、正常地运行，网络服务不中断。而网络安全的主要威胁来自以下方面：1）非授权访问；2）信息泄露；3）拒绝服务。对于底层的工作站来说，安全性问题主要来自于计算机病毒的侵扰和使用人员人为操作造成的系统破坏。为了防止病毒入侵，可以在医院的电脑上只开放最小使用功能。例如：拆除光驱、软驱、关闭USB端口，添加CMOS密码，实时监测病5滨州学院专科毕业设计（论文）毒，并及时升级病毒代码，隐藏桌面、使用组策略技术，使一般用户无法看到网上邻居、资源管理器等，只能使用授权的应用程序，而不能进行非授权功能操作，辅之以多种方法对工作站做限制和监控，将非授权访问事件发生概率降到最低。普遍来讲，网络安全关键技术主要有：信息包筛选(基于包过滤的防火墙)、应用中继器代理技术)和加密技术，一个完整的网络信息安全系统至少包括三类措施：社会的法律政策、企业的规章制度及网络安全教育等外部环境，技术方面的措施，[7]，网络系统安全维护中，普遍应用的适当、安全的方法：1）用备份和镜像技术提高数据完整性；2）病毒检查；3）补丁程序，修补系统漏洞；4）提高物理安全；5）构筑因特网防火墙；6）仔细阅读日志；7）加密；8）执行身份鉴别，口令守则；9）捕捉闯入者6滨州学院专科毕业设计（论文）3.1医院网络设计目标着社会的发展，企业信息化建设的推进，全国各大中型企业基本上都有了自己的网络，作为医院的决策者们来说，建立高速的网络，使信息流通更快速，将医院建成信息化的高效的医院，使医院立于不败之林。由于邳州人民医院的网络业务量并不HttpFtpEmail便是医院与Internet连接的最大流量了。从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据用户的总体需求，结合对应用系统的考虑，我们提出网络系统的设计的原则是：可靠的技术选型、标准的体系结构、1000M骨干网、安全性较高、运行性能可靠以及遵循面向应用，注重实效，急用先上，逐步完善的原则。1）实用性：根椐应用系统的要求确定整个系统的结构，即从系统功能和信息需求出发，拟建系统的结构必须满足系统的传输能力要求、信息安全要求、人机交互能力要求、信息处理要求等；2）先进性：以先进、成熟的网络通信技术进行组网，并能确保网络技术和网络产品几年内不落后；3）可靠性：系统必须可靠运行；4）开放性：选择的产品应具有好的互操作性和可移植性，并符合相关的国际标准和工业标准；5）可扩充性：系统是一个逐步发展的应用环境，在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有资,6）可伸缩性原则：网络的建设是一项持续性的系统工程项目，坚持网络建设规模的可伸缩性原则，将使得网络的建设费用降低，避免不必要的浪费，也体现了网络建设的灵活性；7）安全性：信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环78滨州学院专科毕业设计（论文）LAN和WAN的硬件设备也是关键性的一步。莒南人民医院网络规划采用的是星型拓扑结构，网络总体分为三个层次，即核心层、汇聚层、接入层。核心层核心层包括由核心交换机、路由器、网络服务器等部分组成，主要功能是提供地理上远程站点之间的广域网连接。核心层作为莒南人民医院的基本信息平台，通过CISCO2620XM路由器接入CiscoWS-C4510R连接路由器，提供网络信息的核心交换，网络服务器连接在核心交换机上，以提供高速的网络信息服务。1．CISCO2620XM路由器CISCO2620XM5客户提供高性能的IP服务、平台高扩展性和可靠性。CISCO2620XM采用了并行快速转发技术，它采用全硬件冗余、在线接入和拔除及无缝路由等先进技术，除此之外还具有以下特征：高密度广域网和拨号连接中密度到高密度局域网连接数据上的中密度语音具有闪存能力2．CiscoWS-C4510R三层核心交换机思科新推出的CiscoWS-C4510R系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。支持在内部建立虚拟工作组，提供流量管理和第二层交换功能，同时具有先进的网络管理功能。这个新的产品系列采用了最新的思科StackWise技术，不但实现高达32Gbps一起，便于用户建立一个统一、高度灵活的交换系统就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。CiscoWS-C4510R作为莒南人民医院网络的三层核心9滨州学院专科毕业设计（论文）交换机。1）汇聚层各子网络的流量的汇聚采用思科公司的CiscoCatalyst2950交换，上行速度为100Mbps接入中心交换机CiscoCatalyst3750，CiscoCatalyst2950是24口10M/100Mbps自适应以太端口且带2个千兆端口的交换机，体系结构采用了一个10Gbps和转发速率每秒750万个信息包的交换结构。2）接入层接入层通常是一个LAN或一组，所以我们所以讨论的的网络设计中，接入层通常由以太网组成。接入层为用户提供接入访问服务。接入层采用思科公司的CiscoCatalyst260024端口，快速10M/100M自适应的能力为网络提供很好的兼容性以及交换能力。3.2.2VLAN划分随着网络硬件性能的不断提高，成本不断降低，目前新建的局域网基本上都采用了性能先进的快速以太网技术，其核心交换机采用三层交换机，能很好地支持VLAN是局域网上的一组设备，经配置（用管理软件）后它们可以加同连接在同一线路上那样通信，而它们实际上位于不同的局域网段，它和用户的物理位置没有关系。实验VLAN技术的局域网的管理方便、可靠性高、VLAN具有以下优点：1）增加了网络连接的灵活性及降低管理成本。2）有效控制网络中的广播。3）增强网络的安全性。4）控制通信活动。对于交换式快速以太网，如果要对某些用户重新进行网络分段，需要网络管理而对于采用VLANVLAN应用将不同地理位置的网络用户划分为一个逻辑网段，在不改变网络物理连接的情况下，可以任意地将工作站在工作组或子网间移动。利用VLAN技术大大减少了网10滨州学院专科毕业设计（论文）络管理的负担，降低了网络维护费用。根据我们前面的分析，根据莒南人民医院的具体情况，可具体划分如下：1．服务器区：1）包括Web、FTP、Email等服务器。2）VLAN名称：VLAN102．行政办公区1）包括6层楼中各办公室的电脑2）VLAN名称：VLAN203．综合医疗大楼1）包括4层诊室中的电脑。2）VLAN名称：VLAN304．综合住院楼1）包括10层共10台2）VLAN名称：VLAN405．物资供应大楼1）VLAN名称：VLAN506．康复大楼1）VLAN名称：VLAN60莒南人民医院VLAN划分如表3.2所示。表3.2医院vlan划分VLAN名称VLAN10VLAN20VLAN30VLAN40VLAN50VLAN60服务器区行政办公区医疗综合大楼综合住院大楼物资供应大楼康复大楼38011滨州学院专科毕业设计（论文）3.3IP地址3.3.1IP地址设计规则IP地址规划的好坏不仅影响网络路由协议算法的效率、网络性能、网络管理、网络扩展，还直接影响应用的进一步发展。关于IP地址规划应遵循以下原则：1）IP地址的唯一性即IP地址是区分网络主机的唯一标识，同一个网络中不能有相同的IP地址，否则就不会有可靠的路由选择方式把包发送到指定的目标地址。2）IP地址规划的简单性IP地址的规划应本着简单的原则，避免在网络主干采用复杂的网络掩码形式。3）IP地址规划的层次性IP地址在规划时，应考虑到网络中的子网，以及子网中计算机的数量，这样才能确定IP地址的类型和子网掩码。4）IP地址的连续性。5）IP地址规划的可扩展性6）IP地址规划的灵活性7）网络的安全性8）IP地址根据需要采用静态或动态分配3.3.2IP地址划分根据以上原则，结合莒南人民医院的实际情况，IP地址规划如下：1）服务器区IP地址规划作用：用于给各个服务器分配IP地址。范围：-54掩码：2）办公区作用：用于给各个办公室电脑分配IP地址。范围：-00掩码：3）综合门诊区12滨州学院专科毕业设计（论文）作用：用于给各个多媒体教室电脑分配IP地址。范围：-00掩码：4）科研实验区作用：用于给各个实验室电脑分配IP地址。范围：-54掩码：5）综合住院区作用：用于给教师电脑分配IP地址。范围：-54掩码：IP地址规划如表3.3所示表3.3IP地址划分IP范围子网掩码Email服务器-54-54体检康复大楼-54综合住院区-54物资供应大楼-5413滨州学院专科毕业设计（论文）3.4网络的简要配置1．路由器的简要配置将路由器的Console端口利用Console级终端，并为连接取一个名字Cisco-user，接着选定连接的相关参数，速度设为9600bps，数据位为8，奇偶校验为无，停止位为1，数据流控为无。打开路由器电源，则进行路由器的初始化界面。关键设置如下：1）输入路由器的名字Enterhostname[Router]:Router-user2）配置连接到交换机的路由器接口的IP选项Router-user#configtRouter-user(config)#interfacefastethernet0/0（config-if）#ipaddress543）配置路由协议Router-user(config)#routerripRouter-user(config-router)#network54Router-user(config-router)#network544）设置IP路由器功能开放Router-user(config)#iprouting5）设置NAT，做动态地址转换Router-user(config)#ipnatpoolmynatpoolnetmask2．核心交换机的简要配置将CiscoCatalyst3750交换机的Console口专用连接线与计算机串口连接。然后启动交换机，设置好PC的超级终端。其关键设置如下：1）行政为办公区、医疗综合大楼区、综合住院区、体检康复大楼区、物资供应大楼及其他区、服务器区配置VLANSwitch>configuretSwitch>#hostnameCiscohqCiscohq(vlan)#vlandatabase14滨州学院专科毕业设计（论文）Ciscohq(vlan)#vtpdomainhqCiscohq(vlan)#vlan2namevlan10Ciscohq(vlan)#vlan3namevlan20Ciscohq(vlan)#vlan4namevlan30Ciscohq(vlan)#vlan5namevlan40Ciscohq(vlan)#vlan6namevlan50Ciscohq(vlan)#vlan7namevlan602）为Catalyst3750交换机所划发的VLAN设置IP地址Ciscohq#conftCiscohq(config)#interfacevlan2Ciscohq(config-if)#ipaddress1服务器区Ciscohq(config-if)#noshutCiscohq(config-if)#exitCiscohq(config)#interfacevlan3Ciscohq(config-if)#ipaddress//行政办公区Ciscohq(config-if)#noshutCiscohq(config-if)#exitCiscohq(config)#interfacevlan4Ciscohq(config-if)#ipaddress//医疗综合大楼Ciscohq(config-if)#noshutCiscohq(config-if)#exitCiscohq(config)#interfacevlan5Ciscohq(config-if)#ipaddress//体检康复大楼Ciscohq(config-if)#noshutCiscohq(config-if)#exitCiscohq(config)#interfacevlan6Ciscohq(config-if)#ipaddress//综合住院区Ciscohq(config-if)#noshut15滨州学院专科毕业设计（论文）Ciscohq(config-if)#exitCiscohq(config)#interfacevlan7Ciscohq(config-if)#ipaddress//物资供应大楼Ciscohq(config-if)#noshutCiscohq(config-if)#exit3.5网络安全设计由于计算机网络系统的迅猛发展，网络安全已经成为网络发展中的一个重要课ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露[8]。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。网络安全包括五个基本要素：机密性、完整性、可用性、可控性、与可审查性。网络的安全威胁主要包括在以下几个方面。1）非授权访问：没有预先经过同意，就使用网络或计算机资源则被看作非授权访问，如有意避开系统访问控制机制，对网络设备资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作。2）信息泄漏或丢失:指敏感数据在有意或无意中被除数泄漏出去或丢失，它通或泄漏以及通过建立隐或通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用信息，如用户口令、账号等重要信息。3）破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应：恶意添加，修改数据，以干扰用户的正常使用。16滨州学院专科毕业设计（论文）4）拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。5而且用户很难防范。6蠕虫病毒，可以借助多种用途和路径潜入企业、政府、银行、军队等的网络。混合威胁的出现说明病毒编写者正在利用大量的系统漏洞将病毒传播的速度最大化。网络安全设计原则虽然说越安全的网络，信息的传输效率越差，也没有绝对安全的网络。但是如果在网络设计之初就能遵守些合理的原则，那么这样设计好的网络的安全和信息的保密就会有所保障。从网络工程的技术出发，我们应该遵从以下原则：1．网络安全系统的整体性原则强调安全防护、监测和应急恢复。要求在网络系统发生被攻击的情况下，必须尽可能快地恢复网络信息中心的服务，减少损失。所以网络安全系统应该包括三种机制：安全防护机制、安全监测、安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取的相应防护措施，避免非法攻击的进行；安全监测机制系统的运行情况，及时发现和制止系统进行的各种攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量及时地恢复信息，减少攻击的破坏程度。2．网络安全系统的有效性与实用性原则网络安全应以不能影响系统的正常运行和合法用户的操作活动为前提。网络中的信息安全和信息利用是一对矛盾：一方面，为健全和弥补系统缺陷的漏洞，会采取多种技术手段和管理措施；另一方面，势必给系统的运行和用户的使用造成负担和麻烦，“越安全请注意味着使用越不方便”。尤其在网络环境下，实时性要求很高的业务不能允许安全连接和安全处理造成的时延和数据扩张。如何在确保安全性的基础上，把安全处理的运算减小或分摊，减少用户的记忆、存储工作和安全服务器的存储量、计算量，是一个待解决的问题。17滨州学院专科毕业设计（论文）3．等级性原则良好的网络安全系统必然是分为不同级别的包括对信息保密程度分级（绝密、从而针对不同级别的安全对象，提供全天候算法和安全体制，以满足网络中不同层次的各种实际需求。[9]4．网络安全有价原则网络系统的设计是受经费限制的。因此在考虑安全问题解决方案时必须考虑性能价格的平衡，而且不同的网络系统所要求的安全侧重点各不相同。例如国家政府审计、网络容错等功能。交通、民航侧重于网络容错等。国此必须有的放矢，具体问题全体分析，把有限的经费用在关键领域。然而Internet会被她人窃取。因此需要对网络信息安全进行设计。[10]1）确定面临的各种攻击和风险网络安全系统的设计和实现必须根据具体系统和环境，考察、分析、评估、检测（包括模拟攻击）和确定系统存在的安全漏洞和安全威胁。2）明确