一、体系结构
防火墙体系结构包括以下几种:1)包过滤防火墙该种类型防火墙为结构最为简单的一种防火墙,其能够在路由器或主机上的路由器上实现。内部网络所有经过的数据都必须经过过滤路由器,路由器对每个数据包进行检查,根据设定的规律规则来选择允许或拒绝数据包。2)双宿主主机防火墙。该类型防火墙是由一种特殊的主机来设置的,该主机具备连接外部网络以及需要保护的内部网络接口,并且运行代理服务器[2]。其不使用包过滤规则,而是在外部网络以及被保护内部网络之间设置网关,将IP层之间传输进行隔断。两个网络中的主机无法直接通信,通信过程要经过应用层数据共享以来实现。3)屏蔽主机网关防火墙。其主要是有过滤路由器与堡垒主机组成,堡垒主机位于内部网络上,而过滤路由器位于内部与外部网络之间。外部网络主机只能访问堡垒主机,无法直接访问内部网络的其他主机。假如内部网络的主机想要对外进行通信,必须经过堡垒主机,在经过堡垒主机允许后才能够访问外部网络。在屏蔽主机网关防火墙技术中堡垒主机成为了内部与外部网络通信的唯一途径。
二、计算机信息系统安全技术的应用
2.1防病毒措施
要防止计算机病毒入侵可以从以下几个方面入手:1)使用知名厂家出品的专业防病毒、杀病毒的程序。2)设置网络服务器上系统资源的访问权限。2)使用防病毒的硬件,例如在主机中安装防病毒板卡或芯片,阻挡病毒与系统的侵害。
2.2内部网络安全措施
2.2.1局域网安全措施
针对局域网存在的安全隐患可以采用以下措施来进行防护:1)网络分段。网络分段法就是集合物理分段与逻辑分段两种方式来实现对局域网的安全防护,其主要目的就是将非法用户与敏感的网络资源相互隔开,进而防止非法窃听获取信息;2)虚拟局域网划分。在分布式网络环境下,根据部门设置来划分VLAN,各个部门内部所有的服务器都连接在自身的VLAN内,互相不干扰。
2.2.2服务器端安全措施
针对服务器端存在的安全隐患可以采用以下措施进行防护:1)内核级透明代理。即为每个数据库只使用一个数据库账号,其对系统所涉及到的所有数据都拥有操作权限,并且1给系统操作人员建立了应用系统账号[3]。这种方式就像是给数据库建立了坚硬的防火墙。2)增强用户授权机制。在该种安全体系中,应用系统变为隔离用户与数据库之间的防火墙,其自身就具有一定的安全性能,特别是对于用户授权管理机制来说,严密性将会直接影响到信息系统的安全性能[4]。在软件上可以根据用户自身的实际需求来选择相应的安全等级,以获得最高等级的安全保护。3)完善备份与恢复机制。对于防止存储设备遭到破坏导致信息数据受损,服务器可以采用热插拔的SCSI硬盘,通过RAID5的方式来进行热备份。在有需求追踪数据丢失的全部信息时可以将系统日志与备份数据结合在一起,以保证系统的安全性能。
2.3广义网络安全
一般情况下广域网均采用公网来进行数据传送,因此在传送信息数据的过程中被窃取的几率远高于在局域网上传送[5]。因此,要保证广义网络的安全就应该采取必要的手段。例如加密技术以及VPN技术都能够保证广义网络安全。加密技术是通过对网络数据来进行加密保障网络的安全性。VPN技术是使用隧道技术,把企业专用网进行数据加密,然后在虚拟建立的公网隧道中树输送,以防止敏感数据被偷窃。
三、结束语
实现计算机信息体系安全是一种“立体三维”的思想,要保证计算机信息系统安全要从信息系统的各个结构入手,其中包括硬件层、操作系统层、数据库层、应用程序层等。目前国内大多数的信息系统安全性都只是产品是从计算机信息系统的其中一个或者少数几个层次来考虑的,很少对其中的各个层次进行考虑。全面考虑计算机信息系统各个层次的安全性能,应用相匹配的安全技术能够形成一个相对稳定、安全的计算机信息系统。
作者:田廷剑 单位:中国人民银行济南分行营业管理部
相关专题:失效分析与预防 云南课程教材教学研究