(二)内外网间访问控制层

　　在内部局域网和外部网络之间，可以采用以下技术来对外部和内部网络间的访问进行控制：

　　1、防火墙：是硬件和软件的组合，他在内部网和外部网间建立起一个安全网关，过滤经过的数据包，决定是否将它们转送到目的地。它能够控制网络进出的信息流向，提供网络使用状况和流量的审计、隐藏内部IP地址及网络结构的细节。

　　2、防毒网关：防火墙无法防止病毒的传播，因而需要安装基于Internet网关的防毒软件，具体可以安装到代理服务器上，以防止Internet病毒及Java程序对系统的破坏。

　　3、网络地址转换技术：当内部主机与外部相连时，使用同一IP地址；相反，外部网络与内部主机连接时，必须通过网关映射到内部主机上。它使外部看不到内部网络，从而隐藏内部网络，达到保密作用，同时，它还可能解决IP地址的不足。

　　4、代理服务及路由器：可以根据设置地址、服务、内容等要素来控制用的访问，代理服务器及路由器起访问的中介作用，使内部网络和外部网络间不能直接访问，从而保证内部关键信息的安全。

　　5、安全扫描：可以通过各种安全扫描软件对系统进行检测与分析，迅速找到安全漏洞并加以修复。目前有多种软件可以对设备进行扫描，检查它们的弱点并生成报表。

　　6、入侵检测：可以采用一些安全产品对网络上流动的数据包进行检查，识别非法入侵入其它可疑行为，并给予及时的响应及防护。

　　(三)内部网访问控制层

　　在局域网内部，非法用户的登陆和对数据的非法修改更加不易查出。当用户安全意识差、口令选择或保存不慎、帐号转借和共享都会对网络安全造成极大的威胁，从内部网访问控制层进行安全防护，可采取五种措施。

　　1、用户的身份认证：用户入网访问控制分为三步，即用户名的验证：用户口令的验证；用户帐号的验证。用户口令是入网的关键，必须经过加密，用户还可采用一次一密的方法，另外还可以使用智能卡来验证用户身份。同时，还可将用户与所用的计算机联系起来，使用户用固定的计算机上网，以减少用户的流动性，加强管理。

　　2、权限控制：这是针对网络非法操作提出的一种安全保护措施。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问哪些目录、子目录、文件和其它资料及用户可执行的操作。

　　3、加密技术：为存放秘密信息的服务器加装密码机，对网上传输的秘密信息加密，以实现秘密数据的安全传输。

　　4、客户端安全防护：首先，应切断病毒传播的途径，降低感染病毒的风险；其次，使用的浏览器必须确保符合安全标准，使客户端的工作站得安全保证。

　　5、安全检测：使用安全检测和扫描软件对网络设备和客户端工作站进行检测和分析，查找安全漏洞并加以修复，使用防病毒软件进行病毒查找和杀毒工作。

　　(四)操作系统及应用软件层

　　操作系统是整个系统工作的基础，也是系统安全的基础，因而必须采取措施保证操作系统平台的安全。安全措施主要包括：采用安全性较高的系统，对系统文件加密，操作系统防病毒、系统漏洞及入侵检测等。

　　1、采用安全性较高的系统：美国国防部技术标准把操作系统安全等级分为D1、C1、C2、B1、B2、B3、A级，安全等级由低到高，目前主要的操作系统等级分为C2级。在使用C2级系统时，应尽量使用C2级的安全措施及功能，对操作系统进行安全配置。在极端重要的系统中，应采用B级操作系统。

　　2、加密技术：对操作系统中某些重要的文件进行加密，防止非法出版的读取及修改。

　　3、病毒的防范：在主机上安装防病毒软件，对病毒进行定时或实时的病毒扫描及检测，对防病毒软件进行及时升级以发现和杀灭新型的病毒。

　　4、安全扫描：通过对主机进行一系列设置和扫描，对系统的各个环节提供可靠的分析结果，为系统管理员提供可靠性和安全性分析报告，对系统进行及时升级以弥补漏洞及关闭“后门”。

　　5、入侵检测：安装基于主机的入侵检测系统，可检查操作系统日志和其它系统特征，判断入侵事件，在非法修改主面时自动作出反应，对已入侵的访问和试图入侵的访问进行跟踪记录，并及时通知系统管理员，使管理员可对网络的各种活动进行实时监视。

　　(五)数据存储层

　　数据存储在服务器或加密终端上，数据存储的安全性是系统安全性的重要组成部分。对数据的安全保护措施可以采用以下几种方式：

　　1、使用较安全的数据库系统：目前的大多数数据库系统是基于C2安全等级的。使用时，应尽量使用C2级安全措施及功能。在重要的系统中，在B级操作系统的基础上采用B级数据库系统。

　　2、加密技术：对于要求保密的数据，采用加密的方法进行存储。加密存储可以通过连接在服务器或终端机上的加密机完成。

　　3、数据库安全扫描：采用安全扫描软件对数据库进行扫描和检测，为数据库管理系统找出存在的漏洞，以便及时升级系统、弥补漏洞。

　　4、存储介质的安全：可以通过磁盘镜像，磁盘双工、RAID技术等数据维护技术，再配合磁盘备份、光盘备份等技术来做到不会因某个硬盘的损坏而导致系统崩溃、数据丢失等灾难发生。

　　三、总结

　　信息系统安全需要从多方面加以考虑，特别需要研究整个网络的安全策略，并在安全策略的指导下进行整体的安全建设。这里给出了一个分层安全控制方案，每一层采用多种技术手段进行实现。

　　网络安全问题十分复杂，建立适应的安全策略、采用适应的安全技术、选择适用的软硬件工具，是信息安全的保证。

　　作者简介：

　　沈军：1966年7月出生，副教授，硕士，桂林空军学院教育技术中心，训练模拟、网络工程、曾获多项军队科技进步成果奖，各级学术会议发表论文多篇。

　　李彦希：1974年7月出生，助教，大学本科，桂林空军学院教育技术中心，计算机应用，省(部)级学术会议发表论文多篇。