入侵檢測（Intrusion Detection）是對入侵行為的發(fā)覺，是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)施保護(hù)。Dennying于1987年提出了一個通用的入侵檢測模型(如圖2所示)。

?

4 、風(fēng)險評估技術(shù)

風(fēng)險評估（Vulnerability Assessment）是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，運(yùn)用系統(tǒng)的方法，根據(jù)各種網(wǎng)絡(luò)安全保護(hù)措施、管理機(jī)制以及結(jié)合所產(chǎn)生的客觀效果，對網(wǎng)絡(luò)系統(tǒng)做出是否安全的結(jié)論。其原理是根據(jù)已知的安全漏洞知識庫，對目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用等各種對象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。網(wǎng)絡(luò)漏洞掃描系統(tǒng)就是這一技術(shù)的實(shí)現(xiàn)，它包括了網(wǎng)絡(luò)模擬攻擊，漏洞檢測，報告服務(wù)進(jìn)程，提取對象信息，以及評測風(fēng)險，提供安全建議和改進(jìn)措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。

風(fēng)險評估技術(shù)基本上也可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機(jī)上面的風(fēng)險漏洞，而后者則是通過網(wǎng)絡(luò)遠(yuǎn)程探測其它主機(jī)的安全風(fēng)險漏洞。然而風(fēng)險評估只是一種輔助手段，真正的安全防護(hù)工作還是依靠防火墻和入侵檢測來完成。

5、虛擬局域網(wǎng)（VLAN）技術(shù)

基于ATM 和以太網(wǎng)交換技術(shù)發(fā)展起來的VLAN 技術(shù), 把傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù), 從而賦予了網(wǎng)管系統(tǒng)限制虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)與網(wǎng)內(nèi)的通信, 防止了基于網(wǎng)絡(luò)的監(jiān)聽入侵。例如可以把企業(yè)內(nèi)聯(lián)網(wǎng)的數(shù)據(jù)服務(wù)器、電子郵件服務(wù)器等單獨(dú)劃分為一個VLAN 1, 把企業(yè)的外聯(lián)網(wǎng)劃分為另一個VLAN 2?？刂芕LAN 1 和VLAN 2 間的單向信息流向: VLAN 1 可以訪問VLAN 2 相關(guān)信息;VLAN 2 不能訪問VLAN 1 的信息。這樣就保證了企業(yè)內(nèi)部重要數(shù)據(jù)不被非法訪問和利用。

6、虛擬專用網(wǎng)VPN（Virtual Private Network）技術(shù)

虛擬專用網(wǎng)絡(luò)是企業(yè)網(wǎng)在因特網(wǎng)等公用網(wǎng)絡(luò)上的延伸，通過一個私用的通道來創(chuàng)建一個安全的私有連接。虛擬專用網(wǎng)絡(luò)通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)合作伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)。VLAN 用來在局域網(wǎng)內(nèi)實(shí)施安全防范技術(shù), 而VPN 則專用于企業(yè)內(nèi)部網(wǎng)與Internet 的安全互聯(lián)。VPN 不是一個獨(dú)立的物理網(wǎng)絡(luò), 他只是邏輯上的專用網(wǎng), 屬于公網(wǎng)的一部分, 是在一定的通信協(xié)議基礎(chǔ)上,通過Internet 在遠(yuǎn)程客戶機(jī)與企業(yè)內(nèi)網(wǎng)之間, 建立一條秘密的、多協(xié)議的虛擬專線, 所以稱之為虛擬專用網(wǎng)。

除了以上介紹的幾種網(wǎng)絡(luò)安全技術(shù)之外，還有一些被廣泛應(yīng)用的安全技術(shù)，如身份驗(yàn)證、存取控制、安全協(xié)議等等。網(wǎng)絡(luò)信息安全是一個系統(tǒng)的工程，它與網(wǎng)絡(luò)系統(tǒng)的復(fù)雜度、運(yùn)行的位置和層次都有很大的關(guān)系，因而一個完整的網(wǎng)絡(luò)安全體系僅靠單一的技術(shù)是難以奏效的。在實(shí)際應(yīng)用中，只有根據(jù)實(shí)際情況，綜合各種安全技術(shù)的優(yōu)點(diǎn)，才能形成一個由具有分布性的多種安全技術(shù)構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng)。

三、構(gòu)建電力企業(yè)網(wǎng)絡(luò)安全防范的制度空間

做好網(wǎng)絡(luò)信息安全工作，除了采用上述的技術(shù)手段外，還必須建立安全管理機(jī)制。因?yàn)橹T多不安全因素恰恰反映在組織管理等方面。良好的管理有助于增強(qiáng)網(wǎng)絡(luò)信息的安全性。只有切實(shí)提高網(wǎng)絡(luò)意識，建立完善的管理制度，才能保證網(wǎng)絡(luò)信息的整體安全性。

“三分技術(shù),七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言，其原意是：網(wǎng)絡(luò)安全中的30%依靠計(jì)算機(jī)系統(tǒng)信息安全設(shè)備和技術(shù)保障，而70%則依靠用戶安全管理意識的提高以及管理模式的更新。安全管理是網(wǎng)絡(luò)安全中非常重要又常被忽視的一項(xiàng)內(nèi)容。需要‘管理’到位、‘技術(shù)’到位、‘觀念’到位，更需要管理、技術(shù)和觀念不斷更新，而且三者要有機(jī)地結(jié)合起來。

1、完善網(wǎng)絡(luò)信息安全的管理機(jī)制

（1）網(wǎng)絡(luò)與信息安全需要制度化、規(guī)范化。網(wǎng)絡(luò)和信息安全管理真正納入安全生產(chǎn)管理體系，并能夠得到有效運(yùn)作，就必須使這項(xiàng)工作制度化、規(guī)范化。要在電力企業(yè)網(wǎng)絡(luò)與信息安全管理工作中融入輸變電設(shè)備安全管理的思想，就像管“電網(wǎng)”一樣管理“信息網(wǎng)絡(luò)”，制定出相應(yīng)的管理制度。如建立用戶權(quán)限管理制度、口令保密制度、密碼和密鑰管理制度、網(wǎng)絡(luò)與信息安全管理制度、病毒防范制度、網(wǎng)絡(luò)設(shè)備管理流程、設(shè)備運(yùn)行規(guī)程、網(wǎng)絡(luò)安全防護(hù)策略、訪問控制、授權(quán)管理等一系列的安全管理制度和規(guī)定。管理制度具有嚴(yán)肅性、權(quán)威性、強(qiáng)制性，管理制度一旦形成，就要嚴(yán)格執(zhí)行。企業(yè)應(yīng)組織有關(guān)人員對管理制度進(jìn)行學(xué)習(xí)，保證制度的落實(shí)。

(2)明確網(wǎng)絡(luò)與信息安全保證體系中的四個關(guān)鍵系統(tǒng)，即安全決策指揮系統(tǒng)、安全管理技術(shù)系統(tǒng)、安全管理制度系統(tǒng)和安全教育培訓(xùn)系統(tǒng)，實(shí)行企業(yè)行政正職負(fù)責(zé)制，明確主管領(lǐng)導(dǎo)職權(quán)、部門職責(zé)和用戶責(zé)任。按照統(tǒng)一領(lǐng)導(dǎo)和分級管理的原則，明確安全管理部門是企業(yè)安全生產(chǎn)監(jiān)督部門，行使網(wǎng)絡(luò)與信息安全監(jiān)督職能以及安全監(jiān)督人員職責(zé)。

（3）應(yīng)用“統(tǒng)一的策略管理”思想實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的管理目標(biāo)。“統(tǒng)一”，就是要提高各項(xiàng)安全技術(shù)和措施的協(xié)同作戰(zhàn)能力；策略，就是為發(fā)布、管理和保護(hù)信息資源而制定的一組規(guī)程、制度和措施的綜合，企業(yè)內(nèi)所有員工都必須遵守的規(guī)則。電力企業(yè)應(yīng)從以下三個方面，規(guī)定各部門和用戶要遵守的規(guī)范及應(yīng)負(fù)的責(zé)任，使得網(wǎng)絡(luò)與信息安全管理有一套可切實(shí)執(zhí)行的依據(jù)。

A、用戶的統(tǒng)一管理：實(shí)現(xiàn)員工檔案、訪問資源的權(quán)限的統(tǒng)一管理。

?B、資源的統(tǒng)一配置管理：文件系統(tǒng)、網(wǎng)絡(luò)設(shè)備（防火墻、認(rèn)證系統(tǒng)、入侵檢測、漏洞掃描），Intranet、Internet網(wǎng)絡(luò)資源的統(tǒng)一配置管理。

C、管理策略的一致性：防火墻規(guī)則的制定、Internet訪問控制的管理，內(nèi)部信息資源的管理應(yīng)體現(xiàn)一致性。只有管理政策一致，才能避免出現(xiàn)遺漏。

2、強(qiáng)化企業(yè)內(nèi)部人員安全培訓(xùn)

?信息安全培訓(xùn)是實(shí)施信息安全的基礎(chǔ)，根據(jù)中國國家信息安全測評認(rèn)證中心提供的調(diào)查結(jié)果顯示，現(xiàn)實(shí)的威脅主要為信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客引起。據(jù)公安部最新統(tǒng)計(jì)，70％的泄密犯罪來自于內(nèi)部；計(jì)算機(jī)應(yīng)用單位80％未設(shè)立相應(yīng)的安全管理；58％無嚴(yán)格的管理制度。

?要實(shí)現(xiàn)“企業(yè)安全”就必須對企業(yè)內(nèi)部人員進(jìn)行安全培訓(xùn)，從而強(qiáng)化從高層到基礎(chǔ)員工的安全意識，最終提升企業(yè)網(wǎng)絡(luò)信息安全的“機(jī)率”。

?安全培訓(xùn)計(jì)劃可階段性地進(jìn)行，根據(jù)企業(yè)性質(zhì)與人員的職責(zé)、業(yè)務(wù)不同，可以將安全培訓(xùn)分成三個不同的層次，即初級、中級和高級。初級培訓(xùn)的對象包括所有員工，培訓(xùn)的內(nèi)容主要角色與責(zé)任、政策與程序；旨在強(qiáng)化所有員工的安全意識與責(zé)任；第二層次為中級培訓(xùn)，對象包括高層領(lǐng)導(dǎo)、（非）技術(shù)管理人員、系統(tǒng)所有者、合同管理者、人力資源管理者與法律人員。教育及培訓(xùn)的內(nèi)容包括安全核心知識、風(fēng)險管理、資源需求與合同需求等，旨在強(qiáng)化人員的安全能力與安全意識。第三層次為高級安全培訓(xùn)，對象包括信息安全人員、系統(tǒng)管理人員，內(nèi)容主要包括操作/應(yīng)用系統(tǒng)、協(xié)議、安全工具、技術(shù)控制、風(fēng)險評估、安全計(jì)劃和認(rèn)證與評估，旨在提高企業(yè)的整體安全管理。

綜合上述幾方面的論述，企業(yè)必須充分重視和了解網(wǎng)絡(luò)信息系統(tǒng)的安全威脅所在，制定保障網(wǎng)絡(luò)安全的應(yīng)對措施，落實(shí)嚴(yán)格的安全管理制度，才能使網(wǎng)絡(luò)信息得以安全運(yùn)行。由于網(wǎng)絡(luò)信息安全的多樣性和互連性，單一的信息技術(shù)往往解決不了信息安全問題，必須綜合運(yùn)用各種高科技手段和信息安全技術(shù)、采用多級安全措施才能保證整個信息體系的安全。要做到全面的網(wǎng)絡(luò)安全，需要綜合考慮各個方面，包括系統(tǒng)自身的硬件和軟件安全，也包括完善的網(wǎng)絡(luò)管理制度以及先進(jìn)的網(wǎng)絡(luò)安全技術(shù)等。

1、孟洛明,亓峰·《現(xiàn)代網(wǎng)絡(luò)管理技術(shù)》，北京郵電大學(xué)出版社2001

2、Elizabeth D. Zwicky,Simon Cooper,D. Brent Chapman·《構(gòu)建Internet防火墻（影印版）》，清華大學(xué)出版社2003?

3、唐正軍·《入侵檢測技術(shù)導(dǎo)論》機(jī)械工業(yè)出版社2004