入侵檢測（Intrusion Detection）是對入侵行為的發覺，是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實施保護。Dennying于1987年提出了一個通用的入侵檢測模型(如圖2所示)。

?

4 、風險評估技術

風險評估（Vulnerability Assessment）是網絡安全防御中的一項重要技術，運用系統的方法，根據各種網絡安全保護措施、管理機制以及結合所產生的客觀效果，對網絡系統做出是否安全的結論。其原理是根據已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查。目標可以是工作站、服務器、交換機、數據庫應用等各種對象。然后根據掃描結果向系統管理員提供周密可靠的安全性分析報告，為提高網絡安全整體水平產生重要依據。網絡漏洞掃描系統就是這一技術的實現，它包括了網絡模擬攻擊，漏洞檢測，報告服務進程，提取對象信息，以及評測風險，提供安全建議和改進措施等功能，幫助用戶控制可能發生的安全事件，最大可能的消除安全隱患。

風險評估技術基本上也可分為基于主機的和基于網絡的兩種，前者主要關注軟件所在主機上面的風險漏洞，而后者則是通過網絡遠程探測其它主機的安全風險漏洞。然而風險評估只是一種輔助手段，真正的安全防護工作還是依靠防火墻和入侵檢測來完成。

5、虛擬局域網（VLAN）技術

基于ATM 和以太網交換技術發展起來的VLAN 技術, 把傳統的基于廣播的局域網技術發展為面向連接的技術, 從而賦予了網管系統限制虛擬網外的網絡節點與網內的通信, 防止了基于網絡的監聽入侵。例如可以把企業內聯網的數據服務器、電子郵件服務器等單獨劃分為一個VLAN 1, 把企業的外聯網劃分為另一個VLAN 2?？刂芕LAN 1 和VLAN 2 間的單向信息流向: VLAN 1 可以訪問VLAN 2 相關信息;VLAN 2 不能訪問VLAN 1 的信息。這樣就保證了企業內部重要數據不被非法訪問和利用。

6、虛擬專用網VPN（Virtual Private Network）技術

虛擬專用網絡是企業網在因特網等公用網絡上的延伸，通過一個私用的通道來創建一個安全的私有連接。虛擬專用網絡通過安全的數據通道將遠程用戶、公司分支機構、公司的業務合作伙伴等與公司的企業網連接起來，構成一個擴展的公司企業網。VLAN 用來在局域網內實施安全防范技術, 而VPN 則專用于企業內部網與Internet 的安全互聯。VPN 不是一個獨立的物理網絡, 他只是邏輯上的專用網, 屬于公網的一部分, 是在一定的通信協議基礎上,通過Internet 在遠程客戶機與企業內網之間, 建立一條秘密的、多協議的虛擬專線, 所以稱之為虛擬專用網。

除了以上介紹的幾種網絡安全技術之外，還有一些被廣泛應用的安全技術，如身份驗證、存取控制、安全協議等等。網絡信息安全是一個系統的工程，它與網絡系統的復雜度、運行的位置和層次都有很大的關系，因而一個完整的網絡安全體系僅靠單一的技術是難以奏效的。在實際應用中，只有根據實際情況，綜合各種安全技術的優點，才能形成一個由具有分布性的多種安全技術構成的網絡安全系統。

三、構建電力企業網絡安全防范的制度空間

做好網絡信息安全工作，除了采用上述的技術手段外，還必須建立安全管理機制。因為諸多不安全因素恰恰反映在組織管理等方面。良好的管理有助于增強網絡信息的安全性。只有切實提高網絡意識，建立完善的管理制度，才能保證網絡信息的整體安全性。

“三分技術,七分管理”是網絡安全領域的一句至理名言，其原意是：網絡安全中的30%依靠計算機系統信息安全設備和技術保障，而70%則依靠用戶安全管理意識的提高以及管理模式的更新。安全管理是網絡安全中非常重要又常被忽視的一項內容。需要‘管理’到位、‘技術’到位、‘觀念’到位，更需要管理、技術和觀念不斷更新，而且三者要有機地結合起來。

1、完善網絡信息安全的管理機制

（1）網絡與信息安全需要制度化、規范化。網絡和信息安全管理真正納入安全生產管理體系，并能夠得到有效運作，就必須使這項工作制度化、規范化。要在電力企業網絡與信息安全管理工作中融入輸變電設備安全管理的思想，就像管“電網”一樣管理“信息網絡”，制定出相應的管理制度。如建立用戶權限管理制度、口令保密制度、密碼和密鑰管理制度、網絡與信息安全管理制度、病毒防范制度、網絡設備管理流程、設備運行規程、網絡安全防護策略、訪問控制、授權管理等一系列的安全管理制度和規定。管理制度具有嚴肅性、權威性、強制性，管理制度一旦形成，就要嚴格執行。企業應組織有關人員對管理制度進行學習，保證制度的落實。

(2)明確網絡與信息安全保證體系中的四個關鍵系統，即安全決策指揮系統、安全管理技術系統、安全管理制度系統和安全教育培訓系統，實行企業行政正職負責制，明確主管領導職權、部門職責和用戶責任。按照統一領導和分級管理的原則，明確安全管理部門是企業安全生產監督部門，行使網絡與信息安全監督職能以及安全監督人員職責。

（3）應用“統一的策略管理”思想實現網絡信息安全的管理目標?！敖y一”，就是要提高各項安全技術和措施的協同作戰能力；策略，就是為發布、管理和保護信息資源而制定的一組規程、制度和措施的綜合，企業內所有員工都必須遵守的規則。電力企業應從以下三個方面，規定各部門和用戶要遵守的規范及應負的責任，使得網絡與信息安全管理有一套可切實執行的依據。

A、用戶的統一管理：實現員工檔案、訪問資源的權限的統一管理。

?B、資源的統一配置管理：文件系統、網絡設備（防火墻、認證系統、入侵檢測、漏洞掃描），Intranet、Internet網絡資源的統一配置管理。

C、管理策略的一致性：防火墻規則的制定、Internet訪問控制的管理，內部信息資源的管理應體現一致性。只有管理政策一致，才能避免出現遺漏。

2、強化企業內部人員安全培訓

?信息安全培訓是實施信息安全的基礎，根據中國國家信息安全測評認證中心提供的調查結果顯示，現實的威脅主要為信息泄露和內部人員犯罪，而非病毒和外來黑客引起。據公安部最新統計，70％的泄密犯罪來自于內部；計算機應用單位80％未設立相應的安全管理；58％無嚴格的管理制度。

?要實現“企業安全”就必須對企業內部人員進行安全培訓，從而強化從高層到基礎員工的安全意識，最終提升企業網絡信息安全的“機率”。

?安全培訓計劃可階段性地進行，根據企業性質與人員的職責、業務不同，可以將安全培訓分成三個不同的層次，即初級、中級和高級。初級培訓的對象包括所有員工，培訓的內容主要角色與責任、政策與程序；旨在強化所有員工的安全意識與責任；第二層次為中級培訓，對象包括高層領導、（非）技術管理人員、系統所有者、合同管理者、人力資源管理者與法律人員。教育及培訓的內容包括安全核心知識、風險管理、資源需求與合同需求等，旨在強化人員的安全能力與安全意識。第三層次為高級安全培訓，對象包括信息安全人員、系統管理人員，內容主要包括操作/應用系統、協議、安全工具、技術控制、風險評估、安全計劃和認證與評估，旨在提高企業的整體安全管理。

綜合上述幾方面的論述，企業必須充分重視和了解網絡信息系統的安全威脅所在，制定保障網絡安全的應對措施，落實嚴格的安全管理制度，才能使網絡信息得以安全運行。由于網絡信息安全的多樣性和互連性，單一的信息技術往往解決不了信息安全問題，必須綜合運用各種高科技手段和信息安全技術、采用多級安全措施才能保證整個信息體系的安全。要做到全面的網絡安全，需要綜合考慮各個方面，包括系統自身的硬件和軟件安全，也包括完善的網絡管理制度以及先進的網絡安全技術等。

1、孟洛明,亓峰·《現代網絡管理技術》，北京郵電大學出版社2001

2、Elizabeth D. Zwicky,Simon Cooper,D. Brent Chapman·《構建Internet防火墻（影印版）》，清華大學出版社2003?

3、唐正軍·《入侵檢測技術導論》機械工業出版社2004