电力企业局域网的安全管理示范文本

电力企业局域网的安全管

理示范文本

In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each

Link To Achieve Risk Control And Planning

某某管理中心

XX年XX月

电力企业局域网的安全管理示范文本使用指引：此管理制度资料应用在实际工作生产管理中为了保障过程顺利推进，同时考虑各个环节之间的关系，每个环节实现的具体要求而进行的风险控制与规划，并将危害降低到最小，文档经过下载可进行自定义修改，请根据实际需求进行调整与使用。

摘要：文章分析了局域网的安全管理所涉及的问题，

并根据自己的经验提出了相应的解决方法。

关键字：系统、防火墙、INTERNET、信息安全、数据

库、病毒

随着计算机信息技术的发展，网络已成为我们生活的

重要组成部分。但网络在应用过程中也会带来许多问题，

由于频繁使用互联网，病毒的传播日益猖獗，黑客的攻击

也越来越多，给局域网数据的管理、网络的安全带来很多

问题，笔者从事局域网的管理工作多年，结合自己的工作

实际，提出一些关于局域网的安全管理方面的经验与教

训，供大家借鉴。

我们单位的局域网综合了公司生产管理、经营管理、

物资管理、安全管理、生产日报、月报等各方面的许多信息，并且这些信息都是每天靠相关专业人员写进数据库的，因此在使用中出现了许多问题，但通过我们的努力工作，网络运行状况一直良好。经验告诉我们：要管好局域网，必须由局域网用户和管理员共同来努力。

一.网络管理员应作到的安全措施

1.加强服务器主机的独立性

局域网中,通常有一台以上的主服务器,提供所有计算机的连结并控制.这台计算机就是黑客攻击的主要目标.因此,企业内部应对服务器主机的安全性加强控制,尽可能将其独立,不要将重要资料放置此处,将重要资料独立放在内部机器上,这样可保证资料的安全性、完整性。

2.网络分段

把网络上相互间没有直接关系的系统分布在不同的网段，由于各网段

间不能直接互访，从而减少各系统被正面攻击的机会。以前，网段分离是

物理概念，组网单位要为各网段单独购置集线器等网络设备。现在有了虚

拟网技术，网段分离成为逻辑概念，网络管理员可以在网络控制台上对网

段做任意划分。

网络分段可分为物理分段和逻辑分段两种方式：

物理分段通常是指将网络从物理层和数据链路层（ISO/OSI）模型中的第一层和第二层）上分为若干网段，各网段相互之间无法进行直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。

逻辑分段则是指将整个系统在网络层（ISO/OSI模型中的第三层）上进行分段。例如，对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交

换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。

3.防火墙技术

如果网络在没有防火墙的环境中，网络安全性完全依赖主系统的安全性。在一定意义上，所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同的安全性水平上的可管理能力就越小，随着安全性的失策和失误越来越普遍，入侵就时有发生。防火墙有助于提高主系统总体安全性。防火墙的基本思想——不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏障，它可以实施比较广泛的

安全政策来控制信息流，防止不可预料的潜在的入侵破坏。防火墙系统可以是路由器，也可以是个人机、主系统或者是一批主系统，专门用于把网点或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息，以便实施系统的访问安全决策控制。防火墙的技术已经经历了三个阶段，即包过滤技术、代理技术和状态监视技术。

防火墙是一种用来阻止外面的未经授权的用户的非法访问你的网络下的设备的工具，它通常是软件和硬件的结合体。

为了更好地理解防火墙的工作原理，我们就使用以前提到过的例子来说明.首先，大多数网络身份验证除了用户帐号和口令之外的，就是IP地址，IP地址是INTERNET网络上最普遍的身份索引，它有动态和静态两种。

（1）动态IP地址指每次强制分配给不同上网机器的主机的地址。ISP提供的拨号服务通常是分配动态IP地址，一个拨号计算机通常每次拨号都有一个不同的IP但是总有一个范围。

（2）静态IP地址是固定不变的地址，它可以是某台连入Internet的主机地址，静态IP分几类，一类是whois 可以查询到的，并且此类IP地址主要是Internet中最高层主机的地址，这些主机可以是域名服务器，httpd服务器（Web Server)、邮件服务器、BBS主机或者网络棋类游戏服务器。另一类静态IP地址被分配给Internet网络中的第二层和第三层的主机，这些机器有固定的物理地址。然而他们不一定有注册的主机名。

4.使用企业级杀毒软件

在网络病毒日益猖獗的今天，不管人们多么小心翼翼，仍然会难免碰翻病毒这个“潘多拉”盒子。在这时

候，选择一个功力高深的网络版病毒“杀手”就至关重要了。一般而言，查杀是否彻底细致，界面是否友好方便，能否实现远程控制、集中管理是决定一个“杀手”的三大要素。现在病毒日益猖獗，日常需要写入服务器的单机的安全也特别重要，我建议购买企业版杀毒软件，并控制写入服务器的客户端，网管可以随时杀毒，保证写入数据的安全性，服务器的安全性。

最好选择从事反病毒行业历史比较悠久，在市场上有较高知名度企业研发的产品，千万不能贪便宜选择不知名厂商生产的廉价产品，不仅产品质量、售后服务得不到保证，而且一旦造成损失，将会得不偿失。

5.防止黑客攻击

随着宽带网络的普及，个人服务器、家庭局域网如雨后春笋般出现在小区局域网和校园网中，他们根据自己的喜好开设的各种各样的共享服务，为广大网虫们提供了丰