2016 年（第五届）电力安全与信息技术研讨会 354 使用者必须采取相应的网络安全技术来堵塞安全漏 洞和提供安全的通信服务。如今，快速发展的网络 安全技术能从不同角度来保证网络信息不受侵犯， 网络安全的基本技术包括防火墙技术、访问控制技 术、身份验证技术、入侵检测和入侵保护、防病毒 技术等。 1防火墙 防火墙技术是设置在被保护网络和外界之间的 一道屏障，是通过计算机硬件和软件的组合来建立 起一个安全网关，从而保护内部网络免受非法用户 的入侵，它可以通过监控、限制，更改跨越防火墙 的数据流，来实现对内外网络或者内部网络的不同 信任域之间进行隔离。最简单的防火墙是一种传统 的访问控制技术，网络上的数据都是以“包”为单 位进行传输的,数据被分割成为一定大小的数据包, 每一个数据包中都会包含一些特定信息,如数据的 源地址、目标地址、源端口和目标端口等。防火墙 通过读取数据包中的地址信息来判断这些“包”是 否来自可信任的安全站点,一旦发现来自危险站点 的数据包,防火墙便会将这些数据拒之门外，由此保 证网络系统的安全。 2入侵检测和入侵保护 入侵检测系统（IDS）通过对计算机网络或计算 机系统中的若干关键点收集信息并进行分析，从中 发现网络或系统中是否有违反安全策略的行为和被 攻击的迹象，将网络上传输的数据实时捕获下来， 检查是否有黑客入侵或可疑活动的发生。一旦发现 有黑客入侵或可疑活动的发生，系统将做出实时报 警响应。入侵检测系统可以弥补防火墙的不足，为 网络安全提供实时的入侵检测并采取相应的防护手 段，如记录证据、跟踪入侵、恢复或断开网络连接 等。进行入侵检测的软件与硬件的组合便是入侵检 测系统。 入侵防御系统（IPS）位于防火强和网络设备之 间。如果检测到攻击。IPS 会在这种攻击扩散到网络 其他地方之前阻止这个恶意通信。IPS 提供一种主 动、实时的防护，其设计意在对网络流量中的恶意 数据包进行检测，阻止入侵活动，预先对攻击的流 量进行自动拦截。 3访问控制技术 访问控制（Access Control）指对主体访问的 客体的权限或能力的限制以及限制进入物理区域和 限制使用计算机系统和计算机存储数据的过程访问 控制的基本原理是检查用户的标识及口令， 。按用户 及其所归属的某项定义组来限制用户对某些信息项 的访问，或限制对某些控制功能的使用的一种技术， 只有被授权的用户才能访问网络和特定的资源。访 问控制通常用于系统管理员控制用户对服务器、目 录、文件等网络资源的访问。 4网络加密技术 网络加密技术是网络安全最有效的技术之一。 网络信息加密的目的是保护网内的数据、文件、口 令和控制信息，保护网上传输的数据。网络加密常 用的方法有链路加密，端点加密和节点加密三种。 链路加密的目的是保护网络节点之间的链路信息安 全；端点加密的目的是对源端用户到目的端用户的 数据提供加密保护；节点加密的目的是对源节点到 目的节点之间的传输链路提供加密保护。用户可根 据网络情况选择上述三种加密方式。信息加密过程 是由形形色色的加密算法来具体实施的，它以很小 的代价提供很牢靠的安全保护。 5虚拟专网 虚拟专网（VPN）技术是专用网络的延伸，数据 通过安全的“加密管道”在公共网络中传播。VPN 技 术的核心是隧道技术，将专用网络的数据加密后， 透过虚拟的公用网络隧道进行传输，建立一个虚拟 通道，让两者感觉是在同一个网络上，可以安全且 不受拘束地互相存取，从而防止敏感数据被窃。VPN 的实现技术和方式有很多。如在非面向连接的公用 IP 网络上建立一个隧道，利用加密技术对经过隧道 传输的数据进行加密，没有加密密匙在公共网络上 截取的数据包是非法破译的，以此保证数据的私有 性和安全性。 6网络安全隔离