本文作者：刘晓华1李鸿雁1曹卫东2作者单位：1黄委河南水文水资源局2黄委三门峡库区水文水资源局

防火墙

添加防火墙。防火墙是局域网内部安全的第一道屏障。一个可靠的防火墙能极大限度的提高内部网络的安全性。防火墙可以过滤不安全的服务和限制不安全的用户进入网络，同时可以利用安全策略机制更好的保护内部网络。也可设定网络防火墙访问控制规则，限制网络病毒的扩散和传播。大多数网络蠕虫病毒的传播利用一些常用的端口，例如震荡波利用445端口、冲击波利用135端口等。在病毒传播初期，利用网络防火墙设备，通过访问控制策略拒绝所有企图连接135、445端口的数据包，将病毒阻隔在单位网之外。

IDS(入侵检测系统)

入侵检测系统是一种保护自己免受攻击的网络安全技术，即时监视网络传输，在发现可疑传输时发出警报或者采取主动反应措施。它监测内网数据包，扑捉危险或恶意的动作。它有用户定义的规则运行，对指定的端口进行监测、扫描等，当发现有可疑的用户行为发生时，立即保持跟踪并监测、记录该用户的行为。

网络交换机

今后，在水情中心与各个水情分中心间采用的是以交换机为中心，以路由器为边界的网络格局。在各水情分中心都有一台核心交换机，其关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。还有一项非常关键的工作就是划分VLAN。

PKI公钥安全体系

利用PKI(公钥安全体系)实现对应用系统尤其是数据交换系统和电子政务的安全保护：①数字签名与认证。应用系统须利用CA（认证中心）提供的数字证书进行应用级的身份认证，对文件和数据进行数字签名和认证，保证文件和数据的完整性。②数据加密。对重要的数据进行加密存储。

网络防病毒系统

建立网络病毒网关与网络版的查杀病毒软件（趋势网络防毒墙）相结合，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。从局机关到下属单位，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的企业网病毒防护体系，有效地控制病毒的传播，保证网络的安全稳定。河南水文局使用网络版杀毒软件进行统一防范，因为网络病毒的传播速度极快，往往一经发现就已经大规模爆发，同时其变种也会不断出现，以往的单机杀毒模式已无力应付。而网络版杀毒软件能够帮助网络管理员有效地控制网络病毒。网管员还可以通过使用网络版杀毒软件进行统一管理，定期强制升级客户端病毒库版本，并进行全网的病毒扫描和漏洞扫描。通过对扫描结果的分析，掌握全网病毒分布情况，得到感染病毒或存在漏洞的用户名单，及时进行处理。

网络管理员系统

建立一支由各部门及各水情分中心推荐选拔出的有较高素质的管理员组建成的一支管理员队伍，由水情中心统一组织培训。局域网内部电脑、IP地址及外设均在中心备案，部门管理员负责电脑的安装调试，及日常防病毒软件维护、升级。河南局的网络建设由水情中心统一负责，禁止任何部门和个人私自连接网线；办公自动化系统由中心统一设置权限；任何人不经中心主任授权，不得进入和更改水情交换系统数据库和办公自动化数据库。