论文部分内容阅读
摘要: 主要阐述邯钢西区炼钢厂一级,二级,三级的网络情况,提出钢铁企业并结合炼钢厂生产网络来说明亟待解决的问题和解决办法。
关键词: 网络结构;生产网;防病毒
中图分类号:TP311 文献标识码:A 文章编号:1671-7597(2012)1020039-02
1 邯宝公司网络及网络安全系统总体架构
邯宝公司主干网络系统规划根据业务和功能划分共分为四大区域:外部接入区、管理网区域、生产网区域、L2/L3互联专网区域。管理网区域与生产主干网区域之间通过防火墙隔离,生产主干网区域与L2/L3互联专用网区域通过数据交换平台XMB隔离。
1)管理网区域:综合楼中心机房节点设置为管理网区域的核心节点。管理网区域的主要功能是为非生产功能区域的企业管理职能信息系统的联网及作为邯宝信息安全缓冲区域。通过相应的网络及安全系统,允许管理网区域用户访问Internet、邯钢集团、及生产主干网的指定资源。
2)生产主干网区域:生产主干网以综合楼中心机房为核心覆盖厂区内所有的产线、各个部门、车间的生产区域,为这些区域的生产用户终端提供可靠的网络接入。生产主干网按三层架构分为核心层、分布层、接入层。
3)L2/L3互联专用网区域:L2系统对实时性和稳定性的要求非常高,同时对L2系统的安全防护尤其需要重视。L2/L3互联专用网络系统通过数据交换平台XMB实现与生产主干网络物理隔离,专门为L2过程控制机提供可靠的网络接入,实现与整体产销管理系统等相关应用系统的通信。
2 生产用在线计算机控制网络的防病毒问题的实际情况
邯宝公司网络业务应用系统主要的互联网出口只有一个,一、二级内部业务应用系统服务器与互联网之间没有直接连接,为独立网络;但三、四级工作站可通过使用代理服务器访问互联网,同时三、四级工作站同时有可以访问一、二级服务器,这可能导致入侵者通过代理服务器从互联网入侵到内部网络里,实施各种恶意行为。
邯宝公司炼钢厂网络安全保障体系处于初步建设阶段,缺乏安全防护措施及深度防御策略,相关设备如IDS、审计系统、流量管理设备、漏洞扫描系统均在计划中。
目前,邯宝公司炼钢厂网络缺乏统一、有效的备份系统,没有统一的网络防病毒防护及监控系统,核心服务器具备双机热备,但没有实施异地容错容灾,缺乏对整体网络的监控、管理平台,缺乏对网络数据流的实时监控、控制能力。
3 生产用在线计算机控制网络的特点
3.1 网络结构简单
生产用在线计算机网络拓扑结构比较简单,是一个单独的网络。所有计算机的ip地址都在一个网段中,也就是在一个广播域中,任意一台计算机出现问题都会影响到整个网络,如病毒可以在整个传播。
3.2 该网络不可控制
生产用在线计算机网络设备一般采用工业以太网交换机,是一种高可可靠性的工业级的网络设备,同时也是一种可以管理的交换机,但在实际应用中,交换机的管理功能没有使用,在整个网络中的网络设备的状态都是不可控制管理的,这是一种很不可靠的事情。不出现问题则以,出现问题时网络设备的状态没有办法查询。
3.3 系统缺乏加固
生产计算机用户口令较弱,并且口令没有定期更换。用户权限分配不当且缺乏登陆策略。
3.4 没有日常的巡检维护机制
生产用在线计算机与生产的密切相关性,除非出现故障,基本不停机,时刻有人在使用。需要提前发现问题,防患于未然。
4 解决问题的思路
4.1 系统建设目标
针对调研情况和目前系统内部计算机病毒泛滥的严峻现实,可确定防病毒系统建设的首要目标是建立起基于网络的防病毒系统,查杀围剿网络中现存的计算机病毒,恢复现有系统运行的正常秩序。在网络中部署一台防病毒系统服务器,安装网络防病毒系统;在全网计算机中部署统一的防病毒客户端软件,升级到最新的病毒库,开启实时扫描功能;由服务器发起,在全部计算机执行同一时间开始的全面病毒查杀;由服务器端检查病毒查杀情况,对个别不能清除的使用专杀工具清除。
4.2 技术方案
在服务器上安装趋势officescan7.3防病毒系统网络版,升级病毒引擎、病毒库、TSC等程序到最新版本;以软件安装包和在线安装两种方式实施客户端部署;病毒库的升级采用半自动方式:定期从趋势网站下载最新的病毒库更新软件TSUT,该软件包含全部升级和增量升级两种方式;由专人使用专用的移动存储复制到服务器上;然后在服务器端运行该软件,自动完成病毒库升级;由服务器端自动向下面的客户端部署,实现自动更新。病毒扫描方式可采用客户端实时扫描加服务器发起定期统一全网查杀两种方式;对防病毒系统的管理采用管理员以WEB方式访问服务器的方式。
控制病毒传播的途径:病毒的传播途径有很多种如:网络传播、移动存储设备等。生产用在线计算机控制网络是一个相对独立的网络,这个网络和连接在这个网络上的计算机是不会产生病毒的,病毒只能来源于网络的外部。针对控制网络的出口做严格的限制,可以有效的控制病毒的网络传播途径。对生产用计算机做策略,控制生产用计算机只能运行生产程序,其他程序不能运行,其他移动存储设备只能计算机维护人员可以使用,可以减少移动存储设备传播病毒的机率。
增强控制网络的可控可管性:控制网络的网络设备可以管理的网络设备,尽量应用网络设备的管理功能,可以掌握网络设备的状态和网络的运行状态。可控可管的网络,在日常的维护管理过程中,能够提前发现异常现象,如流量的异常增加,网络的间断问题,早发现,早分析,早解决。应指定专人负责系统管理、病毒查杀、日常检查、补丁更新等工作; 由于双网卡主机的存在,使“隔离网络”名不副实。可采用防火墙或者防病毒网关,以访问控制、病毒网关查杀等方式,既可实现病毒库全自动部署,又能实现网络“逻辑隔离”;主干网防病毒能力目前受到限制,只能采取前述的手工下载病毒升级包的方式,可考虑升级主干网防病毒能力,使本地防病毒服务器能够接受上层主干网防病毒系统的管理。通过对网络设备的管理,尽量对生产用在线计算机的数据流向进行整理控制,尽量减小网络广播的范围,尽量做到需要访问的就可以访问到,不需要访问的应该被禁止。
加强生产用计算机的安全性:打全补丁,使用强口令,停止不需要的服务,禁止U盘移动硬盘自动播放,给予远程用户执行日常任务所必需的最低等级的访问许可权。同时可以考虑通过策略,最计算机的功能进行限制。建立控制网络和生产用在线计算机的日常巡检制度,如周,月的巡检范围,巡检人员,巡检情况等。
5 进度要求
针对我厂网络实际情况,为保证生产用在线计算机的稳定顺行。成立网络小组当问题出现时及时处理解决问题:
5.1 前期调研整理数据
对控制网络的岗位、生产用计算机、网络情况进行数据统计,重点为网络结构、网络设备。
5.2 对在线计算机安全性进行加强
在前期调研的情况下,与相关人员讨论研究,制定方案,在生产间隙对计算机安全性进行加强。
5.3 对网络设备的管理功能的实现
针对网络设备、与相关技术人员沟通,至少做到网络设备本地可管理。
5.4 对网络进行优化
在实现网络可管理的基础上对网络进行优化,主要针对网络的数据流向进行整理。
参考文献:
[1]许健,计算机网络安全及防范技术探析[J].现代商贸工业,2011(03):271.
[2]陈晓岚,论计算机网络安全[J].电脑知识与技术,2011(06):1256-1257.
[3]崔乃迪,局域网内安全漏洞及其防护措施[J].企业导报,2011(03):290.
关键词: 网络结构;生产网;防病毒
中图分类号:TP311 文献标识码:A 文章编号:1671-7597(2012)1020039-02
1 邯宝公司网络及网络安全系统总体架构
邯宝公司主干网络系统规划根据业务和功能划分共分为四大区域:外部接入区、管理网区域、生产网区域、L2/L3互联专网区域。管理网区域与生产主干网区域之间通过防火墙隔离,生产主干网区域与L2/L3互联专用网区域通过数据交换平台XMB隔离。
1)管理网区域:综合楼中心机房节点设置为管理网区域的核心节点。管理网区域的主要功能是为非生产功能区域的企业管理职能信息系统的联网及作为邯宝信息安全缓冲区域。通过相应的网络及安全系统,允许管理网区域用户访问Internet、邯钢集团、及生产主干网的指定资源。
2)生产主干网区域:生产主干网以综合楼中心机房为核心覆盖厂区内所有的产线、各个部门、车间的生产区域,为这些区域的生产用户终端提供可靠的网络接入。生产主干网按三层架构分为核心层、分布层、接入层。
3)L2/L3互联专用网区域:L2系统对实时性和稳定性的要求非常高,同时对L2系统的安全防护尤其需要重视。L2/L3互联专用网络系统通过数据交换平台XMB实现与生产主干网络物理隔离,专门为L2过程控制机提供可靠的网络接入,实现与整体产销管理系统等相关应用系统的通信。
2 生产用在线计算机控制网络的防病毒问题的实际情况
邯宝公司网络业务应用系统主要的互联网出口只有一个,一、二级内部业务应用系统服务器与互联网之间没有直接连接,为独立网络;但三、四级工作站可通过使用代理服务器访问互联网,同时三、四级工作站同时有可以访问一、二级服务器,这可能导致入侵者通过代理服务器从互联网入侵到内部网络里,实施各种恶意行为。
邯宝公司炼钢厂网络安全保障体系处于初步建设阶段,缺乏安全防护措施及深度防御策略,相关设备如IDS、审计系统、流量管理设备、漏洞扫描系统均在计划中。
目前,邯宝公司炼钢厂网络缺乏统一、有效的备份系统,没有统一的网络防病毒防护及监控系统,核心服务器具备双机热备,但没有实施异地容错容灾,缺乏对整体网络的监控、管理平台,缺乏对网络数据流的实时监控、控制能力。
3 生产用在线计算机控制网络的特点
3.1 网络结构简单
生产用在线计算机网络拓扑结构比较简单,是一个单独的网络。所有计算机的ip地址都在一个网段中,也就是在一个广播域中,任意一台计算机出现问题都会影响到整个网络,如病毒可以在整个传播。
3.2 该网络不可控制
生产用在线计算机网络设备一般采用工业以太网交换机,是一种高可可靠性的工业级的网络设备,同时也是一种可以管理的交换机,但在实际应用中,交换机的管理功能没有使用,在整个网络中的网络设备的状态都是不可控制管理的,这是一种很不可靠的事情。不出现问题则以,出现问题时网络设备的状态没有办法查询。
3.3 系统缺乏加固
生产计算机用户口令较弱,并且口令没有定期更换。用户权限分配不当且缺乏登陆策略。
3.4 没有日常的巡检维护机制
生产用在线计算机与生产的密切相关性,除非出现故障,基本不停机,时刻有人在使用。需要提前发现问题,防患于未然。
4 解决问题的思路
4.1 系统建设目标
针对调研情况和目前系统内部计算机病毒泛滥的严峻现实,可确定防病毒系统建设的首要目标是建立起基于网络的防病毒系统,查杀围剿网络中现存的计算机病毒,恢复现有系统运行的正常秩序。在网络中部署一台防病毒系统服务器,安装网络防病毒系统;在全网计算机中部署统一的防病毒客户端软件,升级到最新的病毒库,开启实时扫描功能;由服务器发起,在全部计算机执行同一时间开始的全面病毒查杀;由服务器端检查病毒查杀情况,对个别不能清除的使用专杀工具清除。
4.2 技术方案
在服务器上安装趋势officescan7.3防病毒系统网络版,升级病毒引擎、病毒库、TSC等程序到最新版本;以软件安装包和在线安装两种方式实施客户端部署;病毒库的升级采用半自动方式:定期从趋势网站下载最新的病毒库更新软件TSUT,该软件包含全部升级和增量升级两种方式;由专人使用专用的移动存储复制到服务器上;然后在服务器端运行该软件,自动完成病毒库升级;由服务器端自动向下面的客户端部署,实现自动更新。病毒扫描方式可采用客户端实时扫描加服务器发起定期统一全网查杀两种方式;对防病毒系统的管理采用管理员以WEB方式访问服务器的方式。
控制病毒传播的途径:病毒的传播途径有很多种如:网络传播、移动存储设备等。生产用在线计算机控制网络是一个相对独立的网络,这个网络和连接在这个网络上的计算机是不会产生病毒的,病毒只能来源于网络的外部。针对控制网络的出口做严格的限制,可以有效的控制病毒的网络传播途径。对生产用计算机做策略,控制生产用计算机只能运行生产程序,其他程序不能运行,其他移动存储设备只能计算机维护人员可以使用,可以减少移动存储设备传播病毒的机率。
增强控制网络的可控可管性:控制网络的网络设备可以管理的网络设备,尽量应用网络设备的管理功能,可以掌握网络设备的状态和网络的运行状态。可控可管的网络,在日常的维护管理过程中,能够提前发现异常现象,如流量的异常增加,网络的间断问题,早发现,早分析,早解决。应指定专人负责系统管理、病毒查杀、日常检查、补丁更新等工作; 由于双网卡主机的存在,使“隔离网络”名不副实。可采用防火墙或者防病毒网关,以访问控制、病毒网关查杀等方式,既可实现病毒库全自动部署,又能实现网络“逻辑隔离”;主干网防病毒能力目前受到限制,只能采取前述的手工下载病毒升级包的方式,可考虑升级主干网防病毒能力,使本地防病毒服务器能够接受上层主干网防病毒系统的管理。通过对网络设备的管理,尽量对生产用在线计算机的数据流向进行整理控制,尽量减小网络广播的范围,尽量做到需要访问的就可以访问到,不需要访问的应该被禁止。
加强生产用计算机的安全性:打全补丁,使用强口令,停止不需要的服务,禁止U盘移动硬盘自动播放,给予远程用户执行日常任务所必需的最低等级的访问许可权。同时可以考虑通过策略,最计算机的功能进行限制。建立控制网络和生产用在线计算机的日常巡检制度,如周,月的巡检范围,巡检人员,巡检情况等。
5 进度要求
针对我厂网络实际情况,为保证生产用在线计算机的稳定顺行。成立网络小组当问题出现时及时处理解决问题:
5.1 前期调研整理数据
对控制网络的岗位、生产用计算机、网络情况进行数据统计,重点为网络结构、网络设备。
5.2 对在线计算机安全性进行加强
在前期调研的情况下,与相关人员讨论研究,制定方案,在生产间隙对计算机安全性进行加强。
5.3 对网络设备的管理功能的实现
针对网络设备、与相关技术人员沟通,至少做到网络设备本地可管理。
5.4 对网络进行优化
在实现网络可管理的基础上对网络进行优化,主要针对网络的数据流向进行整理。
参考文献:
[1]许健,计算机网络安全及防范技术探析[J].现代商贸工业,2011(03):271.
[2]陈晓岚,论计算机网络安全[J].电脑知识与技术,2011(06):1256-1257.
[3]崔乃迪,局域网内安全漏洞及其防护措施[J].企业导报,2011(03):290.