生產(chǎn)用在線計(jì)算機(jī)控制網(wǎng)絡(luò)防病毒技術(shù)方案

1、生產(chǎn)用在線計(jì)算機(jī)控制網(wǎng)絡(luò)防病毒技術(shù)方摘要： 主要闡述邯鋼西區(qū)煉鋼廠一級(jí)，二級(jí)，三級(jí)的網(wǎng) 絡(luò)情況，提出鋼鐵企業(yè)并結(jié)合煉鋼廠生產(chǎn)網(wǎng)絡(luò)來說明亟待解 決的問題和解決辦法。關(guān)鍵詞：網(wǎng)絡(luò)結(jié)構(gòu)；生產(chǎn)網(wǎng)；防病毒中圖分類號(hào)：tp311文獻(xiàn)標(biāo)識(shí)碼：a文章編號(hào)：1671 7597 (2012) 1020039-021邯寶公司網(wǎng)絡(luò)及網(wǎng)絡(luò)安全系統(tǒng)總體架構(gòu)邯寶公司主干網(wǎng)絡(luò)系統(tǒng)規(guī)劃根據(jù)業(yè)務(wù)和功能劃分共分 為四大區(qū)域：外部接入?yún)^(qū)、管理網(wǎng)區(qū)域、生產(chǎn)網(wǎng)區(qū)域、l2/l3 互聯(lián)專網(wǎng)區(qū)域。管理網(wǎng)區(qū)域與生產(chǎn)主干網(wǎng)區(qū)域之間通過防火 墻隔離，生產(chǎn)主干網(wǎng)區(qū)域與l2/l3互聯(lián)專用網(wǎng)區(qū)域通過數(shù)據(jù) 交換平臺(tái)xmb隔離。1) 管理網(wǎng)區(qū)域：綜合樓中心機(jī)

2、房節(jié)點(diǎn)設(shè)置為管理網(wǎng)區(qū) 域的核心節(jié)點(diǎn)。管理網(wǎng)區(qū)域的主要功能是為非生產(chǎn)功能區(qū)域 的企業(yè)管理職能信息系統(tǒng)的聯(lián)網(wǎng)及作為邯寶信息安全緩沖 區(qū)域。通過相應(yīng)的網(wǎng)絡(luò)及安全系統(tǒng)，允許管理網(wǎng)區(qū)域用戶訪 問internet.邯鋼集團(tuán)、及生產(chǎn)主干網(wǎng)的指定資源。2) 生產(chǎn)主干網(wǎng)區(qū)域：生產(chǎn)主干網(wǎng)以綜合樓中心機(jī)房為 核心覆蓋廠區(qū)內(nèi)所有的產(chǎn)線、各個(gè)部門、車間的生產(chǎn)區(qū)域， 為這些區(qū)域的生產(chǎn)用戶終端提供可靠的網(wǎng)絡(luò)接入。生產(chǎn)主干 網(wǎng)按三層架構(gòu)分為核心層、分布層、接入層。3) l2/l3互聯(lián)專用網(wǎng)區(qū)域：l2系統(tǒng)對(duì)實(shí)時(shí)性和穩(wěn)定性 的要求非常高，同時(shí)對(duì)l2系統(tǒng)的安全防護(hù)尤其需要重視。 l2/l3互聯(lián)專用網(wǎng)絡(luò)系統(tǒng)通過數(shù)據(jù)交換平臺(tái)xmb實(shí)現(xiàn)

3、與生產(chǎn) 主干網(wǎng)絡(luò)物理隔離，專門為l2過程控制機(jī)提供可靠的網(wǎng)絡(luò) 接入，實(shí)現(xiàn)與整體產(chǎn)銷管理系統(tǒng)等相關(guān)應(yīng)用系統(tǒng)的通信。2生產(chǎn)用在線計(jì)算機(jī)控制網(wǎng)絡(luò)的防病毒問題的實(shí)際情況邯寶公司網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用系統(tǒng)主要的互聯(lián)網(wǎng)出口只有一個(gè)，一、二級(jí)內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)器與互聯(lián)網(wǎng)之間沒有直 接連接，為獨(dú)立網(wǎng)絡(luò)；但三、四級(jí)工作站可通過使用代理服 務(wù)器訪問互聯(lián)網(wǎng)，同時(shí)三、四級(jí)工作站同時(shí)有可以訪問一、 二級(jí)服務(wù)器，這可能導(dǎo)致入侵者通過代理服務(wù)器從互聯(lián)網(wǎng)入 侵到內(nèi)部網(wǎng)絡(luò)里，實(shí)施各種惡意行為。邯寶公司煉鋼廠網(wǎng)絡(luò)安全保障體系處于初步建設(shè)階段， 缺乏安全防護(hù)措施及深度防御策略，相關(guān)設(shè)備如ids、審計(jì) 系統(tǒng)、流量管理設(shè)備、漏洞掃描系統(tǒng)均在計(jì)

4、劃中。目前，邯寶公司煉鋼廠網(wǎng)絡(luò)缺乏統(tǒng)一、有效的備份系統(tǒng), 沒有統(tǒng)一的網(wǎng)絡(luò)防病毒防護(hù)及監(jiān)控系統(tǒng)，核心服務(wù)器具備雙 機(jī)熱備，但沒有實(shí)施異地容錯(cuò)容災(zāi)，缺乏對(duì)整體網(wǎng)絡(luò)的監(jiān)控、 管理平臺(tái)，缺乏對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的實(shí)時(shí)監(jiān)控、控制能力。3生產(chǎn)用在線計(jì)算機(jī)控制網(wǎng)絡(luò)的特點(diǎn)3. 1網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單生產(chǎn)用在線計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)比較簡(jiǎn)單，是一個(gè)單獨(dú)的網(wǎng)絡(luò)。所有計(jì)算機(jī)的ip地址都在一個(gè)網(wǎng)段中，也就是在一個(gè)廣播域中,任意一臺(tái)計(jì)算機(jī)出現(xiàn)問題都會(huì)影響到整個(gè)網(wǎng)絡(luò)，如病毒可以在整個(gè)傳播。3.2該網(wǎng)絡(luò)不可控制生產(chǎn)用在線計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備一般采用工業(yè)以太網(wǎng)交換 機(jī)，是一種髙可可靠性的工業(yè)級(jí)的網(wǎng)絡(luò)設(shè)備，同時(shí)也是一種 可以管理的交換機(jī)，但在實(shí)際應(yīng)用中

5、，交換機(jī)的管理功能沒 有使用，在整個(gè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的狀態(tài)都是不可控制管理 的，這是一種很不可靠的事情。不出現(xiàn)問題則以，出現(xiàn)問題 時(shí)網(wǎng)絡(luò)設(shè)備的狀態(tài)沒有辦法查詢。3. 3系統(tǒng)缺乏加固生產(chǎn)計(jì)算機(jī)用戶口令較弱，并且口令沒有定期更換。用戶權(quán)限分配不當(dāng)且缺乏登陸策略。3.4沒有日常的巡檢維護(hù)機(jī)制生產(chǎn)用在線計(jì)算機(jī)與生產(chǎn)的密切相關(guān)性，除非出現(xiàn)故障，基本不停機(jī)，時(shí)刻有人在使用。需要提前發(fā)現(xiàn)問題，防 患于未然。4解決問題的思路4. 1系統(tǒng)建設(shè)目標(biāo)針對(duì)調(diào)研情況和目前系統(tǒng)內(nèi)部計(jì)算機(jī)病毒泛濫的嚴(yán)峻 現(xiàn)實(shí)，可確定防病毒系統(tǒng)建設(shè)的首要目標(biāo)是建立起基于網(wǎng)絡(luò) 的防病毒系統(tǒng)，查殺圍剿網(wǎng)絡(luò)中現(xiàn)存的計(jì)算機(jī)病毒，恢復(fù)現(xiàn) 有系統(tǒng)運(yùn)行的

6、正常秩序。在網(wǎng)絡(luò)中部署一臺(tái)防病毒系統(tǒng)服務(wù) 器，安裝網(wǎng)絡(luò)防病毒系統(tǒng)；在全網(wǎng)計(jì)算機(jī)中部署統(tǒng)一的防病毒客戶端軟件，升級(jí)到最新的病毒庫(kù)，開啟實(shí)時(shí)掃描功能;由服務(wù)器發(fā)起,在全部計(jì)算機(jī)執(zhí)行同一時(shí)間開始的全面病毒查殺；由服務(wù)器端檢查病毒查殺情況，對(duì)個(gè)別不能清除的使 用專殺工具清除。4. 2技術(shù)方案在服務(wù)器上安裝趨勢(shì)officescan7. 3防病毒系統(tǒng)網(wǎng)絡(luò) 版，升級(jí)病毒引擎、病毒庫(kù)、tsc等程序到最新版本；以軟 件安裝包和在線安裝兩種方式實(shí)施客戶端部署；病毒庫(kù)的升 級(jí)采用半自動(dòng)方式：定期從趨勢(shì)網(wǎng)站下載最新的病毒庫(kù)更新 軟件tsut,該軟件包含全部升級(jí)和增量升級(jí)兩種方式；由專 人使用專用的移動(dòng)存儲(chǔ)復(fù)制到服務(wù)器

7、上；然后在服務(wù)器端運(yùn) 行該軟件，自動(dòng)完成病毒庫(kù)升級(jí)；由服務(wù)器端自動(dòng)向下面的 客戶端部署，實(shí)現(xiàn)自動(dòng)更新。病毒掃描方式可采用客戶端實(shí) 時(shí)掃描加服務(wù)器發(fā)起定期統(tǒng)一全網(wǎng)查殺兩種方式；對(duì)防病毒 系統(tǒng)的管理采用管理員以web方式訪問服務(wù)器的方式?？刂撇《緜鞑サ耐緩剑翰《镜膫鞑ネ緩接泻芏喾N如：網(wǎng) 絡(luò)傳播、移動(dòng)存儲(chǔ)設(shè)備等。生產(chǎn)用在線計(jì)算機(jī)控制網(wǎng)絡(luò)是一 個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)和連接在這個(gè)網(wǎng)絡(luò)上的計(jì)算機(jī) 是不會(huì)產(chǎn)生病毒的，病毒只能來源于網(wǎng)絡(luò)的外部。針對(duì)控制 網(wǎng)絡(luò)的出口做嚴(yán)格的限制，可以有效的控制病毒的網(wǎng)絡(luò)傳播 途徑。對(duì)生產(chǎn)用計(jì)算機(jī)做策略，控制生產(chǎn)用計(jì)算機(jī)只能運(yùn)行 生產(chǎn)程序，其他程序不能運(yùn)行，其他移動(dòng)存儲(chǔ)設(shè)備只

8、能計(jì)算 機(jī)維護(hù)人員可以使用，可以減少移動(dòng)存儲(chǔ)設(shè)備傳播病毒的機(jī) 率。增強(qiáng)控制網(wǎng)絡(luò)的可控可管性：控制網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備可以 管理的網(wǎng)絡(luò)設(shè)備，盡量應(yīng)用網(wǎng)絡(luò)設(shè)備的管理功能，可以掌握 網(wǎng)絡(luò)設(shè)備的狀態(tài)和網(wǎng)絡(luò)的運(yùn)行狀態(tài)。可控可管的網(wǎng)絡(luò)，在日 常的維護(hù)管理過程中，能夠提前發(fā)現(xiàn)異常現(xiàn)象，如流量的異 常增加，網(wǎng)絡(luò)的間斷問題，早發(fā)現(xiàn)，早分析，早解決。應(yīng)指 定專人負(fù)責(zé)系統(tǒng)管理、病毒查殺、日常檢查、補(bǔ)丁更新等工 作； 由于雙網(wǎng)卡主機(jī)的存在，使"隔離網(wǎng)絡(luò)”名不副實(shí)。 可采用防火墻或者防病毒網(wǎng)關(guān)，以訪問控制、病毒網(wǎng)關(guān)查殺 等方式，既可實(shí)現(xiàn)病毒庫(kù)全自動(dòng)部署，又能實(shí)現(xiàn)網(wǎng)絡(luò)“邏輯 隔離”；主干網(wǎng)防病毒能力目前受到限制，只能

9、采取前述的 手工下載病毒升級(jí)包的方式，可考慮升級(jí)主干網(wǎng)防病毒能 力，使本地防病毒服務(wù)器能夠接受上層主干網(wǎng)防病毒系統(tǒng)的 管理。通過對(duì)網(wǎng)絡(luò)設(shè)備的管理，盡量對(duì)生產(chǎn)用在線計(jì)算機(jī)的 數(shù)據(jù)流向進(jìn)行整理控制，盡量減小網(wǎng)絡(luò)廣播的范圍，盡量做 到需要訪問的就可以訪問到，不需要訪問的應(yīng)該被禁止。加強(qiáng)生產(chǎn)用計(jì)算機(jī)的安全性：打全補(bǔ)丁，使用強(qiáng)口令,停止不需要的服務(wù)，禁止u盤移動(dòng)硬盤自動(dòng)播放，給予遠(yuǎn)程 用戶執(zhí)行日常任務(wù)所必需的最低等級(jí)的訪問許可權(quán)。同時(shí)可 以考慮通過策略，最計(jì)算機(jī)的功能進(jìn)行限制。建立控制網(wǎng)絡(luò) 和生產(chǎn)用在線計(jì)算機(jī)的日常巡檢制度，如周，月的巡檢范圍, 巡檢人員，巡檢情況等。5進(jìn)度要求針對(duì)我廠網(wǎng)絡(luò)實(shí)際情況，為保證生產(chǎn)用在線計(jì)算機(jī)的穩(wěn)定順行。成立網(wǎng)絡(luò)小組當(dāng)問題出現(xiàn)時(shí)及時(shí)處理解決問題:5.1前期調(diào)研整理數(shù)據(jù)對(duì)控制網(wǎng)絡(luò)的崗位、生產(chǎn)用計(jì)算機(jī)、網(wǎng)絡(luò)情況進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，重點(diǎn)為網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備。5.2對(duì)在線計(jì)算機(jī)安全性進(jìn)行加強(qiáng)在前期調(diào)研的情況下，與相關(guān)人員討論研究，制定方案，在生產(chǎn)間隙對(duì)計(jì)算機(jī)安全性進(jìn)行加強(qiáng)。5.3對(duì)網(wǎng)絡(luò)設(shè)備的管理功能的實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)設(shè)備、與相關(guān)技術(shù)人員溝通，至少做到網(wǎng)絡(luò)設(shè)備本地可管理。5.4對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化在實(shí)現(xiàn)網(wǎng)絡(luò)可管理的基礎(chǔ)上對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化，