煉鋼廠(chǎng)工業(yè)網(wǎng)絡(luò )安全研究及解決方案

　　(3)由于內部三、四級工作站系統可以通過(guò)代理服務(wù)器訪(fǎng)問(wèn)互聯(lián)網(wǎng)，同時(shí)在系統安全防護方面做得不夠嚴謹，從而導致互聯(lián)網(wǎng)病毒由訪(fǎng)問(wèn)互聯(lián)網(wǎng)的三、四級工作站感染病毒后再傳入內部網(wǎng)絡(luò )，從而導致病毒在內部網(wǎng)絡(luò )內泛濫：

　　(4)移動(dòng)存儲設備(包括u盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)等)在別處感染病毒后被帶入到內部工業(yè)生產(chǎn)網(wǎng)絡(luò )，通過(guò)網(wǎng)絡(luò )進(jìn)行大肆傳播感染：

　　3 病毒防護系統整體解決方案

　　本方案設計針對病毒威脅中最緊迫且能夠短期見(jiàn)效的幾個(gè)方面著(zhù)手，首先對網(wǎng)絡(luò )中的核心系統進(jìn)行全面的加固，確保當前網(wǎng)絡(luò )和網(wǎng)絡(luò )中的所有主機處于一個(gè)堅固、干凈的狀態(tài)：其次增加兩臺同樣配置、互為備份的防病毒服務(wù)器，在防病毒服務(wù)器上部署防病毒系統，并使防病毒服務(wù)器可接入互聯(lián)網(wǎng)實(shí)時(shí)更新升級，生產(chǎn)系統中的其他服務(wù)器和終端通過(guò)訪(fǎng)問(wèn)防病毒服務(wù)器進(jìn)行升級，這樣就可以確保整個(gè)生產(chǎn)系統處于實(shí)時(shí)的保護狀態(tài)。在此基礎上建立完善的安全管理制度，最終切斷病毒的傳播途徑，實(shí)時(shí)保護系統免受病毒感染。病毒防護系統整體解決方案拓撲如圖2所示：

圖2 工業(yè)網(wǎng)絡(luò )防病毒結構示意圖

　　3.1工業(yè)網(wǎng)絡(luò )系統的安全加固具體包括

　　a)安全配置加固

　　系統管理和維護的正常配置，合理配置，及優(yōu)化配置。例如系統目錄權限，帳號管理策略，文件系統配置，進(jìn)程通信管理等。

　　b)安全機制加固

　　安全機制的使用和正常配置，合理配置，及優(yōu)化配置。例如日志及審計、備份與恢復，簽名與校驗。加密與通信，特殊授權及訪(fǎng)問(wèn)控制等。

　　c)數據庫加固

　　數據庫文件和口令設置等

　　3.2配置防病毒服務(wù)器

　　購置兩臺同樣配置的服務(wù)器產(chǎn)品作為防病毒服務(wù)器，這樣方便互相替換用作備用機。放置于煉鋼廠(chǎng)中心機房并接入網(wǎng)絡(luò )。往外通過(guò)ADsL專(zhuān)線(xiàn)接入互聯(lián)網(wǎng)，隔周交替升級最新系統補丁和防病毒軟件，測試穩定無(wú)誤后，斷開(kāi)外網(wǎng)的情況下聯(lián)接內網(wǎng)，供一、二級網(wǎng)內各服務(wù)器和操作終端升級用。

　　在系統加固和部署網(wǎng)絡(luò )防病毒系統的基礎上，我們更進(jìn)一步，建立一系列生產(chǎn)系統病毒防護制度，更加確保了系統的安全，這包括：

　　·建立管理員責任制度
　　·登記所有防病毒軟件
　　·防毒組件及時(shí)更新
　　·每周防毒系統部署情況統計
　　·每周對產(chǎn)生的病毒事件進(jìn)行評估等

　　通過(guò)以上方案的實(shí)旅，清除了系統中所有的病毒、木馬和黑客程序，修補了全部的系統漏洞和軟件漏洞，增強了密碼的安全性，使整個(gè)系統的安全性、穩健性和速度大大提高。實(shí)踐證明，這套方案是切實(shí)可行、安全高效的，值得借鑒和推廣。