煉鋼廠工業(yè)網絡安全研究及解決方案

　　(3)由于內部三、四級工作站系統(tǒng)可以通過代理服務器訪問互聯(lián)網，同時在系統(tǒng)安全防護方面做得不夠嚴謹，從而導致互聯(lián)網病毒由訪問互聯(lián)網的三、四級工作站感染病毒后再傳入內部網絡，從而導致病毒在內部網絡內泛濫：

　　(4)移動存儲設備(包括u盤、移動硬盤、光盤等)在別處感染病毒后被帶入到內部工業(yè)生產網絡，通過網絡進行大肆傳播感染：

　　3 病毒防護系統(tǒng)整體解決方案

　　本方案設計針對病毒威脅中最緊迫且能夠短期見效的幾個方面著手，首先對網絡中的核心系統(tǒng)進行全面的加固，確保當前網絡和網絡中的所有主機處于一個堅固、干凈的狀態(tài)：其次增加兩臺同樣配置、互為備份的防病毒服務器，在防病毒服務器上部署防病毒系統(tǒng)，并使防病毒服務器可接入互聯(lián)網實時更新升級，生產系統(tǒng)中的其他服務器和終端通過訪問防病毒服務器進行升級，這樣就可以確保整個生產系統(tǒng)處于實時的保護狀態(tài)。在此基礎上建立完善的安全管理制度，最終切斷病毒的傳播途徑，實時保護系統(tǒng)免受病毒感染。病毒防護系統(tǒng)整體解決方案拓撲如圖2所示：

圖2 工業(yè)網絡防病毒結構示意圖

　　3.1工業(yè)網絡系統(tǒng)的安全加固具體包括

　　a)安全配置加固

　　系統(tǒng)管理和維護的正常配置，合理配置，及優(yōu)化配置。例如系統(tǒng)目錄權限，帳號管理策略，文件系統(tǒng)配置，進程通信管理等。

　　b)安全機制加固

　　安全機制的使用和正常配置，合理配置，及優(yōu)化配置。例如日志及審計、備份與恢復，簽名與校驗。加密與通信，特殊授權及訪問控制等。

　　c)數據庫加固

　　數據庫文件和口令設置等

　　3.2配置防病毒服務器

　　購置兩臺同樣配置的服務器產品作為防病毒服務器，這樣方便互相替換用作備用機。放置于煉鋼廠中心機房并接入網絡。往外通過ADsL專線接入互聯(lián)網，隔周交替升級最新系統(tǒng)補丁和防病毒軟件，測試穩(wěn)定無誤后，斷開外網的情況下聯(lián)接內網，供一、二級網內各服務器和操作終端升級用。

　　在系統(tǒng)加固和部署網絡防病毒系統(tǒng)的基礎上，我們更進一步，建立一系列生產系統(tǒng)病毒防護制度，更加確保了系統(tǒng)的安全，這包括：

　　·建立管理員責任制度
　　·登記所有防病毒軟件
　　·防毒組件及時更新
　　·每周防毒系統(tǒng)部署情況統(tǒng)計
　　·每周對產生的病毒事件進行評估等

　　通過以上方案的實旅，清除了系統(tǒng)中所有的病毒、木馬和黑客程序，修補了全部的系統(tǒng)漏洞和軟件漏洞，增強了密碼的安全性，使整個系統(tǒng)的安全性、穩(wěn)健性和速度大大提高。實踐證明，這套方案是切實可行、安全高效的，值得借鑒和推廣。