煉鋼廠工業(yè)網(wǎng)絡(luò)安全研究及解決方案

　　(3)由于內(nèi)部三、四級工作站系統(tǒng)可以通過代理服務(wù)器訪問互聯(lián)網(wǎng)，同時在系統(tǒng)安全防護方面做得不夠嚴謹，從而導(dǎo)致互聯(lián)網(wǎng)病毒由訪問互聯(lián)網(wǎng)的三、四級工作站感染病毒后再傳入內(nèi)部網(wǎng)絡(luò)，從而導(dǎo)致病毒在內(nèi)部網(wǎng)絡(luò)內(nèi)泛濫：

　　(4)移動存儲設(shè)備(包括u盤、移動硬盤、光盤等)在別處感染病毒后被帶入到內(nèi)部工業(yè)生產(chǎn)網(wǎng)絡(luò)，通過網(wǎng)絡(luò)進行大肆傳播感染：

　　3 病毒防護系統(tǒng)整體解決方案

　　本方案設(shè)計針對病毒威脅中最緊迫且能夠短期見效的幾個方面著手，首先對網(wǎng)絡(luò)中的核心系統(tǒng)進行全面的加固，確保當前網(wǎng)絡(luò)和網(wǎng)絡(luò)中的所有主機處于一個堅固、干凈的狀態(tài)：其次增加兩臺同樣配置、互為備份的防病毒服務(wù)器，在防病毒服務(wù)器上部署防病毒系統(tǒng)，并使防病毒服務(wù)器可接入互聯(lián)網(wǎng)實時更新升級，生產(chǎn)系統(tǒng)中的其他服務(wù)器和終端通過訪問防病毒服務(wù)器進行升級，這樣就可以確保整個生產(chǎn)系統(tǒng)處于實時的保護狀態(tài)。在此基礎(chǔ)上建立完善的安全管理制度，最終切斷病毒的傳播途徑，實時保護系統(tǒng)免受病毒感染。病毒防護系統(tǒng)整體解決方案拓撲如圖2所示：

圖2 工業(yè)網(wǎng)絡(luò)防病毒結(jié)構(gòu)示意圖

　　3.1工業(yè)網(wǎng)絡(luò)系統(tǒng)的安全加固具體包括

　　a)安全配置加固

　　系統(tǒng)管理和維護的正常配置，合理配置，及優(yōu)化配置。例如系統(tǒng)目錄權(quán)限，帳號管理策略，文件系統(tǒng)配置，進程通信管理等。

　　b)安全機制加固

　　安全機制的使用和正常配置，合理配置，及優(yōu)化配置。例如日志及審計、備份與恢復(fù)，簽名與校驗。加密與通信，特殊授權(quán)及訪問控制等。

　　c)數(shù)據(jù)庫加固

　　數(shù)據(jù)庫文件和口令設(shè)置等

　　3.2配置防病毒服務(wù)器

　　購置兩臺同樣配置的服務(wù)器產(chǎn)品作為防病毒服務(wù)器，這樣方便互相替換用作備用機。放置于煉鋼廠中心機房并接入網(wǎng)絡(luò)。往外通過ADsL專線接入互聯(lián)網(wǎng)，隔周交替升級最新系統(tǒng)補丁和防病毒軟件，測試穩(wěn)定無誤后，斷開外網(wǎng)的情況下聯(lián)接內(nèi)網(wǎng)，供一、二級網(wǎng)內(nèi)各服務(wù)器和操作終端升級用。

　　在系統(tǒng)加固和部署網(wǎng)絡(luò)防病毒系統(tǒng)的基礎(chǔ)上，我們更進一步，建立一系列生產(chǎn)系統(tǒng)病毒防護制度，更加確保了系統(tǒng)的安全，這包括：

　　·建立管理員責任制度
　　·登記所有防病毒軟件
　　·防毒組件及時更新
　　·每周防毒系統(tǒng)部署情況統(tǒng)計
　　·每周對產(chǎn)生的病毒事件進行評估等

　　通過以上方案的實旅，清除了系統(tǒng)中所有的病毒、木馬和黑客程序，修補了全部的系統(tǒng)漏洞和軟件漏洞，增強了密碼的安全性，使整個系統(tǒng)的安全性、穩(wěn)健性和速度大大提高。實踐證明，這套方案是切實可行、安全高效的，值得借鑒和推廣。