煉鋼廠工業(yè)網(wǎng)絡(luò)安全研究及解決方案

　　(3)由于內(nèi)部三、四級(jí)工作站系統(tǒng)可以通過(guò)代理服務(wù)器訪問(wèn)互聯(lián)網(wǎng)，同時(shí)在系統(tǒng)安全防護(hù)方面做得不夠嚴(yán)謹(jǐn)，從而導(dǎo)致互聯(lián)網(wǎng)病毒由訪問(wèn)互聯(lián)網(wǎng)的三、四級(jí)工作站感染病毒后再傳入內(nèi)部網(wǎng)絡(luò)，從而導(dǎo)致病毒在內(nèi)部網(wǎng)絡(luò)內(nèi)泛濫：

　　(4)移動(dòng)存儲(chǔ)設(shè)備(包括u盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)等)在別處感染病毒后被帶入到內(nèi)部工業(yè)生產(chǎn)網(wǎng)絡(luò)，通過(guò)網(wǎng)絡(luò)進(jìn)行大肆傳播感染：

　　3 病毒防護(hù)系統(tǒng)整體解決方案

　　本方案設(shè)計(jì)針對(duì)病毒威脅中最緊迫且能夠短期見(jiàn)效的幾個(gè)方面著手，首先對(duì)網(wǎng)絡(luò)中的核心系統(tǒng)進(jìn)行全面的加固，確保當(dāng)前網(wǎng)絡(luò)和網(wǎng)絡(luò)中的所有主機(jī)處于一個(gè)堅(jiān)固、干凈的狀態(tài)：其次增加兩臺(tái)同樣配置、互為備份的防病毒服務(wù)器，在防病毒服務(wù)器上部署防病毒系統(tǒng)，并使防病毒服務(wù)器可接入互聯(lián)網(wǎng)實(shí)時(shí)更新升級(jí)，生產(chǎn)系統(tǒng)中的其他服務(wù)器和終端通過(guò)訪問(wèn)防病毒服務(wù)器進(jìn)行升級(jí)，這樣就可以確保整個(gè)生產(chǎn)系統(tǒng)處于實(shí)時(shí)的保護(hù)狀態(tài)。在此基礎(chǔ)上建立完善的安全管理制度，最終切斷病毒的傳播途徑，實(shí)時(shí)保護(hù)系統(tǒng)免受病毒感染。病毒防護(hù)系統(tǒng)整體解決方案拓?fù)淙鐖D2所示：

圖2 工業(yè)網(wǎng)絡(luò)防病毒結(jié)構(gòu)示意圖

　　3.1工業(yè)網(wǎng)絡(luò)系統(tǒng)的安全加固具體包括

　　a)安全配置加固

　　系統(tǒng)管理和維護(hù)的正常配置，合理配置，及優(yōu)化配置。例如系統(tǒng)目錄權(quán)限，帳號(hào)管理策略，文件系統(tǒng)配置，進(jìn)程通信管理等。

　　b)安全機(jī)制加固

　　安全機(jī)制的使用和正常配置，合理配置，及優(yōu)化配置。例如日志及審計(jì)、備份與恢復(fù)，簽名與校驗(yàn)。加密與通信，特殊授權(quán)及訪問(wèn)控制等。

　　c)數(shù)據(jù)庫(kù)加固

　　數(shù)據(jù)庫(kù)文件和口令設(shè)置等

　　3.2配置防病毒服務(wù)器

　　購(gòu)置兩臺(tái)同樣配置的服務(wù)器產(chǎn)品作為防病毒服務(wù)器，這樣方便互相替換用作備用機(jī)。放置于煉鋼廠中心機(jī)房并接入網(wǎng)絡(luò)。往外通過(guò)ADsL專線接入互聯(lián)網(wǎng)，隔周交替升級(jí)最新系統(tǒng)補(bǔ)丁和防病毒軟件，測(cè)試穩(wěn)定無(wú)誤后，斷開(kāi)外網(wǎng)的情況下聯(lián)接內(nèi)網(wǎng)，供一、二級(jí)網(wǎng)內(nèi)各服務(wù)器和操作終端升級(jí)用。

　　在系統(tǒng)加固和部署網(wǎng)絡(luò)防病毒系統(tǒng)的基礎(chǔ)上，我們更進(jìn)一步，建立一系列生產(chǎn)系統(tǒng)病毒防護(hù)制度，更加確保了系統(tǒng)的安全，這包括：

　　·建立管理員責(zé)任制度
　　·登記所有防病毒軟件
　　·防毒組件及時(shí)更新
　　·每周防毒系統(tǒng)部署情況統(tǒng)計(jì)
　　·每周對(duì)產(chǎn)生的病毒事件進(jìn)行評(píng)估等

　　通過(guò)以上方案的實(shí)旅，清除了系統(tǒng)中所有的病毒、木馬和黑客程序，修補(bǔ)了全部的系統(tǒng)漏洞和軟件漏洞，增強(qiáng)了密碼的安全性，使整個(gè)系統(tǒng)的安全性、穩(wěn)健性和速度大大提高。實(shí)踐證明，這套方案是切實(shí)可行、安全高效的，值得借鑒和推廣。