鞍鋼天鐵公司網絡問題探討與防范措施

徐東

（天津鞍鋼天鐵冷軋薄板有限公司，天津 300301）

鞍鋼天鐵公司網絡問題探討與防范措施

徐東

（天津鞍鋼天鐵冷軋薄板有限公司，天津 300301）

結合鞍鋼天鐵公司的網絡現狀，分析了公司生產和運營過程中出現的計算機網絡整體架構不合理、病毒屢殺不止等安全隱患。通過對生產網、管理網、病毒采取防范措施，有效地解決了計算機網絡中存在的安全隱患，使企業的網絡系統更加規范化，為公司生產和運營提供了可靠的信息化基礎保障。

網絡 隱患 安全 防范

1 引言

隨著鞍鋼天鐵公司生產規模的不斷擴大，MES生產制造系統、OA辦公自動系統、ERP管理等信息化系統在生產運營控制中起到了至關重要的作用。信息化的快速發展離不開計算機網絡的基礎支撐，信息化技術的廣泛應用為生產運營帶來方便與實惠，同時也為計算機網絡安全帶來了沖擊與挑戰。本文著重分析了計算機網絡中常見的幾種安全隱患，并針對這些隱患采取了一系列的整改措施，有效地解決了企業運行中的網絡安全隱患。事實證明，解決計算機網絡系統中的問題及其隱患，在提高生產運營的工作效率的同時，也在提高公司在市場競爭中的優勢。

2 公司網絡現狀及存在隱患

2.1 網絡整體架構

網絡架構主要分為生產網和管理網。生產網主要運行產銷一體化系統，對負責生產的過程控制系統進行通訊。生產網連通生產計劃部門與生產作業區域，網絡覆蓋整個廠區，網絡介質以多模光纖為主。管理網主要覆蓋在公司的辦公大樓，以日常辦公管理為主，與外部網站發生數據交換。

生產網以兩臺核心交換機為主，根據不同生產區域進行了VLAN劃分，向下聯結二層交換機或接入層交換機覆蓋到廠區各個角落，兩臺核心交換機互為熱備，以保證網絡時刻暢通。

管理網分布比較簡單。管理網通過在路由器上進行IP和MAC的綁定，將網絡分為Internet外網用戶和內部網用戶，Internet外網用戶既可以訪問外部互聯網絡，也可以訪問公司內部網絡服務；內部網用戶不能訪問外部互聯網絡，但可以訪問公司內部網絡服務。

生產網與管理網通過防火墻隔離，兩網之間不能相互訪問。

整體網絡拓撲圖見圖1。

圖1 公司整體網絡拓撲圖

2.2 生產網中存在的網絡隱患

生產網中主要存在的安全隱患是物理隱患，核心交換機至廠區各作業區鋪設多模光纜，均為單線路敷設，未形成環網，一旦其中一條光纜折斷，無法在短時間內對網絡進行恢復，只能進行光纜搶修續借。

其次，財務系統接入生產網的核心交換機，它與產銷系統服務器之間有數據通訊，財務計算機可隨意插拔移動存儲設備，造成了病毒、木馬傳播。針對財務計算機病毒多這一現象，雖然對專人配備專用U盤、移動硬盤，但也未能真正解決病毒的傳播問題。

2.3 管理網中網絡架構不合理

管理網未劃分任何VLAN，它運行在一個默認的大的子網下，通過子網掩碼控制192.168.0.1網段與192.168.1.1網段之間的訪問。在這種網絡架構下，一旦被人攻擊或者爆發廣播風暴，就會造成整個管理網的癱瘓，而且故障排查起來較為困難。

以二層交換機作為管理網的匯聚交換機雖然目前能夠滿足網絡負載帶來的壓力，但一旦出現網絡壓力過大的情況，二層交換機就不能滿足需要，無法保證管理網絡的暢通運行。而且二層交換機無法進行熱備，一旦交換機出現物理故障，只能進行硬件的更換，勢必也會對快速恢復網絡帶來一定的困難和壓力。

路由器直接接入外部互聯網絡，沒有任何安全措施進行有效的隔離，容易被外部攻擊，造成計算機用戶無法登陸外部互聯網絡，嚴重的可能引起管理網阻塞以及公司的重要信息被盜、被篡改等問題。

2.4 病毒侵害

計算機病毒程序不僅會侵害正在使用的計算機系統，還能在網絡上肆虐侵害其他計算機。一方面造成其他計算機不能正常地進行日常工作，另一方面影響整個網絡的正常運行，嚴重的將導致整個網絡的癱瘓。

計算機病毒在網絡中傳播主要有3種形式：計算機登陸不良網站或不小心點擊掛馬網站引起的中毒進行傳播病毒；通過郵件的形式來傳播病毒；通過插拔移動存儲設備在計算機上進行傳播。對企業來說，前兩種傳播病毒方式所占比例較低，在計算機上隨意插拔未進行病毒掃描的移動存儲設備是造成病毒傳播的主要方式。

雖然公司安裝了網絡版的殺毒軟件，但是計算機病毒的傳播和泛濫卻屢禁不止，這就涉及到計算機及其相關設備的安全操作行為，計算機的使用者在使用計算機時，沒有養成正確的使用習慣，更沒有意識到計算機病毒病毒對企業信息數據以及計算機本身造成的危害。

2.5 惡意盜改IP和MAC地址

公司的管理網分為外部Internet互聯網和內部網，企業為控制出口帶寬能夠更大限度地滿足日常的辦公需求，對能夠使用Internet互聯網的用戶數量進行了控制，主要的技術手段是在外部出口的路由器上對可以登錄的互聯網用戶進行靜態的IP與MAC地址綁定，未經綁定的用戶就只能訪問公司的內部服務與應用。

這種管理方式直接造成了一部分用戶無法登錄互聯網，而一部分用戶惡意地利用局域網掃描軟件，搜索能夠登錄互聯網用戶的IP和MAC地址信息，將自己的網卡IP和MAC址配置成他人的信息，一旦該用戶優先搶到網絡占有權，就會造成他人無法進行正常的網絡訪問。

3 安全防范措施

3.1 生產網安全防范措施

針對生產網網絡輻射單線路這一現狀，應采用就近原則對各個機組進行環網聯結，以保證其中某一機組的光纜折斷之后，不會影響該機組的網絡使用。

對于財務系統的木馬、病毒防范，一方面可以在防火墻的DMZ區建立FTP服務器或者郵件服務器，用來進行數據的傳輸和交換，以此來替代移動存儲設備的頻繁使用。另一個方面，使計算機使用者養成一個良好的使用習慣，設置系統口令，不讓其他人隨意在計算機上插拔移動存儲設備，并且在插入移動存儲設備之前進行病毒的查殺。

3.2 管理網安全防范措施

重新對管理網的整體架構進行整理，按照不同的辦公地點劃分VLAN，以此來隔離可能產生的廣播風暴。

更換匯聚層交換機，改用三層交換機，并采用雙機冗余備份模式，以平衡網絡負載，保證網絡暢通和快速運轉。

在管理網的出口位置增加防火墻，將管理網與外部進行隔離，不但可以控制進出網絡的信息流向和信息包，也可以提供網絡的使用和流量的日志和審計，同時，它隱藏了內部IP地址及網絡結構的細節，以防止來自外部的入侵和攻擊。

3.3 病毒防范與處理

相對于生產網，管理網中的病毒防治更加困難，可以從以下3個方面針對計算機病毒的進行防治。

3.3.1 利用技術手段迫使計算機用戶養成良好的使用習慣

安裝網路版殺毒軟件，對收到的郵件及時殺毒；設置計算機系統口令，保證自身計算機數據不被他人任意拷貝；在系統的組策略中關閉系統中自動運行程序，禁止雙擊移動存儲設備等。

3.3.2 安裝桌面安全管理系統

通過在計算機上安裝桌面安全管理系統的客戶端，實現對公司計算機的集中控制管理，減少移動存儲設備的使用頻率，同時還可以采用上網行為控制系統對計算機的上外網用戶予以管理，規范用戶的計算機使用行為，極大程度地控制病毒的傳播。

3.4 IP地址盜用的防范措施

對于惡意更改計算機IP和MAC地址的現象，可以通過桌面管理軟件的身份認證體系，拒絕外來計算機隨意接入公司網絡。

利用應用軟件技術的同時，加強對IP資源的管理，嚴格控制IP地址的發放與設置，對于新增的IP地址詳細記錄到使用人、計算機資產信息、使用地點，在發生惡意篡改IP地址時，可以第一時間找到該IP地址并進行處理。

4 結束語

通過對管理網進行重新規劃，劃分VLAN；在管理網上重新部署殺毒軟件，預防病毒傳播；采用桌面安全、上網行為系統規范用戶的使用習慣等措施，使企業的網絡系統更加規范化，為公司生產和運營提供了可靠的信息化基礎保障。

Discussion and Prevention Measures for Angang Tiantie Network

Xu Dong
(Tianjin Angang Tiantie Cold Rolling Sheet Company Limited,Tianjin 300301,China)

Hidden security problems are analyzed of unreasonable network architecture and constantly re-emerging viruses in spite of scanning and killing in production and operation,in combination with the current situation of Angang Tiantie network.Virus prevention measures are taken for production and management networks to effectively solve the hidden security problems in computer network,to standardize network system and to provide an ensured reliable information base for production and operation in the company.

network,hidden trouble,security,prevention

徐東，男，主要從事系統網絡技術支持與開發工作。

（收稿 2012－03－20 編輯 潘娜）