論流程型企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全體系建設(shè)

王訓(xùn)華，唐清權(quán)，孫水平

（廣東南方堿業(yè)股份有限公司，廣東廣州 510760）

論流程型企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全體系建設(shè)

王訓(xùn)華，唐清權(quán)，孫水平

（廣東南方堿業(yè)股份有限公司，廣東廣州 510760）

介紹了流程型企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的硬件建設(shè)和軟件建設(shè)，構(gòu)造立體縱深的網(wǎng)絡(luò)信息防御系統(tǒng)，有效地克服平面網(wǎng)絡(luò)結(jié)構(gòu)抵御入侵能力差、控制失效的弱點(diǎn)。

計(jì)算機(jī)網(wǎng)絡(luò)；硬件；軟件；安全體系

在國(guó)家推進(jìn)“兩化”深度融合的進(jìn)程中，流程型工業(yè)企業(yè)計(jì)算機(jī)應(yīng)用和信息化建設(shè)取得了長(zhǎng)足的發(fā)展，廣東南方堿業(yè)公司計(jì)算機(jī)應(yīng)用和信息化建設(shè)已具規(guī)模，EAS（ERP）、DCS、MIS、計(jì)量稱重、PLC數(shù)據(jù)采集等管理信息系統(tǒng)相繼建成并已投入使用。在公司、基層站二級(jí)網(wǎng)絡(luò)的支撐下，以MIS和DCS為核心的各項(xiàng)計(jì)算機(jī)應(yīng)用系統(tǒng)已在公司生產(chǎn)經(jīng)營(yíng)中發(fā)揮著越來(lái)越重要的作用。

由于流程型企業(yè)的計(jì)算機(jī)管理信息系統(tǒng)的實(shí)時(shí)性、強(qiáng)穩(wěn)定性，只具備網(wǎng)絡(luò)或者信息總線相連功能的現(xiàn)場(chǎng)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)是無(wú)法滿足生產(chǎn)和管理要求的。鑒于通常企業(yè)信息網(wǎng)絡(luò)（局域網(wǎng)和互聯(lián)網(wǎng)）安全方面已存在的系統(tǒng)漏洞和隱患，利用簡(jiǎn)單常用的技術(shù)防范思路已無(wú)法解決其根本問(wèn)題，要解決問(wèn)題須要及時(shí)調(diào)整網(wǎng)絡(luò)系統(tǒng)構(gòu)造，采用先進(jìn)的網(wǎng)絡(luò)信息安全技術(shù)和硬件技術(shù)，構(gòu)造立體縱深的網(wǎng)絡(luò)信息防御系統(tǒng)，有效地克服平面網(wǎng)絡(luò)結(jié)構(gòu)抵御入侵能力差、控制失效的弱點(diǎn)。

計(jì)算機(jī)網(wǎng)絡(luò)安全體系建設(shè)分為硬件體系和軟件體系建設(shè)。

1 硬件建設(shè)

流程型企業(yè)MIS網(wǎng)絡(luò)安全的硬件建設(shè)可謂是網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)，可以提高網(wǎng)絡(luò)信息安全的穩(wěn)定性。

1.1 網(wǎng)絡(luò)安全硬件關(guān)鍵技術(shù)

路由器NAT技術(shù)，防火墻（Firewall）、虛擬局域網(wǎng)（VLAN）和物理隔離與信息交換系統(tǒng)等等構(gòu)成了網(wǎng)絡(luò)安全硬件的關(guān)鍵技術(shù)。

1.2 流程型企業(yè)MIS系統(tǒng)網(wǎng)絡(luò)安全體系

從功能模塊上來(lái)說(shuō)包括計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng)、功能軟件應(yīng)用系統(tǒng)、網(wǎng)絡(luò)防火墻、路由器網(wǎng)絡(luò)監(jiān)控及掃描、網(wǎng)絡(luò)防御病毒系統(tǒng)等多個(gè)子系統(tǒng)組成的。通常這也是企業(yè)信息網(wǎng)絡(luò)結(jié)構(gòu)的普遍體系。

從網(wǎng)絡(luò)架構(gòu)上一般分為兩大塊：ERP信息系統(tǒng)和現(xiàn)場(chǎng)生產(chǎn)控制網(wǎng)絡(luò)系統(tǒng)（DCS系統(tǒng)）。南方堿業(yè)計(jì)算機(jī)MIS系統(tǒng)根據(jù)我司發(fā)展的需要，采取了適合公司發(fā)展的設(shè)計(jì)——三層網(wǎng)絡(luò)信息平臺(tái)結(jié)構(gòu)：包括底層DCS生產(chǎn)控制系統(tǒng)，MES生產(chǎn)管理系統(tǒng)，EAS系統(tǒng)（ERP）。既滿足了生產(chǎn)控制網(wǎng)絡(luò)的絕對(duì)安全，又保證了信息資源的共享。為了公司信息網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行，南方堿業(yè)采用了多級(jí)安全網(wǎng)絡(luò)防護(hù)，網(wǎng)閘、防火墻、網(wǎng)絡(luò)管理系統(tǒng)、網(wǎng)絡(luò)殺毒軟件、計(jì)算機(jī)安全管理?xiàng)l例等手段相結(jié)合。

1）物理隔離與信息交換系統(tǒng)（網(wǎng)閘）。公司內(nèi)部DCS生產(chǎn)控制網(wǎng)絡(luò)是公司各生產(chǎn)車間工序操作控制及調(diào)度系統(tǒng)的指揮中樞，必須要時(shí)刻確保操作控制及調(diào)度指令實(shí)時(shí)、準(zhǔn)確下達(dá)和執(zhí)行。南方堿業(yè)采用的是安全隔離與信息交換系統(tǒng)，該系統(tǒng)對(duì)網(wǎng)絡(luò)通信進(jìn)行完整采集、深層解析、應(yīng)用重建，在網(wǎng)絡(luò)間采用專用非TCP／IP進(jìn)行數(shù)據(jù)交換，同時(shí)，該系統(tǒng)對(duì)網(wǎng)絡(luò)通信的主體、客體進(jìn)行綜合的認(rèn)證，確保通信安全可靠，從而實(shí)現(xiàn)在保證內(nèi)外網(wǎng)絡(luò)相互隔離的基礎(chǔ)上進(jìn)行適度的、可靠的數(shù)據(jù)交換。物理隔離與信息交換系統(tǒng)能夠集成傳統(tǒng)安全技術(shù)，進(jìn)一步增強(qiáng)系統(tǒng)的防護(hù)能力。

通過(guò)使用安全隔離與信息交換系統(tǒng)，南方堿業(yè)建立一套完整的、具有高精訪問(wèn)控制能力的、可防范各種安全風(fēng)險(xiǎn)的安全防護(hù)措施，確保了DCS系統(tǒng)的安全運(yùn)行和數(shù)據(jù)的實(shí)時(shí)傳輸，任憑外網(wǎng)時(shí)有驚濤核浪，DCS過(guò)程控制網(wǎng)絡(luò)一直安然無(wú)恙。如圖1。

圖1 安全隔離與信息交換系統(tǒng)

2）防火墻。防火墻可防止“黑客”進(jìn)入網(wǎng)絡(luò)的防御體系，可以限制外部用戶進(jìn)入內(nèi)部網(wǎng)，同時(shí)過(guò)濾掉危及網(wǎng)絡(luò)的不安全服務(wù)，拒絕非法用戶的進(jìn)入。南方堿業(yè)采用Stonegate防火墻，此防火墻內(nèi)置多鏈路VPN，將故障容錯(cuò)以及透明切換技術(shù)增加到VPN隧道以及VPN客戶端連接中，這為組合后的防火墻－VPN提供了優(yōu)勢(shì)。通過(guò)VPN，能夠更安全地從異地聯(lián)入內(nèi)部網(wǎng)絡(luò)。同時(shí)帶有強(qiáng)大路由功能，首先屏蔽所有的IP地址，然后有選擇的放行一些地址進(jìn)入網(wǎng)絡(luò)。也可以過(guò)濾服務(wù)協(xié)議，允許需要的協(xié)議通過(guò)，而屏蔽其他有安全隱患的協(xié)議。

3）網(wǎng)絡(luò)管理系統(tǒng)。南方堿業(yè)整個(gè)局域網(wǎng)絡(luò)系統(tǒng)采用光纜通訊編布公司各地，網(wǎng)絡(luò)系統(tǒng)采用融合網(wǎng)絡(luò)的交換機(jī)及管理系統(tǒng)，可隨時(shí)監(jiān)控、管理整個(gè)網(wǎng)絡(luò)運(yùn)行狀態(tài)，郵件的收發(fā)、帶寬流量、訪問(wèn)網(wǎng)站等管理，出現(xiàn)故障及攻擊可立即發(fā)現(xiàn)并隔斷。有效的防止病毒的傳染。核心交換機(jī)采用的是融合網(wǎng)絡(luò)的三層交換機(jī)，最關(guān)鍵的工作是訪問(wèn)控制功能和三層交換功能。訪問(wèn)控制對(duì)于交換機(jī)就是利用訪問(wèn)控制列表ACL來(lái)實(shí)現(xiàn)用戶對(duì)數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項(xiàng)的不同要求進(jìn)行篩選和過(guò)濾。同時(shí)依據(jù)實(shí)際需求劃分多個(gè)VLAN，如辦公室網(wǎng)絡(luò)一個(gè)網(wǎng)段、車間網(wǎng)絡(luò)一個(gè)網(wǎng)段、視頻監(jiān)控一個(gè)網(wǎng)段等。

2 軟件建設(shè)——管理

流程型企業(yè)MIS網(wǎng)絡(luò)安全的軟件系統(tǒng)的管理主要包括網(wǎng)絡(luò)軟件應(yīng)用程序的管理和利用網(wǎng)絡(luò)資源行為管理。

2.1 網(wǎng)絡(luò)殺毒軟件

南方堿業(yè)采用了卡巴斯基和Nod32網(wǎng)絡(luò)版殺毒軟件相結(jié)合使用。網(wǎng)絡(luò)殺毒軟件能有效的管理各種PC機(jī)和工控機(jī)的應(yīng)用軟件安全。

2.2 管理計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng)

1）操作系統(tǒng)的裁剪：不安裝或刪除不必要使用的系統(tǒng)組件；

2）操作系統(tǒng)服務(wù)裁剪：關(guān)閉所有不使用的服務(wù)和端口，并清除不使用的磁盤文件；

3）操作系統(tǒng)漏洞控制：公司ERP服務(wù)器采用的是AIX系統(tǒng)，大大減低了中毒的可能性。一旦發(fā)現(xiàn)存在系統(tǒng)漏洞或者安全隱患，立即強(qiáng)制其安裝相應(yīng)的系統(tǒng)補(bǔ)丁或者組件。

2.3 規(guī)范利用網(wǎng)絡(luò)資源行為

有效的技術(shù)手段只是網(wǎng)絡(luò)安全的基礎(chǔ)工作，僅靠網(wǎng)絡(luò)安全技術(shù)是絕對(duì)無(wú)法確保信息安全的。建立嚴(yán)格的信息網(wǎng)絡(luò)安全管理制度，規(guī)范使用網(wǎng)絡(luò)資源的行為，養(yǎng)成良好的使用網(wǎng)絡(luò)及資源的習(xí)慣，才能充分發(fā)揮網(wǎng)絡(luò)安全技術(shù)的效能，才能使網(wǎng)絡(luò)信息更加安全可靠。

MIS系統(tǒng)網(wǎng)絡(luò)安全包括了硬件設(shè)備的安全和軟件系統(tǒng)的安全。設(shè)備的安全主要是依賴硬件設(shè)計(jì)、使用壽命、使用環(huán)境等客觀因素，可控性相對(duì)較低，軟件系統(tǒng)安全包括各網(wǎng)絡(luò)控制單元和網(wǎng)絡(luò)上的計(jì)算機(jī)應(yīng)用系統(tǒng)軟件的安全，這部分的安全主要是受外界病毒，黑客攻擊引起，可以這么說(shuō)，只要有軟件系統(tǒng)，這些安全因素就時(shí)刻存在。因此軟件系統(tǒng)的安全是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要體現(xiàn)。

MIS應(yīng)用軟件系統(tǒng)的安全可以通過(guò)網(wǎng)閘，硬件防火墻，路由規(guī)則，防病毒軟件等技術(shù)手段實(shí)現(xiàn)。然而，軟件系統(tǒng)的安全實(shí)際上是和良好的使用網(wǎng)絡(luò)資源的習(xí)慣緊密聯(lián)系。要養(yǎng)成良好的使用網(wǎng)絡(luò)資源的習(xí)慣就要有良好的MIS系統(tǒng)管理?xiàng)l例。

首先，要有良好的應(yīng)用軟件系統(tǒng)平臺(tái)和系統(tǒng)資源保護(hù)意識(shí)，不給外界病毒，黑客等有可乘之機(jī)。例如使用的計(jì)算機(jī)上安裝防病毒軟件，關(guān)閉一些不常使用的端口和服務(wù)等。

其次，養(yǎng)成良好的使用應(yīng)用軟件系統(tǒng)和網(wǎng)絡(luò)資源的習(xí)慣。軟件資源和網(wǎng)絡(luò)資源都是以文件形式存在于計(jì)算機(jī)中，破壞文件就能破壞資源的目的，通常的病毒都是通過(guò)破壞文件的形式來(lái)達(dá)到其目的的。因此，如何有效的隔離病毒的傳播是重要的一個(gè)保證網(wǎng)絡(luò)安全的手段。網(wǎng)閘雖然可阻斷網(wǎng)絡(luò)間的病毒傳染，但確不能阻斷人為的病毒傳播。在日常學(xué)習(xí)工作中，U盤等移動(dòng)設(shè)備的頻繁使用給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來(lái)了隱患，尤其是一些未安裝防病毒軟件的工業(yè)計(jì)算機(jī)，有效合理的使用U盤等移動(dòng)設(shè)備可以降低計(jì)算機(jī)網(wǎng)絡(luò)安全事故，例如使用前需殺殺毒或者直接關(guān)閉一些重要計(jì)算機(jī)的USB口。

最后，加強(qiáng)隊(duì)伍建設(shè)，建設(shè)一支高素質(zhì)的專業(yè)技術(shù)管理團(tuán)隊(duì)是保證計(jì)算機(jī)網(wǎng)絡(luò)安全的組織保障。

3 結(jié) 語(yǔ)

目前計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入到公司生產(chǎn)經(jīng)營(yíng)管理的各個(gè)領(lǐng)域。創(chuàng)建高效的公司計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系，將是公司信息化建設(shè)的有力保障。但建立計(jì)算機(jī)信息安全體系是一個(gè)復(fù)雜而又龐大的系統(tǒng)工程，涉及的問(wèn)題復(fù)雜種類繁多，新的病毒還在不斷涌現(xiàn)，只有繼續(xù)不斷地對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全體系進(jìn)行深入的研究和探討，與時(shí)俱進(jìn)，不斷創(chuàng)新，才能更好的實(shí)現(xiàn)網(wǎng)絡(luò)安全，保證公司信息化建設(shè)的正常進(jìn)行。

TP 393.08

B

1005－8370（2012）01－14－03

2011－11－11