卷煙生產(chǎn)企業(yè)網(wǎng)絡(luò)安全技術(shù)體系探究

摘 要：隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，在計(jì)算機(jī)上處理的重要信息越來(lái)越多。包括企業(yè)生產(chǎn)數(shù)據(jù)、圖紙、工藝路線等涉密內(nèi)容。在信息處理能力提高的同時(shí)，系統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能力、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出。不論是外部網(wǎng)還是內(nèi)部網(wǎng)的網(wǎng)絡(luò)都會(huì)受到安全的問(wèn)題的困擾。網(wǎng)絡(luò)只有安全，企業(yè)內(nèi)部的重要信息才有保障，企業(yè)才能發(fā)展。

關(guān)鍵詞：網(wǎng)絡(luò)；防火墻；黑客；互聯(lián)網(wǎng)

1 信息化現(xiàn)狀

針對(duì)企業(yè)網(wǎng)絡(luò)的整體構(gòu)架，把安全產(chǎn)品集中放在安全策略區(qū)。安全產(chǎn)品有：千兆防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、桌面管理系統(tǒng)、CA身份認(rèn)證系統(tǒng)。通過(guò)這些安全產(chǎn)品將企業(yè)局域網(wǎng)中的服務(wù)器群、交換機(jī)群、存儲(chǔ)設(shè)備保護(hù)起來(lái)，達(dá)到保護(hù)數(shù)據(jù)的目的。卷煙生產(chǎn)企業(yè)主要業(yè)務(wù)都是圍繞生產(chǎn)進(jìn)行的，企業(yè)由二線管理部門及生產(chǎn)車間組成，生產(chǎn)車間包括動(dòng)力車間、制絲車間、卷包車間和物流中心。企業(yè)內(nèi)部主要存在兩類網(wǎng)絡(luò)，生產(chǎn)網(wǎng)和辦公網(wǎng)，外部網(wǎng)網(wǎng)包括互聯(lián)網(wǎng)和煙草行業(yè)廣域網(wǎng)。業(yè)務(wù)系統(tǒng)方面，行業(yè)層面上初步形成了以財(cái)務(wù)業(yè)務(wù)一體化的ERP為核心，覆蓋生產(chǎn)、營(yíng)銷、采購(gòu)、物流、財(cái)務(wù)、人力資源、電子政務(wù)、行業(yè)監(jiān)管等各個(gè)條線的管理信息系統(tǒng)架構(gòu)，工廠層面，已建成包括卷包數(shù)采、制絲中控、能源管控、片煙高架、原料、輔料、成品、五金配件等領(lǐng)域的較完善的生產(chǎn)、物流等底層系統(tǒng)。

2 辦公網(wǎng)、生產(chǎn)網(wǎng)分離及防護(hù)

按照《國(guó)家煙草專賣局辦公室關(guān)于卷煙工業(yè)企業(yè)信息化建設(shè)的指導(dǎo)意見(jiàn)》（以下簡(jiǎn)稱“指導(dǎo)意見(jiàn)”）中“兩網(wǎng)分離、層次劃分”的要求，將網(wǎng)絡(luò)劃分為管理網(wǎng)和生產(chǎn)網(wǎng)兩部分。其中生產(chǎn)網(wǎng)又垂直劃分為生產(chǎn)執(zhí)行層、監(jiān)督控制層、設(shè)備控制層，具體如圖1所示。

同時(shí)依據(jù)《互聯(lián)安全規(guī)范》規(guī)定，管理網(wǎng)和生產(chǎn)網(wǎng)連接必須通過(guò)互聯(lián)接口完成?；ヂ?lián)接口部署于生產(chǎn)網(wǎng)與管理網(wǎng)之間，其安全功能包括身份鑒別、訪問(wèn)控制、網(wǎng)絡(luò)互連控制、惡意行為防范、安全審計(jì)、支撐操作系統(tǒng)安全，安全模型如圖2所示。

3 網(wǎng)絡(luò)安全體系的探討

針對(duì)生產(chǎn)網(wǎng)和管理網(wǎng)的邊界，按照《互聯(lián)安全規(guī)范》規(guī)定，建議采取部署防火墻進(jìn)行身份鑒別、訪問(wèn)控制和網(wǎng)絡(luò)互連控制；在生產(chǎn)網(wǎng)和管理網(wǎng)間主要交換機(jī)旁路部署工業(yè)異常監(jiān)測(cè)引擎，進(jìn)行惡意行為防范；在操作站、MES系統(tǒng)客戶端、辦公終端、HMI等部署操作站安全系統(tǒng)對(duì)主機(jī)的進(jìn)程、軟件、流量、U盤的使用等進(jìn)行監(jiān)控，防范主機(jī)非法訪問(wèn)網(wǎng)絡(luò)其它節(jié)點(diǎn)。

3.1 身份鑒別、訪問(wèn)控制及網(wǎng)絡(luò)互連控制

在生產(chǎn)網(wǎng)和管理網(wǎng)之間部署防火墻進(jìn)行身份鑒別、訪問(wèn)控制和網(wǎng)絡(luò)互連控制。（1）身份鑒別：生產(chǎn)網(wǎng)和管理網(wǎng)之間進(jìn)行網(wǎng)絡(luò)連接時(shí)，基于IP地址和端口號(hào)、MAC地址或行業(yè)數(shù)字證書等對(duì)請(qǐng)求連接主機(jī)身份進(jìn)行鑒別；生產(chǎn)網(wǎng)與管理網(wǎng)禁止同未通過(guò)身份鑒別的主機(jī)建立網(wǎng)絡(luò)連接。（2）訪問(wèn)控制：互連接口進(jìn)行訪問(wèn)控制措施設(shè)置，具體措施結(jié)合訪問(wèn)主客體具體功能確定；進(jìn)行細(xì)粒度主、客體訪問(wèn)控制，粒度細(xì)化到IP地址和端口號(hào)、MAC地址及應(yīng)用協(xié)議；進(jìn)行協(xié)議格式的鑒別與過(guò)濾，支持FTP、SOAP、OPC、HTTP、SSH、SFTP、數(shù)據(jù)庫(kù)通訊等常用協(xié)議。（3）網(wǎng)絡(luò)互連控制：只開(kāi)啟必要的數(shù)據(jù)交換通道；支持對(duì)FTP、SOAP、OPC、HTTP、SSH、SFTP、數(shù)據(jù)庫(kù)通訊等常用協(xié)議的網(wǎng)絡(luò)互連控制；能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力；在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接。

3.2 惡意行為防范

在生產(chǎn)網(wǎng)和管理網(wǎng)間主要交換機(jī)旁路部署工業(yè)異常監(jiān)測(cè)引擎，進(jìn)行惡意行為防范。（1）對(duì)生產(chǎn)網(wǎng)與管理網(wǎng)之間的數(shù)據(jù)通信行為進(jìn)行實(shí)時(shí)數(shù)據(jù)包抓取和分析，對(duì)SQL注入、跨站腳本、惡意指令等異常行為進(jìn)行監(jiān)測(cè)和實(shí)時(shí)告警。（2）進(jìn)行流秩序監(jiān)控，包括流分析、流行為、流視圖、流追溯等，對(duì)已識(shí)別的異常行為進(jìn)行及時(shí)阻斷。

3.3 支撐操作系統(tǒng)防護(hù)

在操作站、MES系統(tǒng)客戶端、辦公終端、HMI等部署操作站安全系統(tǒng)對(duì)主機(jī)的進(jìn)程、軟件、流量、U盤的使用等進(jìn)行監(jiān)控，防范主機(jī)非法訪問(wèn)網(wǎng)絡(luò)其它節(jié)點(diǎn)。（1）操作站安全審計(jì)，包括文件操作審計(jì)與控制、打印審計(jì)與控制、網(wǎng)站訪問(wèn)審計(jì)與控制、異常路由審計(jì)、FTP審計(jì)和終端、應(yīng)用成尋使用審計(jì)、刻錄審計(jì)、Windows登錄審計(jì)等多種審計(jì)功能。（2）杜絕非法外聯(lián)，對(duì)操作站發(fā)生的任意一個(gè)網(wǎng)絡(luò)行為進(jìn)行檢測(cè)和識(shí)別，并能夠攔截所有存在安全的威脅的網(wǎng)絡(luò)訪問(wèn)。（3）移動(dòng)存儲(chǔ)管理，對(duì)接入操作站的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行認(rèn)證、數(shù)據(jù)加密和共享受控管理，確保只有通過(guò)認(rèn)證的移動(dòng)存儲(chǔ)設(shè)備才能夠被授權(quán)用戶使用。（4）及時(shí)發(fā)現(xiàn)涉密信息是否在操作站中違規(guī)存放和使用，避免涉密信息違規(guī)存放和使用違規(guī)行為，帶來(lái)涉密信息外泄。

3.4 利用網(wǎng)絡(luò)監(jiān)聽(tīng)維護(hù)子網(wǎng)系統(tǒng)安全

對(duì)于網(wǎng)絡(luò)外部的入侵可以通過(guò)安裝防火墻來(lái)解決，但是對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲則無(wú)能為力。在這種情況下，我們可以采用對(duì)各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件，為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)。設(shè)計(jì)一個(gè)子網(wǎng)專用的監(jiān)聽(tīng)程序。該軟件的主要功能為長(zhǎng)期監(jiān)聽(tīng)子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況，為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份。

總之，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，不能僅僅依靠防火墻等單個(gè)的系統(tǒng)，而需要仔細(xì)考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等結(jié)合在一起，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)

[1]蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].中國(guó)水利水電出版社，2002.

[2]鄧文淵，陳惠貞，陳俊榮.ASP與網(wǎng)絡(luò)數(shù)據(jù)庫(kù)技術(shù)[M].中國(guó)鐵道出版社，2003，4.