卷煙生產企業網絡安全技術體系探究

摘 要：隨著計算機技術、網絡技術的發展，在計算機上處理的重要信息越來越多。包括企業生產數據、圖紙、工藝路線等涉密內容。在信息處理能力提高的同時，系統的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時，基于網絡連接的安全問題也日益突出。不論是外部網還是內部網的網絡都會受到安全的問題的困擾。網絡只有安全，企業內部的重要信息才有保障，企業才能發展。

關鍵詞：網絡；防火墻；黑客；互聯網

1 信息化現狀

針對企業網絡的整體構架，把安全產品集中放在安全策略區。安全產品有：千兆防火墻、入侵檢測系統、漏洞掃描系統、數據庫審計系統、桌面管理系統、CA身份認證系統。通過這些安全產品將企業局域網中的服務器群、交換機群、存儲設備保護起來，達到保護數據的目的。卷煙生產企業主要業務都是圍繞生產進行的，企業由二線管理部門及生產車間組成，生產車間包括動力車間、制絲車間、卷包車間和物流中心。企業內部主要存在兩類網絡，生產網和辦公網，外部網網包括互聯網和煙草行業廣域網。業務系統方面，行業層面上初步形成了以財務業務一體化的ERP為核心，覆蓋生產、營銷、采購、物流、財務、人力資源、電子政務、行業監管等各個條線的管理信息系統架構，工廠層面，已建成包括卷包數采、制絲中控、能源管控、片煙高架、原料、輔料、成品、五金配件等領域的較完善的生產、物流等底層系統。

2 辦公網、生產網分離及防護

按照《國家煙草專賣局辦公室關于卷煙工業企業信息化建設的指導意見》（以下簡稱“指導意見”）中“兩網分離、層次劃分”的要求，將網絡劃分為管理網和生產網兩部分。其中生產網又垂直劃分為生產執行層、監督控制層、設備控制層，具體如圖1所示。

同時依據《互聯安全規范》規定，管理網和生產網連接必須通過互聯接口完成。互聯接口部署于生產網與管理網之間，其安全功能包括身份鑒別、訪問控制、網絡互連控制、惡意行為防范、安全審計、支撐操作系統安全，安全模型如圖2所示。

3 網絡安全體系的探討

針對生產網和管理網的邊界，按照《互聯安全規范》規定，建議采取部署防火墻進行身份鑒別、訪問控制和網絡互連控制；在生產網和管理網間主要交換機旁路部署工業異常監測引擎，進行惡意行為防范；在操作站、MES系統客戶端、辦公終端、HMI等部署操作站安全系統對主機的進程、軟件、流量、U盤的使用等進行監控，防范主機非法訪問網絡其它節點。

3.1 身份鑒別、訪問控制及網絡互連控制

在生產網和管理網之間部署防火墻進行身份鑒別、訪問控制和網絡互連控制。（1）身份鑒別：生產網和管理網之間進行網絡連接時，基于IP地址和端口號、MAC地址或行業數字證書等對請求連接主機身份進行鑒別；生產網與管理網禁止同未通過身份鑒別的主機建立網絡連接。（2）訪問控制：互連接口進行訪問控制措施設置，具體措施結合訪問主客體具體功能確定；進行細粒度主、客體訪問控制，粒度細化到IP地址和端口號、MAC地址及應用協議；進行協議格式的鑒別與過濾，支持FTP、SOAP、OPC、HTTP、SSH、SFTP、數據庫通訊等常用協議。（3）網絡互連控制：只開啟必要的數據交換通道；支持對FTP、SOAP、OPC、HTTP、SSH、SFTP、數據庫通訊等常用協議的網絡互連控制；能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力；在會話處于非活躍一定時間或會話結束后終止網絡連接。

3.2 惡意行為防范

在生產網和管理網間主要交換機旁路部署工業異常監測引擎，進行惡意行為防范。（1）對生產網與管理網之間的數據通信行為進行實時數據包抓取和分析，對SQL注入、跨站腳本、惡意指令等異常行為進行監測和實時告警。（2）進行流秩序監控，包括流分析、流行為、流視圖、流追溯等，對已識別的異常行為進行及時阻斷。

3.3 支撐操作系統防護

在操作站、MES系統客戶端、辦公終端、HMI等部署操作站安全系統對主機的進程、軟件、流量、U盤的使用等進行監控，防范主機非法訪問網絡其它節點。（1）操作站安全審計，包括文件操作審計與控制、打印審計與控制、網站訪問審計與控制、異常路由審計、FTP審計和終端、應用成尋使用審計、刻錄審計、Windows登錄審計等多種審計功能。（2）杜絕非法外聯，對操作站發生的任意一個網絡行為進行檢測和識別，并能夠攔截所有存在安全的威脅的網絡訪問。（3）移動存儲管理，對接入操作站的移動存儲設備進行認證、數據加密和共享受控管理，確保只有通過認證的移動存儲設備才能夠被授權用戶使用。（4）及時發現涉密信息是否在操作站中違規存放和使用，避免涉密信息違規存放和使用違規行為，帶來涉密信息外泄。

3.4 利用網絡監聽維護子網系統安全

對于網絡外部的入侵可以通過安裝防火墻來解決，但是對于網絡內部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網做一個具有一定功能的審計文件，為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序。該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況，為系統中各個服務器的審計文件提供備份。

總之，網絡安全是一個系統的工程，不能僅僅依靠防火墻等單個的系統，而需要仔細考慮系統的安全需求，并將各種安全技術，如密碼技術等結合在一起，才能生成一個高效、通用、安全的網絡系統。

參考文獻

[1]蔡立軍.計算機網絡安全技術[M].中國水利水電出版社，2002.

[2]鄧文淵，陳惠貞，陳俊榮.ASP與網絡數據庫技術[M].中國鐵道出版社，2003，4.