煉鋼廠工業網絡安全研究及解決方案

　　(3)由于內部三、四級工作站系統可以通過代理服務器訪問互聯網，同時在系統安全防護方面做得不夠嚴謹，從而導致互聯網病毒由訪問互聯網的三、四級工作站感染病毒后再傳入內部網絡，從而導致病毒在內部網絡內泛濫：

　　(4)移動存儲設備(包括u盤、移動硬盤、光盤等)在別處感染病毒后被帶入到內部工業生產網絡，通過網絡進行大肆傳播感染：

　　3 病毒防護系統整體解決方案

　　本方案設計針對病毒威脅中最緊迫且能夠短期見效的幾個方面著手，首先對網絡中的核心系統進行全面的加固，確保當前網絡和網絡中的所有主機處于一個堅固、干凈的狀態：其次增加兩臺同樣配置、互為備份的防病毒服務器，在防病毒服務器上部署防病毒系統，并使防病毒服務器可接入互聯網實時更新升級，生產系統中的其他服務器和終端通過訪問防病毒服務器進行升級，這樣就可以確保整個生產系統處于實時的保護狀態。在此基礎上建立完善的安全管理制度，最終切斷病毒的傳播途徑，實時保護系統免受病毒感染。病毒防護系統整體解決方案拓撲如圖2所示：

圖2 工業網絡防病毒結構示意圖

　　3.1工業網絡系統的安全加固具體包括

　　a)安全配置加固

　　系統管理和維護的正常配置，合理配置，及優化配置。例如系統目錄權限，帳號管理策略，文件系統配置，進程通信管理等。

　　b)安全機制加固

　　安全機制的使用和正常配置，合理配置，及優化配置。例如日志及審計、備份與恢復，簽名與校驗。加密與通信，特殊授權及訪問控制等。

　　c)數據庫加固

　　數據庫文件和口令設置等

　　3.2配置防病毒服務器

　　購置兩臺同樣配置的服務器產品作為防病毒服務器，這樣方便互相替換用作備用機。放置于煉鋼廠中心機房并接入網絡。往外通過ADsL專線接入互聯網，隔周交替升級最新系統補丁和防病毒軟件，測試穩定無誤后，斷開外網的情況下聯接內網，供一、二級網內各服務器和操作終端升級用。

　　在系統加固和部署網絡防病毒系統的基礎上，我們更進一步，建立一系列生產系統病毒防護制度，更加確保了系統的安全，這包括：

　　·建立管理員責任制度
　　·登記所有防病毒軟件
　　·防毒組件及時更新
　　·每周防毒系統部署情況統計
　　·每周對產生的病毒事件進行評估等

　　通過以上方案的實旅，清除了系統中所有的病毒、木馬和黑客程序，修補了全部的系統漏洞和軟件漏洞，增強了密碼的安全性，使整個系統的安全性、穩健性和速度大大提高。實踐證明，這套方案是切實可行、安全高效的，值得借鑒和推廣。