生产用在线计算机控制网络防病毒技术方案

1、生产用在线计算机控制网络防病毒技术方摘要： 主要阐述邯钢西区炼钢厂一级，二级，三级的网 络情况，提出钢铁企业并结合炼钢厂生产网络来说明亟待解 决的问题和解决办法。关键词：网络结构；生产网；防病毒中图分类号：tp311文献标识码：a文章编号：1671 7597 (2012) 1020039-021邯宝公司网络及网络安全系统总体架构邯宝公司主干网络系统规划根据业务和功能划分共分 为四大区域：外部接入区、管理网区域、生产网区域、l2/l3 互联专网区域。管理网区域与生产主干网区域之间通过防火 墙隔离，生产主干网区域与l2/l3互联专用网区域通过数据 交换平台xmb隔离。1) 管理网区域：综合楼中心机

2、房节点设置为管理网区 域的核心节点。管理网区域的主要功能是为非生产功能区域 的企业管理职能信息系统的联网及作为邯宝信息安全缓冲 区域。通过相应的网络及安全系统，允许管理网区域用户访 问internet.邯钢集团、及生产主干网的指定资源。2) 生产主干网区域：生产主干网以综合楼中心机房为 核心覆盖厂区内所有的产线、各个部门、车间的生产区域， 为这些区域的生产用户终端提供可靠的网络接入。生产主干 网按三层架构分为核心层、分布层、接入层。3) l2/l3互联专用网区域：l2系统对实时性和稳定性 的要求非常高，同时对l2系统的安全防护尤其需要重视。 l2/l3互联专用网络系统通过数据交换平台xmb实现

3、与生产 主干网络物理隔离，专门为l2过程控制机提供可靠的网络 接入，实现与整体产销管理系统等相关应用系统的通信。2生产用在线计算机控制网络的防病毒问题的实际情况邯宝公司网络业务应用系统主要的互联网出口只有一个，一、二级内部业务应用系统服务器与互联网之间没有直 接连接，为独立网络；但三、四级工作站可通过使用代理服 务器访问互联网，同时三、四级工作站同时有可以访问一、 二级服务器，这可能导致入侵者通过代理服务器从互联网入 侵到内部网络里，实施各种恶意行为。邯宝公司炼钢厂网络安全保障体系处于初步建设阶段， 缺乏安全防护措施及深度防御策略，相关设备如ids、审计 系统、流量管理设备、漏洞扫描系统均在计

4、划中。目前，邯宝公司炼钢厂网络缺乏统一、有效的备份系统, 没有统一的网络防病毒防护及监控系统，核心服务器具备双 机热备，但没有实施异地容错容灾，缺乏对整体网络的监控、 管理平台，缺乏对网络数据流的实时监控、控制能力。3生产用在线计算机控制网络的特点3. 1网络结构简单生产用在线计算机网络拓扑结构比较简单，是一个单独的网络。所有计算机的ip地址都在一个网段中，也就是在一个广播域中,任意一台计算机出现问题都会影响到整个网络，如病毒可以在整个传播。3.2该网络不可控制生产用在线计算机网络设备一般采用工业以太网交换 机，是一种髙可可靠性的工业级的网络设备，同时也是一种 可以管理的交换机，但在实际应用中

5、，交换机的管理功能没 有使用，在整个网络中的网络设备的状态都是不可控制管理 的，这是一种很不可靠的事情。不出现问题则以，出现问题 时网络设备的状态没有办法查询。3. 3系统缺乏加固生产计算机用户口令较弱，并且口令没有定期更换。用户权限分配不当且缺乏登陆策略。3.4没有日常的巡检维护机制生产用在线计算机与生产的密切相关性，除非出现故障，基本不停机，时刻有人在使用。需要提前发现问题，防 患于未然。4解决问题的思路4. 1系统建设目标针对调研情况和目前系统内部计算机病毒泛滥的严峻 现实，可确定防病毒系统建设的首要目标是建立起基于网络 的防病毒系统，查杀围剿网络中现存的计算机病毒，恢复现 有系统运行的

6、正常秩序。在网络中部署一台防病毒系统服务 器，安装网络防病毒系统；在全网计算机中部署统一的防病毒客户端软件，升级到最新的病毒库，开启实时扫描功能;由服务器发起,在全部计算机执行同一时间开始的全面病毒查杀；由服务器端检查病毒查杀情况，对个别不能清除的使 用专杀工具清除。4. 2技术方案在服务器上安装趋势officescan7. 3防病毒系统网络 版，升级病毒引擎、病毒库、tsc等程序到最新版本；以软 件安装包和在线安装两种方式实施客户端部署；病毒库的升 级采用半自动方式：定期从趋势网站下载最新的病毒库更新 软件tsut,该软件包含全部升级和增量升级两种方式；由专 人使用专用的移动存储复制到服务器

7、上；然后在服务器端运 行该软件，自动完成病毒库升级；由服务器端自动向下面的 客户端部署，实现自动更新。病毒扫描方式可采用客户端实 时扫描加服务器发起定期统一全网查杀两种方式；对防病毒 系统的管理采用管理员以web方式访问服务器的方式。控制病毒传播的途径：病毒的传播途径有很多种如：网 络传播、移动存储设备等。生产用在线计算机控制网络是一 个相对独立的网络，这个网络和连接在这个网络上的计算机 是不会产生病毒的，病毒只能来源于网络的外部。针对控制 网络的出口做严格的限制，可以有效的控制病毒的网络传播 途径。对生产用计算机做策略，控制生产用计算机只能运行 生产程序，其他程序不能运行，其他移动存储设备只

8、能计算 机维护人员可以使用，可以减少移动存储设备传播病毒的机 率。增强控制网络的可控可管性：控制网络的网络设备可以 管理的网络设备，尽量应用网络设备的管理功能，可以掌握 网络设备的状态和网络的运行状态。可控可管的网络，在日 常的维护管理过程中，能够提前发现异常现象，如流量的异 常增加，网络的间断问题，早发现，早分析，早解决。应指 定专人负责系统管理、病毒查杀、日常检查、补丁更新等工 作； 由于双网卡主机的存在，使"隔离网络”名不副实。 可采用防火墙或者防病毒网关，以访问控制、病毒网关查杀 等方式，既可实现病毒库全自动部署，又能实现网络“逻辑 隔离”；主干网防病毒能力目前受到限制，只能

9、采取前述的 手工下载病毒升级包的方式，可考虑升级主干网防病毒能 力，使本地防病毒服务器能够接受上层主干网防病毒系统的 管理。通过对网络设备的管理，尽量对生产用在线计算机的 数据流向进行整理控制，尽量减小网络广播的范围，尽量做 到需要访问的就可以访问到，不需要访问的应该被禁止。加强生产用计算机的安全性：打全补丁，使用强口令,停止不需要的服务，禁止u盘移动硬盘自动播放，给予远程 用户执行日常任务所必需的最低等级的访问许可权。同时可 以考虑通过策略，最计算机的功能进行限制。建立控制网络 和生产用在线计算机的日常巡检制度，如周，月的巡检范围, 巡检人员，巡检情况等。5进度要求针对我厂网络实际情况，为保证生产用在线计算机的稳定顺行。成立网络小组当问题出现时及时处理解决问题:5.1前期调研整理数据对控制网络的岗位、生产用计算机、网络情况进行数据统计，重点为网络结构、网络设备。5.2对在线计算机安全性进行加强在前期调研的情况下，与相关人员讨论研究，制定方案，在生产间隙对计算机安全性进行加强。5.3对网络设备的管理功能的实现针对网络设备、与相关技术人员沟通，至少做到网络设备本地可管理。5.4对网络进行优化在实现网络可管理的基础上对网络进行优化，