徐東

（天津鞍鋼天鐵冷軋薄板有限公司，天津 300301）

鞍鋼天鐵公司網(wǎng)絡(luò)問(wèn)題探討與防范措施

徐東

（天津鞍鋼天鐵冷軋薄板有限公司，天津 300301）

結(jié)合鞍鋼天鐵公司的網(wǎng)絡(luò)現(xiàn)狀，分析了公司生產(chǎn)和運(yùn)營(yíng)過(guò)程中出現(xiàn)的計(jì)算機(jī)網(wǎng)絡(luò)整體架構(gòu)不合理、病毒屢殺不止等安全隱患。通過(guò)對(duì)生產(chǎn)網(wǎng)、管理網(wǎng)、病毒采取防范措施，有效地解決了計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患，使企業(yè)的網(wǎng)絡(luò)系統(tǒng)更加規(guī)范化，為公司生產(chǎn)和運(yùn)營(yíng)提供了可靠的信息化基礎(chǔ)保障。

網(wǎng)絡(luò) 隱患 安全 防范

1 引言

隨著鞍鋼天鐵公司生產(chǎn)規(guī)模的不斷擴(kuò)大，MES生產(chǎn)制造系統(tǒng)、OA辦公自動(dòng)系統(tǒng)、ERP管理等信息化系統(tǒng)在生產(chǎn)運(yùn)營(yíng)控制中起到了至關(guān)重要的作用。信息化的快速發(fā)展離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)支撐，信息化技術(shù)的廣泛應(yīng)用為生產(chǎn)運(yùn)營(yíng)帶來(lái)方便與實(shí)惠，同時(shí)也為計(jì)算機(jī)網(wǎng)絡(luò)安全帶來(lái)了沖擊與挑戰(zhàn)。本文著重分析了計(jì)算機(jī)網(wǎng)絡(luò)中常見(jiàn)的幾種安全隱患，并針對(duì)這些隱患采取了一系列的整改措施，有效地解決了企業(yè)運(yùn)行中的網(wǎng)絡(luò)安全隱患。事實(shí)證明，解決計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的問(wèn)題及其隱患，在提高生產(chǎn)運(yùn)營(yíng)的工作效率的同時(shí)，也在提高公司在市場(chǎng)競(jìng)爭(zhēng)中的優(yōu)勢(shì)。

2 公司網(wǎng)絡(luò)現(xiàn)狀及存在隱患

2.1 網(wǎng)絡(luò)整體架構(gòu)

網(wǎng)絡(luò)架構(gòu)主要分為生產(chǎn)網(wǎng)和管理網(wǎng)。生產(chǎn)網(wǎng)主要運(yùn)行產(chǎn)銷一體化系統(tǒng)，對(duì)負(fù)責(zé)生產(chǎn)的過(guò)程控制系統(tǒng)進(jìn)行通訊。生產(chǎn)網(wǎng)連通生產(chǎn)計(jì)劃部門與生產(chǎn)作業(yè)區(qū)域，網(wǎng)絡(luò)覆蓋整個(gè)廠區(qū)，網(wǎng)絡(luò)介質(zhì)以多模光纖為主。管理網(wǎng)主要覆蓋在公司的辦公大樓，以日常辦公管理為主，與外部網(wǎng)站發(fā)生數(shù)據(jù)交換。

生產(chǎn)網(wǎng)以兩臺(tái)核心交換機(jī)為主，根據(jù)不同生產(chǎn)區(qū)域進(jìn)行了VLAN劃分，向下聯(lián)結(jié)二層交換機(jī)或接入層交換機(jī)覆蓋到廠區(qū)各個(gè)角落，兩臺(tái)核心交換機(jī)互為熱備，以保證網(wǎng)絡(luò)時(shí)刻暢通。

管理網(wǎng)分布比較簡(jiǎn)單。管理網(wǎng)通過(guò)在路由器上進(jìn)行IP和MAC的綁定，將網(wǎng)絡(luò)分為Internet外網(wǎng)用戶和內(nèi)部網(wǎng)用戶，Internet外網(wǎng)用戶既可以訪問(wèn)外部互聯(lián)網(wǎng)絡(luò)，也可以訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)服務(wù)；內(nèi)部網(wǎng)用戶不能訪問(wèn)外部互聯(lián)網(wǎng)絡(luò)，但可以訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)服務(wù)。

生產(chǎn)網(wǎng)與管理網(wǎng)通過(guò)防火墻隔離，兩網(wǎng)之間不能相互訪問(wèn)。

整體網(wǎng)絡(luò)拓?fù)鋱D見(jiàn)圖1。

圖1 公司整體網(wǎng)絡(luò)拓?fù)鋱D

2.2 生產(chǎn)網(wǎng)中存在的網(wǎng)絡(luò)隱患

生產(chǎn)網(wǎng)中主要存在的安全隱患是物理隱患，核心交換機(jī)至廠區(qū)各作業(yè)區(qū)鋪設(shè)多模光纜，均為單線路敷設(shè)，未形成環(huán)網(wǎng)，一旦其中一條光纜折斷，無(wú)法在短時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)進(jìn)行恢復(fù)，只能進(jìn)行光纜搶修續(xù)借。

其次，財(cái)務(wù)系統(tǒng)接入生產(chǎn)網(wǎng)的核心交換機(jī)，它與產(chǎn)銷系統(tǒng)服務(wù)器之間有數(shù)據(jù)通訊，財(cái)務(wù)計(jì)算機(jī)可隨意插拔移動(dòng)存儲(chǔ)設(shè)備，造成了病毒、木馬傳播。針對(duì)財(cái)務(wù)計(jì)算機(jī)病毒多這一現(xiàn)象，雖然對(duì)專人配備專用U盤、移動(dòng)硬盤，但也未能真正解決病毒的傳播問(wèn)題。

2.3 管理網(wǎng)中網(wǎng)絡(luò)架構(gòu)不合理

管理網(wǎng)未劃分任何VLAN，它運(yùn)行在一個(gè)默認(rèn)的大的子網(wǎng)下，通過(guò)子網(wǎng)掩碼控制192.168.0.1網(wǎng)段與192.168.1.1網(wǎng)段之間的訪問(wèn)。在這種網(wǎng)絡(luò)架構(gòu)下，一旦被人攻擊或者爆發(fā)廣播風(fēng)暴，就會(huì)造成整個(gè)管理網(wǎng)的癱瘓，而且故障排查起來(lái)較為困難。

以二層交換機(jī)作為管理網(wǎng)的匯聚交換機(jī)雖然目前能夠滿足網(wǎng)絡(luò)負(fù)載帶來(lái)的壓力，但一旦出現(xiàn)網(wǎng)絡(luò)壓力過(guò)大的情況，二層交換機(jī)就不能滿足需要，無(wú)法保證管理網(wǎng)絡(luò)的暢通運(yùn)行。而且二層交換機(jī)無(wú)法進(jìn)行熱備，一旦交換機(jī)出現(xiàn)物理故障，只能進(jìn)行硬件的更換，勢(shì)必也會(huì)對(duì)快速恢復(fù)網(wǎng)絡(luò)帶來(lái)一定的困難和壓力。

路由器直接接入外部互聯(lián)網(wǎng)絡(luò)，沒(méi)有任何安全措施進(jìn)行有效的隔離，容易被外部攻擊，造成計(jì)算機(jī)用戶無(wú)法登陸外部互聯(lián)網(wǎng)絡(luò)，嚴(yán)重的可能引起管理網(wǎng)阻塞以及公司的重要信息被盜、被篡改等問(wèn)題。

2.4 病毒侵害

計(jì)算機(jī)病毒程序不僅會(huì)侵害正在使用的計(jì)算機(jī)系統(tǒng)，還能在網(wǎng)絡(luò)上肆虐侵害其他計(jì)算機(jī)。一方面造成其他計(jì)算機(jī)不能正常地進(jìn)行日常工作，另一方面影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)行，嚴(yán)重的將導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。

計(jì)算機(jī)病毒在網(wǎng)絡(luò)中傳播主要有3種形式：計(jì)算機(jī)登陸不良網(wǎng)站或不小心點(diǎn)擊掛馬網(wǎng)站引起的中毒進(jìn)行傳播病毒；通過(guò)郵件的形式來(lái)傳播病毒；通過(guò)插拔移動(dòng)存儲(chǔ)設(shè)備在計(jì)算機(jī)上進(jìn)行傳播。對(duì)企業(yè)來(lái)說(shuō)，前兩種傳播病毒方式所占比例較低，在計(jì)算機(jī)上隨意插拔未進(jìn)行病毒掃描的移動(dòng)存儲(chǔ)設(shè)備是造成病毒傳播的主要方式。

雖然公司安裝了網(wǎng)絡(luò)版的殺毒軟件，但是計(jì)算機(jī)病毒的傳播和泛濫卻屢禁不止，這就涉及到計(jì)算機(jī)及其相關(guān)設(shè)備的安全操作行為，計(jì)算機(jī)的使用者在使用計(jì)算機(jī)時(shí)，沒(méi)有養(yǎng)成正確的使用習(xí)慣，更沒(méi)有意識(shí)到計(jì)算機(jī)病毒病毒對(duì)企業(yè)信息數(shù)據(jù)以及計(jì)算機(jī)本身造成的危害。

2.5 惡意盜改IP和MAC地址

公司的管理網(wǎng)分為外部Internet互聯(lián)網(wǎng)和內(nèi)部網(wǎng)，企業(yè)為控制出口帶寬能夠更大限度地滿足日常的辦公需求，對(duì)能夠使用Internet互聯(lián)網(wǎng)的用戶數(shù)量進(jìn)行了控制，主要的技術(shù)手段是在外部出口的路由器上對(duì)可以登錄的互聯(lián)網(wǎng)用戶進(jìn)行靜態(tài)的IP與MAC地址綁定，未經(jīng)綁定的用戶就只能訪問(wèn)公司的內(nèi)部服務(wù)與應(yīng)用。

這種管理方式直接造成了一部分用戶無(wú)法登錄互聯(lián)網(wǎng)，而一部分用戶惡意地利用局域網(wǎng)掃描軟件，搜索能夠登錄互聯(lián)網(wǎng)用戶的IP和MAC地址信息，將自己的網(wǎng)卡IP和MAC址配置成他人的信息，一旦該用戶優(yōu)先搶到網(wǎng)絡(luò)占有權(quán)，就會(huì)造成他人無(wú)法進(jìn)行正常的網(wǎng)絡(luò)訪問(wèn)。

3 安全防范措施

3.1 生產(chǎn)網(wǎng)安全防范措施

針對(duì)生產(chǎn)網(wǎng)網(wǎng)絡(luò)輻射單線路這一現(xiàn)狀，應(yīng)采用就近原則對(duì)各個(gè)機(jī)組進(jìn)行環(huán)網(wǎng)聯(lián)結(jié)，以保證其中某一機(jī)組的光纜折斷之后，不會(huì)影響該機(jī)組的網(wǎng)絡(luò)使用。

對(duì)于財(cái)務(wù)系統(tǒng)的木馬、病毒防范，一方面可以在防火墻的DMZ區(qū)建立FTP服務(wù)器或者郵件服務(wù)器，用來(lái)進(jìn)行數(shù)據(jù)的傳輸和交換，以此來(lái)替代移動(dòng)存儲(chǔ)設(shè)備的頻繁使用。另一個(gè)方面，使計(jì)算機(jī)使用者養(yǎng)成一個(gè)良好的使用習(xí)慣，設(shè)置系統(tǒng)口令，不讓其他人隨意在計(jì)算機(jī)上插拔移動(dòng)存儲(chǔ)設(shè)備，并且在插入移動(dòng)存儲(chǔ)設(shè)備之前進(jìn)行病毒的查殺。

3.2 管理網(wǎng)安全防范措施

重新對(duì)管理網(wǎng)的整體架構(gòu)進(jìn)行整理，按照不同的辦公地點(diǎn)劃分VLAN，以此來(lái)隔離可能產(chǎn)生的廣播風(fēng)暴。

更換匯聚層交換機(jī)，改用三層交換機(jī)，并采用雙機(jī)冗余備份模式，以平衡網(wǎng)絡(luò)負(fù)載，保證網(wǎng)絡(luò)暢通和快速運(yùn)轉(zhuǎn)。

在管理網(wǎng)的出口位置增加防火墻，將管理網(wǎng)與外部進(jìn)行隔離，不但可以控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包，也可以提供網(wǎng)絡(luò)的使用和流量的日志和審計(jì)，同時(shí)，它隱藏了內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)，以防止來(lái)自外部的入侵和攻擊。

3.3 病毒防范與處理

相對(duì)于生產(chǎn)網(wǎng)，管理網(wǎng)中的病毒防治更加困難，可以從以下3個(gè)方面針對(duì)計(jì)算機(jī)病毒的進(jìn)行防治。

3.3.1 利用技術(shù)手段迫使計(jì)算機(jī)用戶養(yǎng)成良好的使用習(xí)慣

安裝網(wǎng)路版殺毒軟件，對(duì)收到的郵件及時(shí)殺毒；設(shè)置計(jì)算機(jī)系統(tǒng)口令，保證自身計(jì)算機(jī)數(shù)據(jù)不被他人任意拷貝；在系統(tǒng)的組策略中關(guān)閉系統(tǒng)中自動(dòng)運(yùn)行程序，禁止雙擊移動(dòng)存儲(chǔ)設(shè)備等。

3.3.2 安裝桌面安全管理系統(tǒng)

通過(guò)在計(jì)算機(jī)上安裝桌面安全管理系統(tǒng)的客戶端，實(shí)現(xiàn)對(duì)公司計(jì)算機(jī)的集中控制管理，減少移動(dòng)存儲(chǔ)設(shè)備的使用頻率，同時(shí)還可以采用上網(wǎng)行為控制系統(tǒng)對(duì)計(jì)算機(jī)的上外網(wǎng)用戶予以管理，規(guī)范用戶的計(jì)算機(jī)使用行為，極大程度地控制病毒的傳播。

3.4 IP地址盜用的防范措施

對(duì)于惡意更改計(jì)算機(jī)IP和MAC地址的現(xiàn)象，可以通過(guò)桌面管理軟件的身份認(rèn)證體系，拒絕外來(lái)計(jì)算機(jī)隨意接入公司網(wǎng)絡(luò)。

利用應(yīng)用軟件技術(shù)的同時(shí)，加強(qiáng)對(duì)IP資源的管理，嚴(yán)格控制IP地址的發(fā)放與設(shè)置，對(duì)于新增的IP地址詳細(xì)記錄到使用人、計(jì)算機(jī)資產(chǎn)信息、使用地點(diǎn)，在發(fā)生惡意篡改IP地址時(shí)，可以第一時(shí)間找到該IP地址并進(jìn)行處理。

4 結(jié)束語(yǔ)

通過(guò)對(duì)管理網(wǎng)進(jìn)行重新規(guī)劃，劃分VLAN；在管理網(wǎng)上重新部署殺毒軟件，預(yù)防病毒傳播；采用桌面安全、上網(wǎng)行為系統(tǒng)規(guī)范用戶的使用習(xí)慣等措施，使企業(yè)的網(wǎng)絡(luò)系統(tǒng)更加規(guī)范化，為公司生產(chǎn)和運(yùn)營(yíng)提供了可靠的信息化基礎(chǔ)保障。

Discussion and Prevention Measures for Angang Tiantie Network

Xu Dong
(Tianjin Angang Tiantie Cold Rolling Sheet Company Limited,Tianjin 300301,China)

Hidden security problems are analyzed of unreasonable network architecture and constantly re-emerging viruses in spite of scanning and killing in production and operation,in combination with the current situation of Angang Tiantie network.Virus prevention measures are taken for production and management networks to effectively solve the hidden security problems in computer network,to standardize network system and to provide an ensured reliable information base for production and operation in the company.

network,hidden trouble,security,prevention

徐東，男，主要從事系統(tǒng)網(wǎng)絡(luò)技術(shù)支持與開(kāi)發(fā)工作。

（收稿 2012－03－20 編輯 潘娜）