王訓華，唐清權，孫水平

（廣東南方堿業(yè)股份有限公司，廣東廣州 510760）

論流程型企業(yè)計算機網絡安全體系建設

王訓華，唐清權，孫水平

（廣東南方堿業(yè)股份有限公司，廣東廣州 510760）

介紹了流程型企業(yè)計算機網絡的硬件建設和軟件建設，構造立體縱深的網絡信息防御系統(tǒng)，有效地克服平面網絡結構抵御入侵能力差、控制失效的弱點。

計算機網絡；硬件；軟件；安全體系

在國家推進“兩化”深度融合的進程中，流程型工業(yè)企業(yè)計算機應用和信息化建設取得了長足的發(fā)展，廣東南方堿業(yè)公司計算機應用和信息化建設已具規(guī)模，EAS（ERP）、DCS、MIS、計量稱重、PLC數(shù)據采集等管理信息系統(tǒng)相繼建成并已投入使用。在公司、基層站二級網絡的支撐下，以MIS和DCS為核心的各項計算機應用系統(tǒng)已在公司生產經營中發(fā)揮著越來越重要的作用。

由于流程型企業(yè)的計算機管理信息系統(tǒng)的實時性、強穩(wěn)定性，只具備網絡或者信息總線相連功能的現(xiàn)場網絡和辦公網絡是無法滿足生產和管理要求的。鑒于通常企業(yè)信息網絡（局域網和互聯(lián)網）安全方面已存在的系統(tǒng)漏洞和隱患，利用簡單常用的技術防范思路已無法解決其根本問題，要解決問題須要及時調整網絡系統(tǒng)構造，采用先進的網絡信息安全技術和硬件技術，構造立體縱深的網絡信息防御系統(tǒng)，有效地克服平面網絡結構抵御入侵能力差、控制失效的弱點。

計算機網絡安全體系建設分為硬件體系和軟件體系建設。

1 硬件建設

流程型企業(yè)MIS網絡安全的硬件建設可謂是網絡安全建設的基礎，可以提高網絡信息安全的穩(wěn)定性。

1.1 網絡安全硬件關鍵技術

路由器NAT技術，防火墻（Firewall）、虛擬局域網（VLAN）和物理隔離與信息交換系統(tǒng)等等構成了網絡安全硬件的關鍵技術。

1.2 流程型企業(yè)MIS系統(tǒng)網絡安全體系

從功能模塊上來說包括計算機網絡操作系統(tǒng)、功能軟件應用系統(tǒng)、網絡防火墻、路由器網絡監(jiān)控及掃描、網絡防御病毒系統(tǒng)等多個子系統(tǒng)組成的。通常這也是企業(yè)信息網絡結構的普遍體系。

從網絡架構上一般分為兩大塊：ERP信息系統(tǒng)和現(xiàn)場生產控制網絡系統(tǒng)（DCS系統(tǒng)）。南方堿業(yè)計算機MIS系統(tǒng)根據我司發(fā)展的需要，采取了適合公司發(fā)展的設計——三層網絡信息平臺結構：包括底層DCS生產控制系統(tǒng)，MES生產管理系統(tǒng)，EAS系統(tǒng)（ERP）。既滿足了生產控制網絡的絕對安全，又保證了信息資源的共享。為了公司信息網絡安全穩(wěn)定的運行，南方堿業(yè)采用了多級安全網絡防護，網閘、防火墻、網絡管理系統(tǒng)、網絡殺毒軟件、計算機安全管理條例等手段相結合。

1）物理隔離與信息交換系統(tǒng)（網閘）。公司內部DCS生產控制網絡是公司各生產車間工序操作控制及調度系統(tǒng)的指揮中樞，必須要時刻確保操作控制及調度指令實時、準確下達和執(zhí)行。南方堿業(yè)采用的是安全隔離與信息交換系統(tǒng)，該系統(tǒng)對網絡通信進行完整采集、深層解析、應用重建，在網絡間采用專用非TCP／IP進行數(shù)據交換，同時，該系統(tǒng)對網絡通信的主體、客體進行綜合的認證，確保通信安全可靠，從而實現(xiàn)在保證內外網絡相互隔離的基礎上進行適度的、可靠的數(shù)據交換。物理隔離與信息交換系統(tǒng)能夠集成傳統(tǒng)安全技術，進一步增強系統(tǒng)的防護能力。

通過使用安全隔離與信息交換系統(tǒng)，南方堿業(yè)建立一套完整的、具有高精訪問控制能力的、可防范各種安全風險的安全防護措施，確保了DCS系統(tǒng)的安全運行和數(shù)據的實時傳輸，任憑外網時有驚濤核浪，DCS過程控制網絡一直安然無恙。如圖1。

圖1 安全隔離與信息交換系統(tǒng)

2）防火墻。防火墻可防止“黑客”進入網絡的防御體系，可以限制外部用戶進入內部網，同時過濾掉危及網絡的不安全服務，拒絕非法用戶的進入。南方堿業(yè)采用Stonegate防火墻，此防火墻內置多鏈路VPN，將故障容錯以及透明切換技術增加到VPN隧道以及VPN客戶端連接中，這為組合后的防火墻－VPN提供了優(yōu)勢。通過VPN，能夠更安全地從異地聯(lián)入內部網絡。同時帶有強大路由功能，首先屏蔽所有的IP地址，然后有選擇的放行一些地址進入網絡。也可以過濾服務協(xié)議，允許需要的協(xié)議通過，而屏蔽其他有安全隱患的協(xié)議。

3）網絡管理系統(tǒng)。南方堿業(yè)整個局域網絡系統(tǒng)采用光纜通訊編布公司各地，網絡系統(tǒng)采用融合網絡的交換機及管理系統(tǒng)，可隨時監(jiān)控、管理整個網絡運行狀態(tài)，郵件的收發(fā)、帶寬流量、訪問網站等管理，出現(xiàn)故障及攻擊可立即發(fā)現(xiàn)并隔斷。有效的防止病毒的傳染。核心交換機采用的是融合網絡的三層交換機，最關鍵的工作是訪問控制功能和三層交換功能。訪問控制對于交換機就是利用訪問控制列表ACL來實現(xiàn)用戶對數(shù)據包按照源和目的地址、協(xié)議、源和目的端口等各項的不同要求進行篩選和過濾。同時依據實際需求劃分多個VLAN，如辦公室網絡一個網段、車間網絡一個網段、視頻監(jiān)控一個網段等。

2 軟件建設——管理

流程型企業(yè)MIS網絡安全的軟件系統(tǒng)的管理主要包括網絡軟件應用程序的管理和利用網絡資源行為管理。

2.1 網絡殺毒軟件

南方堿業(yè)采用了卡巴斯基和Nod32網絡版殺毒軟件相結合使用。網絡殺毒軟件能有效的管理各種PC機和工控機的應用軟件安全。

2.2 管理計算機網絡操作系統(tǒng)

1）操作系統(tǒng)的裁剪：不安裝或刪除不必要使用的系統(tǒng)組件；

2）操作系統(tǒng)服務裁剪：關閉所有不使用的服務和端口，并清除不使用的磁盤文件；

3）操作系統(tǒng)漏洞控制：公司ERP服務器采用的是AIX系統(tǒng)，大大減低了中毒的可能性。一旦發(fā)現(xiàn)存在系統(tǒng)漏洞或者安全隱患，立即強制其安裝相應的系統(tǒng)補丁或者組件。

2.3 規(guī)范利用網絡資源行為

有效的技術手段只是網絡安全的基礎工作，僅靠網絡安全技術是絕對無法確保信息安全的。建立嚴格的信息網絡安全管理制度，規(guī)范使用網絡資源的行為，養(yǎng)成良好的使用網絡及資源的習慣，才能充分發(fā)揮網絡安全技術的效能，才能使網絡信息更加安全可靠。

MIS系統(tǒng)網絡安全包括了硬件設備的安全和軟件系統(tǒng)的安全。設備的安全主要是依賴硬件設計、使用壽命、使用環(huán)境等客觀因素，可控性相對較低，軟件系統(tǒng)安全包括各網絡控制單元和網絡上的計算機應用系統(tǒng)軟件的安全，這部分的安全主要是受外界病毒，黑客攻擊引起，可以這么說，只要有軟件系統(tǒng)，這些安全因素就時刻存在。因此軟件系統(tǒng)的安全是計算機網絡安全的重要體現(xiàn)。

MIS應用軟件系統(tǒng)的安全可以通過網閘，硬件防火墻，路由規(guī)則，防病毒軟件等技術手段實現(xiàn)。然而，軟件系統(tǒng)的安全實際上是和良好的使用網絡資源的習慣緊密聯(lián)系。要養(yǎng)成良好的使用網絡資源的習慣就要有良好的MIS系統(tǒng)管理條例。

首先，要有良好的應用軟件系統(tǒng)平臺和系統(tǒng)資源保護意識，不給外界病毒，黑客等有可乘之機。例如使用的計算機上安裝防病毒軟件，關閉一些不常使用的端口和服務等。

其次，養(yǎng)成良好的使用應用軟件系統(tǒng)和網絡資源的習慣。軟件資源和網絡資源都是以文件形式存在于計算機中，破壞文件就能破壞資源的目的，通常的病毒都是通過破壞文件的形式來達到其目的的。因此，如何有效的隔離病毒的傳播是重要的一個保證網絡安全的手段。網閘雖然可阻斷網絡間的病毒傳染，但確不能阻斷人為的病毒傳播。在日常學習工作中，U盤等移動設備的頻繁使用給計算機網絡安全帶來了隱患，尤其是一些未安裝防病毒軟件的工業(yè)計算機，有效合理的使用U盤等移動設備可以降低計算機網絡安全事故，例如使用前需殺殺毒或者直接關閉一些重要計算機的USB口。

最后，加強隊伍建設，建設一支高素質的專業(yè)技術管理團隊是保證計算機網絡安全的組織保障。

3 結 語

目前計算機網絡已經深入到公司生產經營管理的各個領域。創(chuàng)建高效的公司計算機網絡安全防護體系，將是公司信息化建設的有力保障。但建立計算機信息安全體系是一個復雜而又龐大的系統(tǒng)工程，涉及的問題復雜種類繁多，新的病毒還在不斷涌現(xiàn)，只有繼續(xù)不斷地對計算機網絡安全體系進行深入的研究和探討，與時俱進，不斷創(chuàng)新，才能更好的實現(xiàn)網絡安全，保證公司信息化建設的正常進行。

TP 393.08

B

1005－8370（2012）01－14－03

2011－11－11