摘 要：隨著計算機技術(shù)、網(wǎng)絡技術(shù)的發(fā)展，在計算機上處理的重要信息越來越多。包括企業(yè)生產(chǎn)數(shù)據(jù)、圖紙、工藝路線等涉密內(nèi)容。在信息處理能力提高的同時，系統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡連接的安全問題也日益突出。不論是外部網(wǎng)還是內(nèi)部網(wǎng)的網(wǎng)絡都會受到安全的問題的困擾。網(wǎng)絡只有安全，企業(yè)內(nèi)部的重要信息才有保障，企業(yè)才能發(fā)展。

關(guān)鍵詞：網(wǎng)絡；防火墻；黑客；互聯(lián)網(wǎng)

1 信息化現(xiàn)狀

針對企業(yè)網(wǎng)絡的整體構(gòu)架，把安全產(chǎn)品集中放在安全策略區(qū)。安全產(chǎn)品有：千兆防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、桌面管理系統(tǒng)、CA身份認證系統(tǒng)。通過這些安全產(chǎn)品將企業(yè)局域網(wǎng)中的服務器群、交換機群、存儲設備保護起來，達到保護數(shù)據(jù)的目的。卷煙生產(chǎn)企業(yè)主要業(yè)務都是圍繞生產(chǎn)進行的，企業(yè)由二線管理部門及生產(chǎn)車間組成，生產(chǎn)車間包括動力車間、制絲車間、卷包車間和物流中心。企業(yè)內(nèi)部主要存在兩類網(wǎng)絡，生產(chǎn)網(wǎng)和辦公網(wǎng)，外部網(wǎng)網(wǎng)包括互聯(lián)網(wǎng)和煙草行業(yè)廣域網(wǎng)。業(yè)務系統(tǒng)方面，行業(yè)層面上初步形成了以財務業(yè)務一體化的ERP為核心，覆蓋生產(chǎn)、營銷、采購、物流、財務、人力資源、電子政務、行業(yè)監(jiān)管等各個條線的管理信息系統(tǒng)架構(gòu)，工廠層面，已建成包括卷包數(shù)采、制絲中控、能源管控、片煙高架、原料、輔料、成品、五金配件等領(lǐng)域的較完善的生產(chǎn)、物流等底層系統(tǒng)。

2 辦公網(wǎng)、生產(chǎn)網(wǎng)分離及防護

按照《國家煙草專賣局辦公室關(guān)于卷煙工業(yè)企業(yè)信息化建設的指導意見》（以下簡稱“指導意見”）中“兩網(wǎng)分離、層次劃分”的要求，將網(wǎng)絡劃分為管理網(wǎng)和生產(chǎn)網(wǎng)兩部分。其中生產(chǎn)網(wǎng)又垂直劃分為生產(chǎn)執(zhí)行層、監(jiān)督控制層、設備控制層，具體如圖1所示。

同時依據(jù)《互聯(lián)安全規(guī)范》規(guī)定，管理網(wǎng)和生產(chǎn)網(wǎng)連接必須通過互聯(lián)接口完成?；ヂ?lián)接口部署于生產(chǎn)網(wǎng)與管理網(wǎng)之間，其安全功能包括身份鑒別、訪問控制、網(wǎng)絡互連控制、惡意行為防范、安全審計、支撐操作系統(tǒng)安全，安全模型如圖2所示。

3 網(wǎng)絡安全體系的探討

針對生產(chǎn)網(wǎng)和管理網(wǎng)的邊界，按照《互聯(lián)安全規(guī)范》規(guī)定，建議采取部署防火墻進行身份鑒別、訪問控制和網(wǎng)絡互連控制；在生產(chǎn)網(wǎng)和管理網(wǎng)間主要交換機旁路部署工業(yè)異常監(jiān)測引擎，進行惡意行為防范；在操作站、MES系統(tǒng)客戶端、辦公終端、HMI等部署操作站安全系統(tǒng)對主機的進程、軟件、流量、U盤的使用等進行監(jiān)控，防范主機非法訪問網(wǎng)絡其它節(jié)點。

3.1 身份鑒別、訪問控制及網(wǎng)絡互連控制

在生產(chǎn)網(wǎng)和管理網(wǎng)之間部署防火墻進行身份鑒別、訪問控制和網(wǎng)絡互連控制。（1）身份鑒別：生產(chǎn)網(wǎng)和管理網(wǎng)之間進行網(wǎng)絡連接時，基于IP地址和端口號、MAC地址或行業(yè)數(shù)字證書等對請求連接主機身份進行鑒別；生產(chǎn)網(wǎng)與管理網(wǎng)禁止同未通過身份鑒別的主機建立網(wǎng)絡連接。（2）訪問控制：互連接口進行訪問控制措施設置，具體措施結(jié)合訪問主客體具體功能確定；進行細粒度主、客體訪問控制，粒度細化到IP地址和端口號、MAC地址及應用協(xié)議；進行協(xié)議格式的鑒別與過濾，支持FTP、SOAP、OPC、HTTP、SSH、SFTP、數(shù)據(jù)庫通訊等常用協(xié)議。（3）網(wǎng)絡互連控制：只開啟必要的數(shù)據(jù)交換通道；支持對FTP、SOAP、OPC、HTTP、SSH、SFTP、數(shù)據(jù)庫通訊等常用協(xié)議的網(wǎng)絡互連控制；能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡連接。

3.2 惡意行為防范

在生產(chǎn)網(wǎng)和管理網(wǎng)間主要交換機旁路部署工業(yè)異常監(jiān)測引擎，進行惡意行為防范。（1）對生產(chǎn)網(wǎng)與管理網(wǎng)之間的數(shù)據(jù)通信行為進行實時數(shù)據(jù)包抓取和分析，對SQL注入、跨站腳本、惡意指令等異常行為進行監(jiān)測和實時告警。（2）進行流秩序監(jiān)控，包括流分析、流行為、流視圖、流追溯等，對已識別的異常行為進行及時阻斷。

3.3 支撐操作系統(tǒng)防護

在操作站、MES系統(tǒng)客戶端、辦公終端、HMI等部署操作站安全系統(tǒng)對主機的進程、軟件、流量、U盤的使用等進行監(jiān)控，防范主機非法訪問網(wǎng)絡其它節(jié)點。（1）操作站安全審計，包括文件操作審計與控制、打印審計與控制、網(wǎng)站訪問審計與控制、異常路由審計、FTP審計和終端、應用成尋使用審計、刻錄審計、Windows登錄審計等多種審計功能。（2）杜絕非法外聯(lián)，對操作站發(fā)生的任意一個網(wǎng)絡行為進行檢測和識別，并能夠攔截所有存在安全的威脅的網(wǎng)絡訪問。（3）移動存儲管理，對接入操作站的移動存儲設備進行認證、數(shù)據(jù)加密和共享受控管理，確保只有通過認證的移動存儲設備才能夠被授權(quán)用戶使用。（4）及時發(fā)現(xiàn)涉密信息是否在操作站中違規(guī)存放和使用，避免涉密信息違規(guī)存放和使用違規(guī)行為，帶來涉密信息外泄。

3.4 利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全

對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務器的審計文件提供備份。

總之，網(wǎng)絡安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻等單個的系統(tǒng)，而需要仔細考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等結(jié)合在一起，才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。

參考文獻

[1]蔡立軍.計算機網(wǎng)絡安全技術(shù)[M].中國水利水電出版社，2002.

[2]鄧文淵，陳惠貞，陳俊榮.ASP與網(wǎng)絡數(shù)據(jù)庫技術(shù)[M].中國鐵道出版社，2003，4.