生产用在线计算机控制网络防病毒技术方案.docVIP

生产用在线计算机控制网络防病毒技术方案 　　摘要：　主要阐述邯钢西区炼钢厂一级，二级，三级的网络情况，提出钢铁企业并结合炼钢厂生产网络来说明亟待解决的问题和解决办法。 　　关键词：　网络结构；生产网；防病毒 　　中图分类号：TP311 文献标识码：A 文章编号：1671－7597（2012）1020039－02 　　1　邯宝公司网络及网络安全系统总体架构 　　邯宝公司主干网络系统规划根据业务和功能划分共分为四大区域：外部接入区、管理网区域、生产网区域、L2/L3互联专网区域。管理网区域与生产主干网区域之间通过防火墙隔离，生产主干网区域与L2/L3互联专用网区域通过数据交换平台XMB隔离。 　　1）管理网区域：综合楼中心机房节点设置为管理网区域的核心节点。管理网区域的主要功能是为非生产功能区域的企业管理职能信息系统的联网及作为邯宝信息安全缓冲区域。通过相应的网络及安全系统，允许管理网区域用户访问Internet、邯钢集团、及生产主干网的指定资源。 　　2）生产主干网区域：生产主干网以综合楼中心机房为核心覆盖厂区内所有的产线、各个部门、车间的生产区域，为这些区域的生产用户终端提供可靠的网络接入。生产主干网按三层架构分为核心层、分布层、接入层。 　　3）L2/L3互联专用网区域：L2系统对实时性和稳定性的要求非常高，同时对L2系统的安全防护尤其需要重视。L2/L3互联专用网络系统通过数据交换平台XMB实现与生产主干网络物理隔离，专门为L2过程控制机提供可靠的网络接入，实现与整体产销管理系统等相关应用系统的通信。 　　2　生产用在线计算机控制网络的防病毒问题的实际情况 　　邯宝公司网络业务应用系统主要的互联网出口只有一个，一、二级内部业务应用系统服务器与互联网之间没有直接连接，为独立网络；但三、四级工作站可通过使用代理服务器访问互联网，同时三、四级工作站同时有可以访问一、二级服务器，这可能导致入侵者通过代理服务器从互联网入侵到内部网络里，实施各种恶意行为。 　　邯宝公司炼钢厂网络安全保障体系处于初步建设阶段，缺乏安全防护措施及深度防御策略，相关设备如IDS、审计系统、流量管理设备、漏洞扫描系统均在计划中。 　　目前，邯宝公司炼钢厂网络缺乏统一、有效的备份系统，没有统一的网络防病毒防护及监控系统，核心服务器具备双机热备，但没有实施异地容错容灾，缺乏对整体网络的监控、管理平台，缺乏对网络数据流的实时监控、控制能力。 　　3　生产用在线计算机控制网络的特点 　　3.1　网络结构简单 　　生产用在线计算机网络拓扑结构比较简单，是一个单独的网络。所有计算机的ip地址都在一个网段中，也就是在一个广播域中，任意一台计算机出现问题都会影响到整个网络，如病毒可以在整个传播。 　　3.2　该网络不可控制 　　生产用在线计算机网络设备一般采用工业以太网交换机，是一种高可可靠性的工业级的网络设备，同时也是一种可以管理的交换机，但在实际应用中，交换机的管理功能没有使用，在整个网络中的网络设备的状态都是不可控制管理的，这是一种很不可靠的事情。不出现问题则以，出现问题时网络设备的状态没有办法查询。 　　3.3　系统缺乏加固 　　生产计算机用户口令较弱，并且口令没有定期更换。用户权限分配不当且缺乏登陆策略。 　　3.4　没有日常的巡检维护机制 　　生产用在线计算机与生产的密切相关性，除非出现故障，基本不停机，时刻有人在使用。需要提前发现问题，防患于未然。 　　4　解决问题的思路 　　4.1　系统建设目标 　　针对调研情况和目前系统内部计算机病毒泛滥的严峻现实，可确定防病毒系统建设的首要目标是建立起基于网络的防病毒系统，查杀围剿网络中现存的计算机病毒，恢复现有系统运行的正常秩序。在网络中部署一台防病毒系统服务器，安装网络防病毒系统；在全网计算机中部署统一的防病毒客户端软件，升级到必威体育精装版的病毒库，开启实时扫描功能；由服务器发起，在全部计算机执行同一时间开始的全面病毒查杀；由服务器端检查病毒查杀情况，对个别不能清除的使用专杀工具清除。 　　4.2　技术方案 　　在服务器上安装趋势officescan7.3防病毒系统网络版，升级病毒引擎、病毒库、TSC等程序到必威体育精装版版本；以软件安装包和在线安装两种方式实施客户端部署；病毒库的升级采用半自动方式：定期从趋势网站下载必威体育精装版的病毒库更新软件TSUT，该软件包含全部升级和增量升级两种方式；由专人使用专用的移动存储复制到服务器上；然后在服务器端运行该软件，自动完成病毒库升级；由服务器端自动向下面的客户端部署，实现自动更新。病毒扫描方式可采用客户端实时扫描加服务器发起定期统一全网查杀两种方式；对防病毒系统的管理采用管理员以WEB方式访问服务器的方式。 　　控制病毒传播的途径：病毒的传播途