炼钢厂工业网络安全研究及解决方案

　　(3)由于内部三、四级工作站系统可以通过代理服务器访问互联网，同时在系统安全防护方面做得不够严谨，从而导致互联网病毒由访问互联网的三、四级工作站感染病毒后再传入内部网络，从而导致病毒在内部网络内泛滥：

　　(4)移动存储设备(包括u盘、移动硬盘、光盘等)在别处感染病毒后被带入到内部工业生产网络，通过网络进行大肆传播感染：

　　3 病毒防护系统整体解决方案

　　本方案设计针对病毒威胁中最紧迫且能够短期见效的几个方面着手，首先对网络中的核心系统进行全面的加固，确保当前网络和网络中的所有主机处于一个坚固、干净的状态：其次增加两台同样配置、互为备份的防病毒服务器，在防病毒服务器上部署防病毒系统，并使防病毒服务器可接入互联网实时更新升级，生产系统中的其他服务器和终端通过访问防病毒服务器进行升级，这样就可以确保整个生产系统处于实时的保护状态。在此基础上建立完善的安全管理制度，最终切断病毒的传播途径，实时保护系统免受病毒感染。病毒防护系统整体解决方案拓扑如图2所示：

图2 工业网络防病毒结构示意图

　　3.1工业网络系统的安全加固具体包括

　　a)安全配置加固

　　系统管理和维护的正常配置，合理配置，及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。

　　b)安全机制加固

　　安全机制的使用和正常配置，合理配置，及优化配置。例如日志及审计、备份与恢复，签名与校验。加密与通信，特殊授权及访问控制等。

　　c)数据库加固

　　数据库文件和口令设置等

　　3.2配置防病毒服务器

　　购置两台同样配置的服务器产品作为防病毒服务器，这样方便互相替换用作备用机。放置于炼钢厂中心机房并接入网络。往外通过ADsL专线接入互联网，隔周交替升级最新系统补丁和防病毒软件，测试稳定无误后，断开外网的情况下联接内网，供一、二级网内各服务器和操作终端升级用。

　　在系统加固和部署网络防病毒系统的基础上，我们更进一步，建立一系列生产系统病毒防护制度，更加确保了系统的安全，这包括：

　　·建立管理员责任制度
　　·登记所有防病毒软件
　　·防毒组件及时更新
　　·每周防毒系统部署情况统计
　　·每周对产生的病毒事件进行评估等

　　通过以上方案的实旅，清除了系统中所有的病毒、木马和黑客程序，修补了全部的系统漏洞和软件漏洞，增强了密码的安全性，使整个系统的安全性、稳健性和速度大大提高。实践证明，这套方案是切实可行、安全高效的，值得借鉴和推广。