石化企業計算機網絡安全的技術措施

[摘 要] 隨著石化信息化建設的不斷推進和網絡規模不斷擴大，網絡呈現出開放性、共享性、互聯性，計算機網絡系統面臨各種各樣的安全威脅。本文介紹了洗化廠在計算機網絡安全方面所采取的技術措施，從而保障計算機網絡長期平穩運行。

[關鍵詞] 計算機網絡安全;生產網和辦公網融合;防火墻;交換機; VLAN技術

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 15 . 030

[中圖分類號]F270.7;TP393.08 [文獻標識碼]A [文章編號]1673 - 0194(2010)15- 0068- 04

1引言

撫順石化公司局域網是大型局域網絡，覆蓋撫順石化機關、各直屬廠和其他二級單位，網絡上運行著各種管理系統，保存著大量的重要數據。洗化廠是撫順石化公司直屬廠，網上有380多臺客戶端，廠區面積大，用戶辦公地點分散，而且各部門業務不同，所應用的管理系統也不同。洗化廠在網上與公司運行各種管理系統，如有網上報銷系統、OA系統、工程平臺系統、合同管理系統、中油電子郵件系統、MES系統等。洗化廠互聯網的應用越來越普及，因此，HTTP、SMTP、FTP、POP3等協議，幾乎每天都面臨不同的安全風險;而病毒、蠕蟲、垃圾郵件、木馬程序、間諜軟件、網絡釣魚等惡意行為也在伺機攻擊管理系統。 如果沒有計算機網絡安全作為基礎，管理系統正常運行就無從談起。因此保證管理系統安全可靠地運行成為企業網絡系統的基本職能。

2存在的安全隱患

隨著石化公司信息化建設的不斷推進和網絡規模不斷擴大，網絡呈現出開放性、共享性、互聯性，計算機網絡系統面臨各種各樣的安全威脅，網絡安全形勢嚴峻而復雜。一般大型局域網存在下列安全隱患:

(1) 計算機病毒在內部網絡傳播;

(2) 內部網絡可能被外部黑客攻擊;

(3) 網絡連接安全和數據交換的安全問題;

(4) 內部某些重要服務器被非法訪問，造成信息泄密;

(5) 生產網和辦公網數據交換，造成生產網數據被破壞。

3采取的計算機網絡安全技術

為了保證網絡的安全，可采用多種網絡安全技術，如網絡隔離技術、反防病毒技術、防火墻技術、加密技術、漏洞掃描技術、入侵檢測技術、 安全審計技術等。本文以洗化廠為例加以介紹。圖1是洗化廠網絡拓撲圖。

3.1 生產網和辦公網融合的網絡安全措施

MES(Manufacturing Execution System，生產制造執行系統)，由美國AMR(Advanced Manufacturing Research)組織在1990年提出，定義為“位于上層的計劃管理系統與底層的工業控制之間的面向車間層的管理信息系統”，由此形成了由計劃層、執行層和控制層組成的三層企業集成模型。

MES是撫順石化信息化建設的重點內容，隨著MES快速發展，從客觀上加速了生產網與辦公網的高度融合。為了保證生產網的安全穩定運行，采取了生產網和辦公網物理上隔離，兩網通過防火墻相連，實現了兩網高度融合。

3.1.1生產網和辦公網融合的必要性

MES系統是基于實時數據庫的生產調度管理，實現對生產系統的數據采集，因此運行MES系統必須要與生產網之間進行數據交換。此時，PCS層的生產網不能以一個獨立的網絡運行，而要與辦公網互通、互聯。由于開發和應用MES系統，生產網被接入到辦公網中，生產網與辦公網必須融合為一體。從網絡安全的角度，生產網已經成為MES的一部分。在運行MES 系統時，DCS生產網和辦公網直接相連，會給網絡安全帶來很多隱患。因此在網絡安全技術上，既要保證兩者之間的數據傳輸穩定而可靠，又能最大程度地限制辦公網對DCS生產網造成不良影響。

3.1.2生產網和辦公網融合的實施方法

洗化廠廠內網絡基礎狀況良好，現有的網絡已經涵蓋辦公樓區域和各個生產車間。全廠 DCS 系統主要裝置都已具備數據采集接口，采用 OPC 標準。每個車間有交換機，網絡布置到了各車間辦公室與DCS 連通。公司MES核心交換機直接以千兆網絡連接到洗化廠及各車間MES交換機上。公司MES核心交換機又通過防火墻以百兆網絡連接到公司辦公網。辦公網與生產網物理上是隔離的，通過防火墻匯聚到辦公網上。其他直屬廠也是以同樣方法，將生產網匯聚到公司MES核心交換機上，通過防火墻匯聚到公司辦公網上。這樣整個公司的生產網與辦公網物理上是隔離的，又通過防火墻實現兩網高度融合。合理制定防火墻安全策略，檢查辦公網與生產網的之間信息流向，當辦公網向生產網讀取數據時，保護數據不被破壞。

3.2 部署Symantec防病毒系統

病毒防范是網絡安全的一個基本的、重要部分。撫順石化公司用戶網絡節點多，辦公地點分散，如果采用單機防病毒軟件，成本高，維護起來不方便，防病毒的效果也不理想。通過對病毒傳播、感染的各種方式和途徑進行分析，結合石化公司的網絡特點，在網絡安全的病毒防護方面采用“多級防范、集中管理、以防為主、防治結合”的動態防病毒策略。撫順石化局域網在內部署了Symantec網絡版防病毒系統。Symantec系統是世界公認的防病毒解決方案，具有跨平臺的技術及強大功能，系統中心是中央管理控制臺。通過該管理控制臺集中管理運行Symantec AntiVirus 企業版的服務器和客戶端;可以啟動和調度掃描，以及設置實時防護，從而建立并實施病毒防護策略;管理病毒定義文件的更新，控制活動病毒，管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等。

下面介紹Norton AntiVirus10.0在企業網絡系統中的安裝部署(見圖2)。

第1步:公司安裝企業的Symantec服務器控制中心和“隔離區控制臺”，同時安裝配置LiveUpdate管理實用程序，將更新源指向Symantec LiveUpdate Server，并配置自動防護等相關配置。

第2步:公司在應用服務器上安裝Symantec AntiVirus服務器程序，并將更新源指向系統中心服務器。洗化廠同樣安裝生成Symantec AntiVirus服務器，更新源直接設置為Symantec LiveUpdate Server。

第3步:洗化廠每個網絡客戶端安裝 Symantec AntiVirus客戶端軟件，并接受洗化廠Symantec AntiVirus服務器管理。

在網絡環境中安裝網絡版的殺毒軟件后，強制并要求每臺網絡客戶機都安裝Symantec AntiVirus客戶端軟件，Symantec LiveUpdate Server負責自動為每臺客戶端升級病毒定義文件，從而達到防患于未然的目的。

3.3 防火墻的部署

在應用網絡安全技術方面，防火墻技術是主要技術。防火墻是一種用來保護本地系統或網絡設備，以防止網絡攻擊破壞系統或網絡。它通常位于被保護的網絡和外部網絡的邊界，根據防火墻所配置的安全策略監控和過濾內部網絡和外部網絡之間的所有通信量。

網絡防火墻部署在被保護的企業內部網與不安全的非信任網絡之間，用來保護企業計算機網絡免受非授權人員的騷擾、黑客的入侵和病毒的攻擊。防火墻的基本原理是監測并過濾所有內部網和外部之間的信息交換，保護內部網絡敏感數據不被偷竊和破壞，并記錄內外通信的有關狀態信息日志。

NetScreen 204是目前市場上流行的企業級防火墻產品，可以方便地集成在許多不同的網絡環境中，包括大中型企業的辦公室、電子商務網站、數據中心和電信運營基礎設施。它具有4個自適應10/100M以太網端口，延續了NetScreen防火墻優秀的線速處理能力(400Mbps)，即使在對系統資源要求極高的應用中(諸如VPN-3DES加密)也能保持超過200Mbps的速率。特點是多個可靈活配置的端口;在每個端口上都可以設置防火墻保護策略;VPN通道可以設置在任一端口;集中星型的hub-and-spoke;VPN高可用性(冗余設備)。下面以NetScreen 204防火墻為例簡要介紹企業網中的防火墻部署。

第一步:物理部署防火墻，設置在內外網之間;

第二步:合理制定相關策略，控制內外網之間的信息流向，確保內網信息安全，并對防火墻的日志生成及保存和分析進行配置，以便監控其狀態，優化其性能。

3.4 操作系統和應用程序的安全

石化企業大部分服務器和客戶端幾乎全部采用Microsoft的Windows操作系統，而Microsoft所發布的系統補丁多，而且多為“重要”和“嚴重”級別的補丁，及時更新系統補丁不僅對客戶端非常重要，而且對網絡的運行也同樣重要。要求用戶自己下載補丁并更新系統是不現實的，因此，搭建系統補丁服務器，強制并自動更新用戶系統，就成為保障企業網絡正常運行的一種必要的手段。

中國石油桌面管理系統采用微軟System Management Server 2003服務器以實現桌面及應用系統的補丁分發和管理，提高Windows、Office以及相關軟件的安全性，控制網絡病毒的傳播。SMS桌面管理系統同時能收集資產信息，統計軟件使用情況，分發各類軟件，幫助達到企業級的IT資產管理要求。主要目標是補丁管理和安全管理。主要功能是硬件、軟件資產收集;軟件分發;軟件使用計數;遠程工具;軟件更新管理。

3.5 內部網絡VLAN技術的應用

在局域網中，虛擬子網(VLAN)是由一些局域網網段構成的與地理位置無關的邏輯組，而這些網段具有某些共同需求。由圖1中可以看到，洗化廠核心交換機采用了CISCO 4503交換機，通過對交換機配置VLAN，很好地解決了以太網所固有安全隱患。

3.5.1提高網絡的整體安全性

VLAN建立后，同一VALN內的計算機之間便可以直接通信，不同VLAN間的通信則要通過路由器的網關進行路由選擇、轉發，可以隔離基于廣播的信息，這樣就可以有效阻止非法訪問，大大提高網絡系統的整體安全性。其外，通過路由訪問控制列表、MAC地址分配、屏蔽VLAN路由信息等技術，可以有效控制用戶的訪問權限和邏輯網段大小，將不同用戶群劃分在不同VLAN，從而提高網絡的整體性能和安全性。洗化廠把不同的部門劃分成不同的虛擬子網(VLAN)。對于網絡安全要求特別高的部門，如財務資產部、電子商務部等，劃分獨立的虛擬子網，并使其與局域網隔離，限制其他VLAN虛擬成員的訪問，確保了信息的保密安全。

3.5.2規范了網絡內部IP地址分配

由于網絡用戶不斷增加，使得網絡IP地址的搶用現象也相應增加，嚴重影響了網絡的正常使用。通過建立VLAN后，該VLAN內任何一臺計算機的IP地址都必須在分配給該VLAN的IP地址范圍內，否則將無法通過路由器的審核，也就不能進行通信，因此有效地將IP地址搶用控制在VLAN之內。

3.6 綁定計算機IP地址和物理網卡地址，控制IP地址搶用

用戶沒有按照規定設置IP地址，與另一位用戶IP相同時，就會出現IP地址沖突現象。一旦這種現象頻繁發生，不但會影響用戶網絡暢通，而且還會影響管理系統正常使用。通過交換機命令對IP地址和物理網卡地址進行綁定，有效控制IP地址的搶用。

例如要將 10.103.37.156地址綁定到0011.1107.ca43上時，可以在交換機后臺系統的全局配置模式下，執行字符串命令“arp10.103.37.156 0011.1107.ca43 arpa”， 單擊回車鍵，再執行字符串命令“EXIT”，即可完成地址綁定任務。

4結束語

以上是洗化廠計算機網絡已經應用的網絡安全技術，通過這些安全技術，提高了計算機網絡的安全性，降低了網絡安全事故和安全風險，保證了網絡長期平穩運行，提高了洗化廠管理水平和辦公效率。

主要參考文獻

[1] 劉曉軍，張東明，等. 網絡硬件安裝與管理[M]. 第2版. 北京: 電子工業出版社， 2009.

[2] 蔡永泉，等. 計算機網絡安全理論與技術教程[M]. 北京: 北京航空航天大學出版社， 2003.

[3] 管有慶，王曉軍，等.電子商務安全技術[M]. 北京: 北京郵電大學出版社， 2009.