论流程型企业计算机网络安全体系建设.pdf

14
纯碱工业
论流程型企业计算机网络安全体系建设
王训华,唐清权,孙水平
广东南方碱业股份有限公司,广东广州510760)
摘要:介绍了流程型企业计算机网络的硬件建设和软件建设,构造立体纵深的网络信息防御系统
有效地克服平面网络结构抵御人侵能力差、控制失效的弱点。
关键词:计算机网络;硬件;软件;安全体系
中图分类号;TP393.08文献标识码:B文章编号:1005-8370(2012)01-14-03
在国家推进“两化”深度融合的进程中,流程型域网(VLAN)和物理隔离与信息交换系统等等构成
工业企业计算机应用和信息化建设取得了长足的发了网络安全硬件的关键技术。
展,广东南方碱业公司计算机应用和信息化建设已
2流程型企业MIS系统网络安全体系
具规模,EAS(ERP)、DCS、MIS、计量称重、PLC数
从功能模块上来说包括计算机网络操作系统、
据采集等管理信息系统相继建成并已投入使用。在功能软件应用系统、网络防火墙、路由器网络监控及
公司、基层站二级网络的支撑下,以MIS和DCS为扫描、网络防御病毒系统等多个子系统组成的。通
核心的各项计算机应用系统已在公司生产经营中发常这也是企业信息网络结构的普遍体系
挥着越来越重要的作用。
从网络架构上一般分为两大块:ERP信息系统
由于流程型企业的计算机管理信息系统的实时和现场生产控制网络系统(DCS系统)。南方碱业
性、强稳定性,只具备网络或者信息总线相连功能的计算机MIS系统根据我司发展的需要,采取了适合
现场网络和办公网络是无法满足生产和管理要求公司发展的设计一一三层网络信息平台结构:包括
的。鉴于通常企业信息网络(局域网和互联网)安全底层DCS生产控制系统,MES生产管理系统,EAS
方面已存在的系统漏洞和隐患,利用简单常用的技系统(ERP)。既满足了生产控制网络的绝对安全
术防范思路已无法解决其根本问题,要解决问题须又保证了信息资源的共享。为了公司信息网络安全
要及时调整网络系统枃造,采用先进的网络信息安稳定的运行,南方碱业采用了多级安全网络防护,网
全技术和硬件技术,构造立体纵深的网络信息防御、防火墙、网络管理系统、网络杀毒软件、计算机安
系统,有效地克服平面网络结构抵御入侵能力差、控全管理条例等手段相结合
制失效的弱点
1)物理隔离与信息交换系统(网闸)。公司内部
计算机网络安全体系建设分为硬件体系和软件DCS生产控制网络是公司各生产车间工序操作控
体系建设。
制及调度系统的指挥中枢,必须要时刻确保操作控
制及调度指令实时、准确下达和执行。南方碱业采
1硬件建设
用的是安全隔离与信息交换系统,该系统对网络通
信进行完整采集、深层解析、应用重建,在网络间采
流程型企业MIS网络安全的硬件建设可谓是用专用非TCP/IP进行数据交换,同时,该系统对网
阿络安全建设的基础,可以提高网络信息安全的稳络通信的主体、客体进行综合的认证,确保通信安全
定性。
可靠,从而实现在保证内外网络相互隔离的基础上
1.1网络安全硬件关键技术
进行适度的、可靠的数据交换。物理隔离与信息交
路由器NAT技术,防火墙( Firewall)l、虚拟局换系统能够集成传统安全技术,进一步增强系统的
2012年第1期
王训华,等:论流程型企业计算机网络安全体系建设
防护能力。
通过使用安全隔离与信息交换系统,南方碱业2软件建设一一管理
建立一套完整的、具有高精访问控制能力的、可防范
各种安全风险的安全防护措施,确保了DCS系统的
流程型企业MIS网络安全的软件系统的管理
安全运行和数据的实时传输,任凭外网时有惊涛核主要包括网络软件应用程序的管理和利用网络资源
浪,DCS过程控制网络一直安然无恙。如图1
行为管理
2.1网络杀毒软件
南方碱业采用了卡巴斯基和Nod32网络版杀
毒软件相结合使用。网络杀毒软件能有效的管理各
华御网阐
种PC机和工控机的应用软件安全
外部数据库
192.168.0.15
实时数据库2.2管理计算机网络操作系统
192.168.0.14
1)操作系统的裁剪:不安装或删除不必要使用
的系统组件;
2)操作系统服务裁剪:关闭所有不使用的服务
和端口,并清除不使用的磁盘文件;
PC机
3)操作系统漏洞控制:公司ERP服务器采用的
图1安全隔离与信息交换系统
是AIX系统,大大减低了中毒的可能性。一旦发现
存在系统漏洞或者安全隐患,立即强制其安装相应
2)防火墙。防火墙可防止“黑客”进人网络的防的系统补丁或者组件
御体系,可以限制外部用户进入内部网,同时过滤掉2.3规范利用网络资源行为
危及网络的不安全服务,拒绝非法用户的进人。南
有效的技术手段只是网络安全的基础工作,仅靠
方碱业采用 Stonegate防火墙,此防火墙内置多链网络安全技术是绝对无法确保信息安全的。建立严格
路VPN,将故障容错以及透明切换技术增加到的信息网络安全管理制度,规范使用网络资源的行为,
VPN隧道以及VPN客户端连接中,这为组合后的养成良好的使用网络及资源的习惯,才能充分发挥网
防火墙一VPN提供了优势。通过VPN,能够更安络麦全技术的效能,才能使网络信息更加安全可靠。
全地从异地联人内部网络。同时带有强大路由功
MIS系统网络安全包括了硬件设备的安全和
能,首先屏蔽所有的P地址,然后有选择的放行一软件系统的安全。设备的安全主要是依赖硬件设
些地址进人网络。也可以过滤服务协议,允许需要计、使用寿命、使用环境等客观因素,可控性相对较
的协议通过,而屏蔽其他有安全隐患的协议。
低,软件系统安全包括各网络控制单元和网络上的
3)网络管理系统。南方碱业整个局域网络系统计算机应用系统软件的安全,这部分的安全主要是
采用光缆通讯编布公司各地,网络系统采用融合网受外界病毒,黑客攻击引起,可以这么说,只要有软
络的交换机及管理系统,可随时监控、管理整个网络件系统,这些安全因素就时刻存在。因此软件系统
运行状态,邮件的收发、带宽流量、访问网站等管理,的安全是计算机网络安全的重要体现。
出现故障及攻击可立即发现并隔断。有效的防止病
MIS应用软件系统的安全可以通过网间,硬件
毒的传染。核心交换机采用的是融合网络的三层交防火墙,路由规则,防病毒软件等技术手段实现。然
换机,最关键的工作是访问控制功能和三层交换功而,软件系统的安全实际上是和良好的使用网络资
能。访问控制对于交换机就是利用访问控制列表源的习惯紧密联系。要养成良好的使用网络资源的
ACL来实现用户对数据包按照源和目的地址、协习惯就要有良好的MIS系统管理条例。
议、源和目的端口等各项的不同要求进行筛选和过
首先,要有良好的应用软件系统平台和系统资
滤。同时依据实际需求划分多个VLAN,如办公室源保护意识,不给外界病毒,黑客等有可乘之机。例
网络一个网段、车间网络一个网段、视频监控一个网如使用的计算机上安装防病毒软件,关闭一些不常
段等
使用的端口和服务等。