徐东
(天津鞍钢天铁冷轧薄板有限公司,天津 300301)
鞍钢天铁公司网络问题探讨与防范措施
徐东
(天津鞍钢天铁冷轧薄板有限公司,天津 300301)
结合鞍钢天铁公司的网络现状,分析了公司生产和运营过程中出现的计算机网络整体架构不合理、病毒屡杀不止等安全隐患。通过对生产网、管理网、病毒采取防范措施,有效地解决了计算机网络中存在的安全隐患,使企业的网络系统更加规范化,为公司生产和运营提供了可靠的信息化基础保障。
网络 隐患 安全 防范
随着鞍钢天铁公司生产规模的不断扩大,MES生产制造系统、OA办公自动系统、ERP管理等信息化系统在生产运营控制中起到了至关重要的作用。信息化的快速发展离不开计算机网络的基础支撑,信息化技术的广泛应用为生产运营带来方便与实惠,同时也为计算机网络安全带来了冲击与挑战。本文着重分析了计算机网络中常见的几种安全隐患,并针对这些隐患采取了一系列的整改措施,有效地解决了企业运行中的网络安全隐患。事实证明,解决计算机网络系统中的问题及其隐患,在提高生产运营的工作效率的同时,也在提高公司在市场竞争中的优势。
网络架构主要分为生产网和管理网。生产网主要运行产销一体化系统,对负责生产的过程控制系统进行通讯。生产网连通生产计划部门与生产作业区域,网络覆盖整个厂区,网络介质以多模光纤为主。管理网主要覆盖在公司的办公大楼,以日常办公管理为主,与外部网站发生数据交换。
生产网以两台核心交换机为主,根据不同生产区域进行了VLAN划分,向下联结二层交换机或接入层交换机覆盖到厂区各个角落,两台核心交换机互为热备,以保证网络时刻畅通。
管理网分布比较简单。管理网通过在路由器上进行IP和MAC的绑定,将网络分为Internet外网用户和内部网用户,Internet外网用户既可以访问外部互联网络,也可以访问公司内部网络服务;内部网用户不能访问外部互联网络,但可以访问公司内部网络服务。
生产网与管理网通过防火墙隔离,两网之间不能相互访问。
整体网络拓扑图见图1。
图1 公司整体网络拓扑图
生产网中主要存在的安全隐患是物理隐患,核心交换机至厂区各作业区铺设多模光缆,均为单线路敷设,未形成环网,一旦其中一条光缆折断,无法在短时间内对网络进行恢复,只能进行光缆抢修续借。
其次,财务系统接入生产网的核心交换机,它与产销系统服务器之间有数据通讯,财务计算机可随意插拔移动存储设备,造成了病毒、木马传播。针对财务计算机病毒多这一现象,虽然对专人配备专用U盘、移动硬盘,但也未能真正解决病毒的传播问题。
管理网未划分任何VLAN,它运行在一个默认的大的子网下,通过子网掩码控制192.168.0.1网段与192.168.1.1网段之间的访问。在这种网络架构下,一旦被人攻击或者爆发广播风暴,就会造成整个管理网的瘫痪,而且故障排查起来较为困难。
以二层交换机作为管理网的汇聚交换机虽然目前能够满足网络负载带来的压力,但一旦出现网络压力过大的情况,二层交换机就不能满足需要,无法保证管理网络的畅通运行。而且二层交换机无法进行热备,一旦交换机出现物理故障,只能进行硬件的更换,势必也会对快速恢复网络带来一定的困难和压力。
路由器直接接入外部互联网络,没有任何安全措施进行有效的隔离,容易被外部攻击,造成计算机用户无法登陆外部互联网络,严重的可能引起管理网阻塞以及公司的重要信息被盗、被篡改等问题。
计算机病毒程序不仅会侵害正在使用的计算机系统,还能在网络上肆虐侵害其他计算机。一方面造成其他计算机不能正常地进行日常工作,另一方面影响整个网络的正常运行,严重的将导致整个网络的瘫痪。
计算机病毒在网络中传播主要有3种形式:计算机登陆不良网站或不小心点击挂马网站引起的中毒进行传播病毒;通过邮件的形式来传播病毒;通过插拔移动存储设备在计算机上进行传播。对企业来说,前两种传播病毒方式所占比例较低,在计算机上随意插拔未进行病毒扫描的移动存储设备是造成病毒传播的主要方式。
虽然公司安装了网络版的杀毒软件,但是计算机病毒的传播和泛滥却屡禁不止,这就涉及到计算机及其相关设备的安全操作行为,计算机的使用者在使用计算机时,没有养成正确的使用习惯,更没有意识到计算机病毒病毒对企业信息数据以及计算机本身造成的危害。
公司的管理网分为外部Internet互联网和内部网,企业为控制出口带宽能够更大限度地满足日常的办公需求,对能够使用Internet互联网的用户数量进行了控制,主要的技术手段是在外部出口的路由器上对可以登录的互联网用户进行静态的IP与MAC地址绑定,未经绑定的用户就只能访问公司的内部服务与应用。
这种管理方式直接造成了一部分用户无法登录互联网,而一部分用户恶意地利用局域网扫描软件,搜索能够登录互联网用户的IP和MAC地址信息,将自己的网卡IP和MAC址配置成他人的信息,一旦该用户优先抢到网络占有权,就会造成他人无法进行正常的网络访问。
针对生产网网络辐射单线路这一现状,应采用就近原则对各个机组进行环网联结,以保证其中某一机组的光缆折断之后,不会影响该机组的网络使用。
对于财务系统的木马、病毒防范,一方面可以在防火墙的DMZ区建立FTP服务器或者邮件服务器,用来进行数据的传输和交换,以此来替代移动存储设备的频繁使用。另一个方面,使计算机使用者养成一个良好的使用习惯,设置系统口令,不让其他人随意在计算机上插拔移动存储设备,并且在插入移动存储设备之前进行病毒的查杀。
重新对管理网的整体架构进行整理,按照不同的办公地点划分VLAN,以此来隔离可能产生的广播风暴。
更换汇聚层交换机,改用三层交换机,并采用双机冗余备份模式,以平衡网络负载,保证网络畅通和快速运转。
在管理网的出口位置增加防火墙,将管理网与外部进行隔离,不但可以控制进出网络的信息流向和信息包,也可以提供网络的使用和流量的日志和审计,同时,它隐藏了内部IP地址及网络结构的细节,以防止来自外部的入侵和攻击。
相对于生产网,管理网中的病毒防治更加困难,可以从以下3个方面针对计算机病毒的进行防治。
3.3.1 利用技术手段迫使计算机用户养成良好的使用习惯
安装网路版杀毒软件,对收到的邮件及时杀毒;设置计算机系统口令,保证自身计算机数据不被他人任意拷贝;在系统的组策略中关闭系统中自动运行程序,禁止双击移动存储设备等。
3.3.2 安装桌面安全管理系统
通过在计算机上安装桌面安全管理系统的客户端,实现对公司计算机的集中控制管理,减少移动存储设备的使用频率,同时还可以采用上网行为控制系统对计算机的上外网用户予以管理,规范用户的计算机使用行为,极大程度地控制病毒的传播。
对于恶意更改计算机IP和MAC地址的现象,可以通过桌面管理软件的身份认证体系,拒绝外来计算机随意接入公司网络。
利用应用软件技术的同时,加强对IP资源的管理,严格控制IP地址的发放与设置,对于新增的IP地址详细记录到使用人、计算机资产信息、使用地点,在发生恶意篡改IP地址时,可以第一时间找到该IP地址并进行处理。
通过对管理网进行重新规划,划分VLAN;在管理网上重新部署杀毒软件,预防病毒传播;采用桌面安全、上网行为系统规范用户的使用习惯等措施,使企业的网络系统更加规范化,为公司生产和运营提供了可靠的信息化基础保障。
Discussion and Prevention Measures for Angang Tiantie Network
Xu Dong
(Tianjin Angang Tiantie Cold Rolling Sheet Company Limited,Tianjin 300301,China)
Hidden security problems are analyzed of unreasonable network architecture and constantly re-emerging viruses in spite of scanning and killing in production and operation,in combination with the current situation of Angang Tiantie network.Virus prevention measures are taken for production and management networks to effectively solve the hidden security problems in computer network,to standardize network system and to provide an ensured reliable information base for production and operation in the company.
network,hidden trouble,security,prevention
徐东,男,主要从事系统网络技术支持与开发工作。
(收稿 2012-03-20 编辑 潘娜)