淺析超化煤礦信息網(wǎng)絡(luò)全網(wǎng)改造方案

【摘要】以超化煤礦信息網(wǎng)絡(luò)全網(wǎng)改造建設(shè)為基礎(chǔ)，闡述了超化煤礦辦公局域網(wǎng)、物資計(jì)劃網(wǎng)、安全生產(chǎn)網(wǎng)、綜合自動(dòng)化工業(yè)監(jiān)控網(wǎng)絡(luò)等多網(wǎng)合一網(wǎng)絡(luò)升級(jí)方案，重點(diǎn)介紹了網(wǎng)絡(luò)安全隔離技術(shù)及企業(yè)上網(wǎng)行為管理策略在企業(yè)信息網(wǎng)絡(luò)全網(wǎng)改造方案中的重要應(yīng)用。

【關(guān)鍵詞】全網(wǎng)改造；網(wǎng)絡(luò)；安全；隔離；行為；管理

1、改造前網(wǎng)絡(luò)狀況

超化煤礦信息網(wǎng)絡(luò)改造前分布有安全生產(chǎn)網(wǎng)﹑礦辦公局域網(wǎng)﹑物資計(jì)劃網(wǎng)、綜合自動(dòng)化工業(yè)環(huán)網(wǎng)四部分。由于多個(gè)網(wǎng)絡(luò)間相互不能訪問，這樣在網(wǎng)絡(luò)布置及使用過程中就存在諸多弊端。一是每個(gè)辦公樓各工作地點(diǎn)需要同時(shí)布置多個(gè)網(wǎng)絡(luò)時(shí)，就會(huì)造成網(wǎng)絡(luò)線路繁雜﹑臃腫，不易維護(hù)；二是在日常辦公中有時(shí)需要訪問不同的網(wǎng)絡(luò)，這時(shí)就要通過改變網(wǎng)絡(luò)接口、修改IP才能實(shí)現(xiàn)，這樣做不僅不利于正常工作，還容易在不同的網(wǎng)絡(luò)系統(tǒng)間相互感染病毒和木馬，給一些重要網(wǎng)絡(luò)如礦安全生產(chǎn)網(wǎng)的正常運(yùn)行帶來了極大的安全隱患。

礦辦公局域網(wǎng)改造前是通過一條ADSL接入互聯(lián)網(wǎng)的， 互聯(lián)網(wǎng)出口總帶寬只有2M，由于帶寬較窄上網(wǎng)速度慢，很多部門干脆私自拉專線上網(wǎng)，這樣就不利于正常的辦公管理，如部分員工上班期間玩游戲、看電影、炒股等做與工作無關(guān)的事情。

2、網(wǎng)絡(luò)改造方案

超化煤礦的安全生產(chǎn)網(wǎng)和辦公局域網(wǎng)是完全分開的獨(dú)立網(wǎng)絡(luò)，考慮改造后訪問Internet量的需求，需增加礦外網(wǎng)出口帶寬滿足礦上辦公上網(wǎng)；為了能實(shí)現(xiàn)對(duì)上網(wǎng)用戶的行為及網(wǎng)絡(luò)流量的監(jiān)控，也為了能加強(qiáng)對(duì)網(wǎng)絡(luò)的管理，則需在網(wǎng)絡(luò)中加裝一臺(tái)深信服的行為審計(jì)；在實(shí)現(xiàn)礦上多網(wǎng)合一、互聯(lián)互通的需求方面，通過在生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)之間部署物理隔離網(wǎng)閘，實(shí)現(xiàn)辦公上網(wǎng)和生產(chǎn)信息化網(wǎng)絡(luò)的聯(lián)接，并保證網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸安全。

3、方案實(shí)施

3.1 對(duì)礦井瓦斯導(dǎo)航系統(tǒng)進(jìn)行隔離保護(hù)。減少連入安全生產(chǎn)網(wǎng)的計(jì)算機(jī)臺(tái)數(shù)（限制在10臺(tái)以內(nèi)）， 安全生產(chǎn)網(wǎng)只接入瓦斯導(dǎo)航系統(tǒng)服務(wù)器﹑瓦斯監(jiān)控主機(jī)及其備用機(jī)，各生產(chǎn)科室的計(jì)算機(jī)將不再直接接入安全生產(chǎn)網(wǎng)，這樣瓦斯導(dǎo)航系統(tǒng)運(yùn)行的外部風(fēng)險(xiǎn)減少很多，有效提高其安全運(yùn)行保障水平。

3.2 多網(wǎng)合一。改造后全礦各辦公地點(diǎn)只布置辦公局域網(wǎng)，通過局域網(wǎng)可以訪問安全生產(chǎn)網(wǎng)、綜合自動(dòng)化網(wǎng)絡(luò)、物資管理網(wǎng)、互聯(lián)網(wǎng)以及以后新增的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。安全生產(chǎn)網(wǎng)、綜合自動(dòng)化網(wǎng)絡(luò)與辦公局域網(wǎng)之間安裝網(wǎng)絡(luò)安全隔離網(wǎng)閘，局域網(wǎng)與互聯(lián)網(wǎng)之間安裝防火墻，通過硬件隔離來保證整個(gè)系統(tǒng)的運(yùn)行安全。

3.3 升級(jí)辦公局域網(wǎng)帶寬及互聯(lián)網(wǎng)出口帶寬。增加6對(duì)1000M光傳輸模塊，使各樓宇間局域網(wǎng)帶寬達(dá)到1000M；將我礦互聯(lián)網(wǎng)出口帶寬提高至50M，根據(jù)網(wǎng)絡(luò)改造的需求，把原來的ADSL上網(wǎng)方式升級(jí)成光纖上網(wǎng)，直接從集團(tuán)公司通信中心機(jī)房調(diào)通一對(duì)光纖至礦中心機(jī)房供辦公上網(wǎng)使用，局域網(wǎng)與互聯(lián)網(wǎng)之間增加防火墻和上網(wǎng)行為管理器，另外劃分10個(gè)公有IP，用于通過互聯(lián)網(wǎng)訪問礦內(nèi)部相關(guān)信息。

4、網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，應(yīng)具有以下四個(gè)方面的特征：

保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。

完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。

可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊；

可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。

超化煤礦網(wǎng)絡(luò)安全主要依靠防火墻及聯(lián)想網(wǎng)御安全隔離閘：

4.1 防火墻

（1）防火墻是網(wǎng)絡(luò)安全的屏障。防火墻能提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。

（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過防火墻能將所有安全軟件（如訪問控制、存取控制、網(wǎng)絡(luò)地址轉(zhuǎn)換、代理、認(rèn)證、日志審計(jì)等）配置在防火墻上，當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。

（3）防火墻可有效防止內(nèi)部信息的外泄。通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。

除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

4.2 聯(lián)想網(wǎng)御安全隔離閘

SIS-3000系列是聯(lián)想網(wǎng)御依靠多年信息安全產(chǎn)品研發(fā)的積累，它采用多主機(jī)隔離結(jié)構(gòu)，在業(yè)內(nèi)首次提出并實(shí)現(xiàn)專有SIS安全隔離技術(shù)，把安全性 （Security）、智能性 （Intellegence）、高效性（Speed）完美的結(jié)合在一起。

1）安全性：通過專有安全芯片實(shí)現(xiàn)安全隔離，具有高度安全性。

2）智能性：通過信息擺渡機(jī)制，在硬件底層采用獨(dú)立控制邏輯技術(shù)自動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議阻斷和數(shù)據(jù)交換，而在應(yīng)用層通過專有協(xié)議轉(zhuǎn)換模塊的處理，體現(xiàn)了系統(tǒng)具有高度的智能性。

3）高效性：采用專有硬件進(jìn)行交換，內(nèi)部設(shè)計(jì)了高速交換總線，采用DMA流水線傳輸技術(shù)，既不占用CPU時(shí)間，又能實(shí)現(xiàn)高速數(shù)據(jù)交換，實(shí)現(xiàn)了真正的高性能。

聯(lián)想網(wǎng)御SIS-3000系列安全隔離與信息交換系統(tǒng)安裝應(yīng)用方便，通過對(duì)連接和數(shù)據(jù)包的獲取、阻斷、分離、檢測(cè)、重組、交換、恢復(fù)、連接等一系列安全操作完成數(shù)據(jù)的隔離與交換，最大限度的保證了用戶應(yīng)用的方便性。

5、上網(wǎng)行為管理策略

上網(wǎng)行為管理器內(nèi)置國(guó)內(nèi)最全的應(yīng)用識(shí)別規(guī)則庫，最大的網(wǎng)頁地址庫，結(jié)合深度內(nèi)容檢測(cè)技術(shù)、網(wǎng)頁智能識(shí)別等技術(shù)，為客戶解決網(wǎng)頁過濾、封堵與工作無關(guān)的網(wǎng)絡(luò)應(yīng)用需求。

5.1 網(wǎng)頁訪問過濾。用戶可以根據(jù)行業(yè)特征、業(yè)務(wù)需要和企業(yè)文化來制定個(gè)性化的網(wǎng)頁訪問策略，過濾非工作相關(guān)的網(wǎng)頁。

5.2 網(wǎng)絡(luò)應(yīng)用控制。用戶可以制定有效的網(wǎng)絡(luò)應(yīng)用控制策略，封堵與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)應(yīng)用，引導(dǎo)員工在合適的時(shí)間做合適的事。

5.3 帶寬流量管理。用戶可以制定精細(xì)的帶寬管理策略，對(duì)不同崗位的員工、不同網(wǎng)絡(luò)應(yīng)用劃分帶寬通道，并設(shè)定優(yōu)先級(jí)，合理利用有限的帶寬資源，節(jié)省投入成本。

5.4 信息內(nèi)容審計(jì)。用戶可以制定全面的信息收發(fā)監(jiān)控策略，有效控制關(guān)鍵信息的傳播范圍，以及避免可能引起的法律風(fēng)險(xiǎn)。

5.5 上網(wǎng)行為分析。用戶可以實(shí)時(shí)了解、統(tǒng)計(jì)、分析互聯(lián)網(wǎng)使用狀況，并根據(jù)分析結(jié)果對(duì)管理策略做調(diào)整和優(yōu)化。

5.6 日志管理。通過日志的分類顯示，可以讓用戶只看到自己關(guān)心的系統(tǒng)日志，而不需要從所有日志信息中慢慢篩選，從而更好的讓用戶了解系統(tǒng)的運(yùn)行情況，方便快速定位和排除故障。

6、結(jié)束語

總之，網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程，必須將各種網(wǎng)絡(luò)安全技術(shù)科學(xué)、有效的結(jié)合在一起，才能形成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)，建成一個(gè)集全礦井生產(chǎn)各環(huán)節(jié)的過程控制自動(dòng)化、生產(chǎn)綜合調(diào)度指揮和業(yè)務(wù)運(yùn)轉(zhuǎn)網(wǎng)絡(luò)化、行政辦公無紙高效化的礦井綜合信息網(wǎng)絡(luò)平臺(tái)，以此來滿足企業(yè)發(fā)展需要和網(wǎng)絡(luò)應(yīng)用不斷增長(zhǎng)的需求。