卷煙生產(chǎn)企業(yè)網(wǎng)絡(luò)安全技術(shù)體系探究

摘 要：隨著計算機技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，在計算機上處理的重要信息越來越多。包括企業(yè)生產(chǎn)數(shù)據(jù)、圖紙、工藝路線等涉密內(nèi)容。在信息處理能力提高的同時，系統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出。不論是外部網(wǎng)還是內(nèi)部網(wǎng)的網(wǎng)絡(luò)都會受到安全的問題的困擾。網(wǎng)絡(luò)只有安全，企業(yè)內(nèi)部的重要信息才有保障，企業(yè)才能發(fā)展。

關(guān)鍵詞：網(wǎng)絡(luò)；防火墻；黑客；互聯(lián)網(wǎng)

1 信息化現(xiàn)狀

針對企業(yè)網(wǎng)絡(luò)的整體構(gòu)架，把安全產(chǎn)品集中放在安全策略區(qū)。安全產(chǎn)品有：千兆防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、桌面管理系統(tǒng)、CA身份認(rèn)證系統(tǒng)。通過這些安全產(chǎn)品將企業(yè)局域網(wǎng)中的服務(wù)器群、交換機群、存儲設(shè)備保護(hù)起來，達(dá)到保護(hù)數(shù)據(jù)的目的。卷煙生產(chǎn)企業(yè)主要業(yè)務(wù)都是圍繞生產(chǎn)進(jìn)行的，企業(yè)由二線管理部門及生產(chǎn)車間組成，生產(chǎn)車間包括動力車間、制絲車間、卷包車間和物流中心。企業(yè)內(nèi)部主要存在兩類網(wǎng)絡(luò)，生產(chǎn)網(wǎng)和辦公網(wǎng)，外部網(wǎng)網(wǎng)包括互聯(lián)網(wǎng)和煙草行業(yè)廣域網(wǎng)。業(yè)務(wù)系統(tǒng)方面，行業(yè)層面上初步形成了以財務(wù)業(yè)務(wù)一體化的ERP為核心，覆蓋生產(chǎn)、營銷、采購、物流、財務(wù)、人力資源、電子政務(wù)、行業(yè)監(jiān)管等各個條線的管理信息系統(tǒng)架構(gòu)，工廠層面，已建成包括卷包數(shù)采、制絲中控、能源管控、片煙高架、原料、輔料、成品、五金配件等領(lǐng)域的較完善的生產(chǎn)、物流等底層系統(tǒng)。

2 辦公網(wǎng)、生產(chǎn)網(wǎng)分離及防護(hù)

按照《國家煙草專賣局辦公室關(guān)于卷煙工業(yè)企業(yè)信息化建設(shè)的指導(dǎo)意見》（以下簡稱“指導(dǎo)意見”）中“兩網(wǎng)分離、層次劃分”的要求，將網(wǎng)絡(luò)劃分為管理網(wǎng)和生產(chǎn)網(wǎng)兩部分。其中生產(chǎn)網(wǎng)又垂直劃分為生產(chǎn)執(zhí)行層、監(jiān)督控制層、設(shè)備控制層，具體如圖1所示。

同時依據(jù)《互聯(lián)安全規(guī)范》規(guī)定，管理網(wǎng)和生產(chǎn)網(wǎng)連接必須通過互聯(lián)接口完成?；ヂ?lián)接口部署于生產(chǎn)網(wǎng)與管理網(wǎng)之間，其安全功能包括身份鑒別、訪問控制、網(wǎng)絡(luò)互連控制、惡意行為防范、安全審計、支撐操作系統(tǒng)安全，安全模型如圖2所示。

3 網(wǎng)絡(luò)安全體系的探討

針對生產(chǎn)網(wǎng)和管理網(wǎng)的邊界，按照《互聯(lián)安全規(guī)范》規(guī)定，建議采取部署防火墻進(jìn)行身份鑒別、訪問控制和網(wǎng)絡(luò)互連控制；在生產(chǎn)網(wǎng)和管理網(wǎng)間主要交換機旁路部署工業(yè)異常監(jiān)測引擎，進(jìn)行惡意行為防范；在操作站、MES系統(tǒng)客戶端、辦公終端、HMI等部署操作站安全系統(tǒng)對主機的進(jìn)程、軟件、流量、U盤的使用等進(jìn)行監(jiān)控，防范主機非法訪問網(wǎng)絡(luò)其它節(jié)點。

3.1 身份鑒別、訪問控制及網(wǎng)絡(luò)互連控制

在生產(chǎn)網(wǎng)和管理網(wǎng)之間部署防火墻進(jìn)行身份鑒別、訪問控制和網(wǎng)絡(luò)互連控制。（1）身份鑒別：生產(chǎn)網(wǎng)和管理網(wǎng)之間進(jìn)行網(wǎng)絡(luò)連接時，基于IP地址和端口號、MAC地址或行業(yè)數(shù)字證書等對請求連接主機身份進(jìn)行鑒別；生產(chǎn)網(wǎng)與管理網(wǎng)禁止同未通過身份鑒別的主機建立網(wǎng)絡(luò)連接。（2）訪問控制：互連接口進(jìn)行訪問控制措施設(shè)置，具體措施結(jié)合訪問主客體具體功能確定；進(jìn)行細(xì)粒度主、客體訪問控制，粒度細(xì)化到IP地址和端口號、MAC地址及應(yīng)用協(xié)議；進(jìn)行協(xié)議格式的鑒別與過濾，支持FTP、SOAP、OPC、HTTP、SSH、SFTP、數(shù)據(jù)庫通訊等常用協(xié)議。（3）網(wǎng)絡(luò)互連控制：只開啟必要的數(shù)據(jù)交換通道；支持對FTP、SOAP、OPC、HTTP、SSH、SFTP、數(shù)據(jù)庫通訊等常用協(xié)議的網(wǎng)絡(luò)互連控制；能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接。

3.2 惡意行為防范

在生產(chǎn)網(wǎng)和管理網(wǎng)間主要交換機旁路部署工業(yè)異常監(jiān)測引擎，進(jìn)行惡意行為防范。（1）對生產(chǎn)網(wǎng)與管理網(wǎng)之間的數(shù)據(jù)通信行為進(jìn)行實時數(shù)據(jù)包抓取和分析，對SQL注入、跨站腳本、惡意指令等異常行為進(jìn)行監(jiān)測和實時告警。（2）進(jìn)行流秩序監(jiān)控，包括流分析、流行為、流視圖、流追溯等，對已識別的異常行為進(jìn)行及時阻斷。

3.3 支撐操作系統(tǒng)防護(hù)

在操作站、MES系統(tǒng)客戶端、辦公終端、HMI等部署操作站安全系統(tǒng)對主機的進(jìn)程、軟件、流量、U盤的使用等進(jìn)行監(jiān)控，防范主機非法訪問網(wǎng)絡(luò)其它節(jié)點。（1）操作站安全審計，包括文件操作審計與控制、打印審計與控制、網(wǎng)站訪問審計與控制、異常路由審計、FTP審計和終端、應(yīng)用成尋使用審計、刻錄審計、Windows登錄審計等多種審計功能。（2）杜絕非法外聯(lián)，對操作站發(fā)生的任意一個網(wǎng)絡(luò)行為進(jìn)行檢測和識別，并能夠攔截所有存在安全的威脅的網(wǎng)絡(luò)訪問。（3）移動存儲管理，對接入操作站的移動存儲設(shè)備進(jìn)行認(rèn)證、數(shù)據(jù)加密和共享受控管理，確保只有通過認(rèn)證的移動存儲設(shè)備才能夠被授權(quán)用戶使用。（4）及時發(fā)現(xiàn)涉密信息是否在操作站中違規(guī)存放和使用，避免涉密信息違規(guī)存放和使用違規(guī)行為，帶來涉密信息外泄。

3.4 利用網(wǎng)絡(luò)監(jiān)聽維護(hù)子網(wǎng)系統(tǒng)安全

對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務(wù)器的審計文件提供備份。

總之，網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻等單個的系統(tǒng)，而需要仔細(xì)考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等結(jié)合在一起，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)

[1]蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù)[M].中國水利水電出版社，2002.

[2]鄧文淵，陳惠貞，陳俊榮.ASP與網(wǎng)絡(luò)數(shù)據(jù)庫技術(shù)[M].中國鐵道出版社，2003，4.