浅析超化煤矿信息网络全网改造方案.docVIP

浅析超化煤矿信息网络全网改造方案 　　【摘要】以超化煤矿信息网络全网改造建设为基础，阐述了超化煤矿办公局域网、物资计划网、安全生产网、综合自动化工业监控网络等多网合一网络升级方案，重点介绍了网络安全隔离技术及企业上网行为管理策略在企业信息网络全网改造方案中的重要应用。 　　【关键词】全网改造；网络；安全；隔离；行为；管理 　　1、改造前网络状况 　　超化煤矿信息网络改造前分布有安全生产网﹑矿办公局域网﹑物资计划网、综合自动化工业环网四部分。由于多个网络间相互不能访问，这样在网络布置及使用过程中就存在诸多弊端。一是每个办公楼各工作地点需要同时布置多个网络时，就会造成网络线路繁杂﹑臃肿，不易维护；二是在日常办公中有时需要访问不同的网络，这时就要通过改变网络接口、修改IP才能实现，这样做不仅不利于正常工作，还容易在不同的网络系统间相互感染病毒和木马，给一些重要网络如矿安全生产网的正常运行带来了极大的安全隐患。 　　矿办公局域网改造前是通过一条ADSL接入互联网的， 互联网出口总带宽只有2M，由于带宽较窄上网速度慢，很多部门干脆私自拉专线上网，这样就不利于正常的办公管理，如部分员工上班期间玩游戏、看电影、炒股等做与工作无关的事情。 　　2、网络改造方案 　　超化煤矿的安全生产网和办公局域网是完全分开的独立网络，考虑改造后访问Internet量的需求，需增加矿外网出口带宽满足矿上办公上网；为了能实现对上网用户的行为及网络流量的监控，也为了能加强对网络的管理，则需在网络中加装一台深信服的行为审计；在实现矿上多网合一、互联互通的需求方面，通过在生产网络和办公网络之间部署物理隔离网闸，实现办公上网和生产信息化网络的联接，并保证网络之间的数据传输安全。 　　3、方案实施 　　3.1 对矿井瓦斯导航系统进行隔离保护。减少连入安全生产网的计算机台数（限制在10台以内）， 安全生产网只接入瓦斯导航系统服务器﹑瓦斯监控主机及其备用机，各生产科室的计算机将不再直接接入安全生产网，这样瓦斯导航系统运行的外部风险减少很多，有效提高其安全运行保障水平。 　　3.2 多网合一。改造后全矿各办公地点只布置办公局域网，通过局域网可以访问安全生产网、综合自动化网络、物资管理网、互联网以及以后新增的网络应用系统。安全生产网、综合自动化网络与办公局域网之间安装网络安全隔离网闸，局域网与互联网之间安装防火墙，通过硬件隔离来保证整个系统的运行安全。 　　3.3 升级办公局域网带宽及互联网出口带宽。增加6对1000M光传输模块，使各楼宇间局域网带宽达到1000M；将我矿互联网出口带宽提高至50M，根据网络改造的需求，把原来的ADSL上网方式升级成光纤上网，直接从集团公司通信中心机房调通一对光纤至矿中心机房供办公上网使用，局域网与互联网之间增加防火墙和上网行为管理器，另外划分10个公有IP，用于通过互联网访问矿内部相关信息。 　　4、网络安全 　　网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全，应具有以下四个方面的特征： 　　保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。 　　完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 　　可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 　　可控性：对信息的传播及内容具有控制能力。 　　超化煤矿网络安全主要依靠防火墙及联想网御安全隔离闸： 　　4.1 防火墙 　　（1）防火墙是网络安全的屏障。防火墙能提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。 　　（2）防火墙可以强化网络安全策略。通过防火墙能将所有安全软件（如访问控制、存取控制、网络地址转换、代理、认证、日志审计等）配置在防火墙上，当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 　　（3）防火墙可有效防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 　　除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。 　　4.2 联想网御安全隔离闸 　　SIS-3000系列是联想网御依靠多年信息安全产品研发的积累，它采用多