石化企业计算机网络安全技术措施.docVIP

石化企业计算机网络安全技术措施 　　[摘 要] 随着石化信息化建设的不断推进和网络规模不断扩大,网络呈现出开放性、共享性、互联性,计算机网络系统面临各种各样的安全威胁。本文介绍了洗化厂在计算机网络安全方面所采取的技术措施,从而保障计算机网络长期平稳运行。 　　[关键词] 计算机网络安全;生产网和办公网融合;防火墙;交换机; VLAN技术 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 15 . 030 　　[中图分类号]F270.7;TP393.08 [文献标识码]A [文章编号]1673 - 0194(2010)15- 0068- 04 　　 　　1引言 　　 　　抚顺石化公司局域网是大型局域网络,覆盖抚顺石化机关、各直属厂和其他二级单位,网络上运行着各种管理系统,保存着大量的重要数据。洗化厂是抚顺石化公司直属厂,网上有380多台客户端,厂区面积大,用户办公地点分散,而且各部门业务不同,所应用的管理系统也不同。洗化厂在网上与公司运行各种管理系统,如有网上报销系统、OA系统、工程平台系统、合同管理系统、中油电子邮件系统、MES系统等。洗化厂互联网的应用越来越普及,因此,HTTP、SMTP、FTP、POP3等协议,几乎每天都面临不同的安全风险;而病毒、蠕虫、垃圾邮件、木马程序、间谍软件、网络钓鱼等恶意行为也在伺机攻击管理系统。 如果没有计算机网络安全作为基础,管理系统正常运行就无从谈起。因此保证管理系统安全可靠地运行成为企业网络系统的基本职能。 　　 　　2存在的安全隐患 　　 　　随着石化公司信息化建设的不断推进和网络规模不断扩大,网络呈现出开放性、共享性、互联性,计算机网络系统面临各种各样的安全威胁,网络安全形势严峻而复杂。一般大型局域网存在下列安全隐患: 　　(1) 计算机病毒在内部网络传播; 　　(2) 内部网络可能被外部黑客攻击; 　　(3) 网络连接安全和数据交换的安全问题; 　　(4) 内部某些重要服务器被非法访问,造成信息泄密; 　　(5) 生产网和办公网数据交换,造成生产网数据被破坏。 　　 　　3采取的计算机网络安全技术 　　 　　为了保证网络的安全,可采用多种网络安全技术,如网络隔离技术、反防病毒技术、防火墙技术、加密技术、漏洞扫描技术、入侵检测技术、 安全审计技术等。本文以洗化厂为例加以介绍。图1是洗化厂网络拓扑图。 　　3.1 生产网和办公网融合的网络安全措施 　　MES(Manufacturing Execution System,生产制造执行系统),由美国AMR(Advanced Manufacturing Research)组织在1990年提出,定义为“位于上层的计划管理系统与底层的工业控制之间的面向车间层的管理信息系统”,由此形成了由计划层、执行层和控制层组成的三层企业集成模型。 　　MES是抚顺石化信息化建设的重点内容,随着MES快速发展,从客观上加速了生产网与办公网的高度融合。为了保证生产网的安全稳定运行,采取了生产网和办公网物理上隔离,两网通过防火墙相连,实现了两网高度融合。 　　3.1.1生产网和办公网融合的必要性 　　MES系统是基于实时数据库的生产调度管理,实现对生产系统的数据采集,因此运行MES系统必须要与生产网之间进行数据交换。此时,PCS层的生产网不能以一个独立的网络运行,而要与办公网互通、互联。由于开发和应用MES系统,生产网被接入到办公网中,生产网与办公网必须融合为一体。从网络安全的角度,生产网已经成为MES的一部分。在运行MES 系统时,DCS生产网和办公网直接相连,会给网络安全带来很多隐患。因此在网络安全技术上,既要保证两者之间的数据传输稳定而可靠,又能最大程度地限制办公网对DCS生产网造成不良影响。 　　3.1.2生产网和办公网融合的实施方法 　　洗化厂厂内网络基础状况良好,现有的网络已经涵盖办公楼区域和各个生产车间。全厂 DCS 系统主要装置都已具备数据采集接口,采用 OPC 标准。每个车间有交换机,网络布置到了各车间办公室与DCS 连通。公司MES核心交换机直接以千兆网络连接到洗化厂及各车间MES交换机上。公司MES核心交换机又通过防火墙以百兆网络连接到公司办公网。办公网与生产网物理上是隔离的,通过防火墙汇聚到办公网上。其他直属厂也是以同样方法,将生产网汇聚到公司MES核心交换机上,通过防火墙汇聚到公司办公网上。这样整个公司的生产网与办公网物理上是隔离的,又通过防火墙实现两网高度融合。合理制定防火墙安全策略,检查办公网与生产网的之间信息流向,当办公网向生产网读取数据时,保护数据不被破坏。 　　3.2 部署Symantec防病毒系统 　　病毒防范是网