随着冶金工业科技和信息化的发展，计算机病毒、木马和黑客程序等对工业网络的安全造成威胁。对工业网络的安全进行研究，得出安全高效、切实可行的解决方案并付诸实旌，是安全生产的重要一环。本文以河北钢铁集团某炼钢厂为例，做了一些研究并形成解决方案，对其他工业网络安全建设有一定的借鉴意义。
　　1 概述

　　随着冶金工业科技的发展，生产控制系统日益复杂。控制系统有自己独立的工业网络。网络系统中往往分成多级进行管理和控制。(Ll、L2、L3、L4等)。系统中包含若干生产服务器和计算机操作终端。随着信息化的发展，计算机病毒、木马和黑客程序也日益猖獗。对工业网络的安全产生威胁，时有安全问题发生。安全威胁的发展有以下6个特点：

　　(1)病毒与黑客程序相结合
　　(2)蠕虫病毒更加泛滥
　　(3)病毒破坏性更大
　　(4)制作病毒的方法更简单
　　(5)病毒传播速度更快，传播渠道更多
　　(6)病毒的实时检测更困难

　　因此，针对目前状况，对工业网络进行安全研究，得出一个安全高效、切实可行的解决方案并付诸实施，是安全生产的重要一环，有极大的社会价值和现实意义。

　　在系统加固的基础上，部署网络防病毒系统是确保整个网络生产服务系统信息安全的重要手段。针对病毒种类繁多，增长迅速，隐蔽性、再生性强，易传播，发作快、危害严重的特点，防病毒系统必须对全网范围内的服务器和操作终端实行全方位、立体、动态、实时的病毒防护。为此，必须提供强大、灵活、可统一实旌的防病毒策略和集中的事件监控、告警、管理手段，支持自动下载并分发最新的病毒特征码和扫描引擎，提供强大的病毒响应和处理机制等。

　　对于一个大型而复杂的工业网络来说，部署的防毒系统将十分复杂和庞大。防病毒系统的最大特点是需要不断的升级和更新，以应对新产生的各类病毒。因此各点的防毒软件集中进行升级行动是有效防毒的重要一环。

　　2 炼钢厂网络架构和面临的问题

　　炼钢厂工业网络结构比较复杂，涉及多部门，多系统之间的协调，如果不进行安全防范，病毒可能带来严重的威胁和损害。病毒一旦发作，带来的损失是不可估量的，而在系统被破坏后再杀毒也无法挽回已经造成的损失，所以对于炼钢厂来说，对计算机病毒的态度将是以防为主，防毒+杀毒的结合。在病毒可能流传的各个渠道中都设置监控，结合定时病毒扫描和自动更新，才能保证系统的安全。同时需要结合对应的管理策略，充分发挥防病毒产品在病毒防护集中管理、监控中的优势，在炼钢厂企业网中构建有效的病毒监控体系。炼钢厂的工业网络结构如图l所示：

图1 炼钢厂工业网络结构示意图

　炼钢厂工业网络的主要的互联网出口只有一个，一、二级内部业务应用系统服务器与互联网之间没有直接连接，为独立网络：但三、四级工作站可通过使用代理服务器访问互联网，同时三、四级工作站又可以访问一、二级服务器，这可能导致入侵者通过代理服务器从互联网入侵到内部网络里，实施各种恶意行为。

　　一、二级服务器和操作客户端未部署网络防病毒系统，三、四级工作站大部分部署了防病毒系统，但不能应用于一、二级网络。

　　内部网络的操作系统多为Windows系列系统，由于内部网络系统无法直接与互联网相连，所以无法实时升级系统补丁。众所周知windows系统是出了名的问题多，补丁多，如果不能够及时更新windoWs系统补丁，很有可能导致病毒木马利用系统漏洞在整个网络内繁衍，影响甚至破坏整个生产系统。

　　所有服务器及工作站系统均为默认安装，大部分无用服务没有停掉或者禁止，开启的服务也没有进行安全配置，会导致内部网络中其他主机泄露系统的额外信息，并增加其他隐患。具体如下：
　
　　(1)系统为默认安装，同时使用IPs$管道连接方式进行文件共享，这是传染型病毒经常使用的传播方法之一：

　　(2)服务器系统密码过于简单，一般传播感染型病毒都具备破解弱密码的机制，这也是可能导致病毒传播感染到网络中的可能性之一：

　　(3)由于内部三、四级工作站系统可以通过代理服务器访问互联网，同时在系统安全防护方面做得不够严谨，从而导致互联网病毒由访问互联网的三、四级工作站感染病毒后再传入内部网络，从而导致病毒在内部网络内泛滥：

　　(4)移动存储设备(包括u盘、移动硬盘、光盘等)在别处感染病毒后被带入到内部工业生产网络，通过网络进行大肆传播感染：

　　3 病毒防护系统整体解决方案

　　本方案设计针对病毒威胁中最紧迫且能够短期见效的几个方面着手，首先对网络中的核心系统进行全面的加固，确保当前网络和网络中的所有主机处于一个坚固、干净的状态：其次增加两台同样配置、互为备份的防病毒服务器，在防病毒服务器上部署防病毒系统，并使防病毒服务器可接入互联网实时更新升级，生产系统中的其他服务器和终端通过访问防病毒服务器进行升级，这样就可以确保整个生产系统处于实时的保护状态。在此基础上建立完善的安全管理制度，最终切断病毒的传播途径，实时保护系统免受病毒感染。病毒防护系统整体解决方案拓扑如图2所示：

图2 工业网络防病毒结构示意图
　3.1工业网络系统的安全加固具体包括

　　a)安全配置加固

　　系统管理和维护的正常配置，合理配置，及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。

　　b)安全机制加固

　　安全机制的使用和正常配置，合理配置，及优化配置。例如日志及审计、备份与恢复，签名与校验。加密与通信，特殊授权及访问控制等。

　　c)数据库加固

　　数据库文件和口令设置等

　　3.2配置防病毒服务器

　　购置两台同样配置的服务器产品作为防病毒服务器，这样方便互相替换用作备用机。放置于炼钢厂中心机房并接入网络。往外通过ADsL专线接入互联网，隔周交替升级最新系统补丁和防病毒软件，测试稳定无误后，断开外网的情况下联接内网，供一、二级网内各服务器和操作终端升级用。

　　在系统加固和部署网络防病毒系统的基础上，我们更进一步，建立一系列生产系统病毒防护制度，更加确保了系统的安全，这包括：

　　·建立管理员责任制度
　　·登记所有防病毒软件
　　·防毒组件及时更新
　　·每周防毒系统部署情况统计
　　·每周对产生的病毒事件进行评估等

　　通过以上方案的实旅，清除了系统中所有的病毒、木马和黑客程序，修补了全部的系统漏洞和软件漏洞，增强了密码的安全性，使整个系统的安全性、稳健性和速度大大提高。实践证明，这套方案是切实可行、安全高效的，值得借鉴和推广。