首页 > 文章中心 > 正文

糖厂网络安全

糖厂网络安全

1糖厂局域网面临的主要威胁

病毒和黑客攻击是糖厂局域网面临的两大威胁,现实中糖厂局域网经常遭到黑客或病毒的攻击,黑客入侵网络系统对信息进行删除、修改、窃取,计算机病毒也对网络造成干扰和破坏。这些安全问题存在的主要原因,一是糖厂局域网的网络防护体系不严密,用户的网络安全意识不强。二是网络系统本身的脆弱性以及网络安全技术的缺陷。三是网络安全管理制度不健全。

局域网使用的TCP/IP协议在设计之初并没有考虑安全问题,存在许多的安全缺陷,主要表现在IP欺骗、路由选择欺骗、TCP序列号欺骗、TCP序列号轰炸攻击这几方面。黑客入侵糖厂局域网的方式可以分为被动式和主动式两类,被动式进攻是入侵者仅仅窃听信息,并不修改网络的信息。主动式进攻是入侵者与目标系统交互,一般会修改网络中的数据,具体的攻击技术主要有:Sniffer探测、端口扫描、特洛伊木马、拒绝服务攻击等。

糖厂网络安全的威胁还可能来自内部,主要表现在两方面,一是企业员工人为的失误,包括密码不设口令或者口令过于简单、没有及时对系统进行升级或打补丁、保留缺省账号等。二是企业员工的蓄意破坏,比如在计算机中植入木马以获得非法访问权。这些都会给糖厂的正常生产和经营带来严重的破坏。

2糖厂局域网络的结构模型

糖厂属于流程型企业,甘蔗是主要的原材料,生产具有季节性,制糖企业的兴旺与当地种植业有着密切的联系,使其管理上与其他类型企业有明显不同。制糖企业制造成本只占到制糖全部成本的30,而原料、运输、销售等方面的成本占了比较大的比重,糖厂必须从甘蔗原料的种植、运输、生产到成品糖销售等环节全面地进行成本管理,在信息管理系统中要集成各种农务软件。另外,糖厂广泛应用着多种信息化技术,主要有智能优化控制技术、传感检测技术、数控技术、DCS技术、PLC技术、嵌入式控制器等,这些技术都需要计算机网络来进行集成,糖厂的局域网络必须适应上述的特点。

糖厂局域网一般有Web、FTP、电子邮件、DNS等服务器以及十几至几百台的工作站,比较先进的制糖企业还把嵌入式控制系统集成在网络中。下图是糖厂目前采用比较普遍的一种局域网结构模型。

3解决糖厂网络安全问题的对策

网络安全不仅是一个技术问题,还是一个社会问题和管理问题,这里只是从技术的层面上探讨解决糖厂网络安全问题的一些对策。

3.1实行严格的网络访问控制

网络访问控制是保证网络安全的核心策略,它主要是保证网络资源不被非法访问。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等,各种安全策略必须相互配合才能真正起到保护作用。

对于糖厂的网络系统而言,其访问控制可分为对内访问控制和对外访问控制。对外访问控制指外部用户必须经过防火墙才能访问内部网络资源,防火墙一般由过滤路由器、服务器或堡垒主机组成,过滤路由器根据TCP/IP报头来过滤信息,然后把信息转发到堡垒主机,堡垒主机再根据不同的应用协议转发信息流。这种体系结构下的防火墙提供了多层安全保护,因此是比较安全的。因为很多安全问题都来自内部,因此必须对网络内部用户的访问采取适当的控制措施,下图是网络内部用户对网络资源的访问控制模型。

3.2把较新的网络安全技术应用在网络系统中

在糖厂局域网的建设与管理中,要逐步融入一些网络安全新技术,使网络系统更加安全可靠。目前常用的网络安全技术主要有数据加密、身份验证,存取控制、虚拟网络、防火墙技术等,此外还有入侵检测技术、蜜罐技术、取证技术、物理隔离技术等几种新的网络安全技术。入侵检测系统(IDS)是主动保护系统免受攻击的一种网络安全技术,当前已经出现了不少实用的入侵检测系统。蜜罐(HoneyPot)是诱骗攻击者的一种有效方法,它可以查找并发现新型的攻击工具,解决了IDS无法对新型攻击快速作出反应的缺点。蜜网(Honeynet)作为一种研究型蜜罐,是目前获取攻击者信息的主要来源之一。同时,基于IDS和蜜罐的计算机取证技术也得到了发展,开发了很多计算机取证的工具,如Encase、SafeBack等。物理隔离技术是近几年出现的一个

全新的安全防御手段,正逐步成为网络安全体系中不可缺少的环节,新一代的物理隔离产品能实现动态的隔断,并能对信息进行筛选。

3.3一种实用的网络安全解决方案

网络安全解决方案主要包括两方面,一是风险评估,二是安全策略。安全策略是网络安全体系的核心,它包括需求分析、安全管理制度、技术防护、紧急响应等几个方面。从技术的角度看,目前网络安全技术及其产品的种类很多,从底层到应用都有相应的网络安全产品可以选用,比如瑞星公司、Nod32公司的系列安全产品都能提供比较好的安全保障。

保证网络设备的正常运行,特别是保证关键业务系统的安全,是糖厂网络系统安全需求的核心,主要包括:访问控制,确保网络系统不被非法访问;数据安全,保证数据库系统的安全性和可靠性;入侵检测,对于破坏网络系统的恶意行为能够及时发现、记录和跟踪;完善的防病毒措施等。

下面介绍一个对于糖厂比较完善和实用的网络安全解决方案,这个方案能比较彻底地解决糖厂局域网的安全问题,其安全网络拓扑结构如图3所示。以下具体介绍这个方案的基本策略。

3.3.1设置防火墙在Internet与糖厂局域网之间部署一台防火墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,使内、外网相互隔离。局域网通过路由器与Internet连接,外网的用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS),这样既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。防火墙技术有多种,这里最好选用状态检测型防火墙,它能在不同层中对数据进行检测,从而提高了效率,简化了规则。

3.3.2设置入侵检测系统将入侵检测引擎接入核心交换机,对网络系统进行实时检测。入侵检测是防火墙之后的第二道安全闸门,在发现入侵行为后,会及时作出响应,包括切断网络连接、记录事件和报警等,扩展了系统管理员的安全管理能力。

3.3.3安装杀毒软件杀毒软件不仅要部署在应用服务器上,网络内部各个环节也要安装杀毒软件,并且要及时更新病毒代码库。在选择杀毒软件时要考虑病毒查杀能力、病毒代码更新能力、实时监控能力、占用系统资源情况等因素,国内的产品如瑞星、江民等都是不错的选择。

3.3.4设置漏洞扫描器在局域网内设置一个漏洞扫描器,它能帮助管理员发现网络中存在的安全隐患和漏洞,并生成报告和安全建议。扫描器的放置位置一般分为两种:网络内部或网络外部,本方案将扫描器软件放置在网络内部,这样可以检测网络中存在的所有安全隐患。

3.3.5设置专用的备份服务器在局域网中设置一个专用的备份服务器,连接大容量的存储设备(磁带库、光盘库等),利用第三方存储备份软件系统,可以实现自动备份、数据分级存储以及灾难恢复,是保障数据安全的有效措施。

4小结

糖厂网络系统的安全隐患隐藏在各个角落,网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,把这些安全组件进行适当地配置,就能有效地保障糖厂网络系统的安全。

参考文献

[1]王亚原.企业网络安全问题及对策.太原师范学院学报(自然科学版),2005,4(1).

[2]田茂熙.构建企业网络安全体系.贵州化工,2005,30(1).

摘要:随着网络技术的不断发展,越来越多的糖厂建立了局域网系统。但是网络安全问题接连不断的发生,给糖厂信息化的建设带来很大的危害。分析了糖厂网络系统面临的威胁及相应的对策,并提出了一个实用的解决方案。关键词:糖厂网络安全

在21世纪,信息技术已经渗透到企业的生产、管理和销售的全过程。广西是中国最大的产糖基地,2004/2005年榨季的糖产量占全国的58,目前很多糖厂都建立了局域网,利用计算机网络对生产进行控制、监测与管理。此外,企业的财务管理、营销管理、设备管理、收发邮件、查找资料及信息等都离不开计算机网络平台,计算机网络为糖厂的管理、运营和统计等带来了前所未有的高效和快捷。但是,随之而来的是严峻的计算机网络安全问题。

文档上传者