炼钢厂工业网络的主要的互联网出口只有一个，一、二级内部业务应用系统服务器与互联网之间没有直接连接，为独立网络：但三、四级工作站可通过使用代理服务器访问互联网，同时三、四级工作站又可以访问一、二级服务器，这可能导致入侵者通过代理服务器从互联网入侵到内部网络里，实施各种恶意行为。

　　一、二级服务器和操作客户端未部署网络防病毒系统，三、四级工作站大部分部署了防病毒系统，但不能应用于一、二级网络。

　　内部网络的操作系统多为Windows系列系统，由于内部网络系统无法直接与互联网相连，所以无法实时升级系统补丁。众所周知windows系统是出了名的问题多，补丁多，如果不能够及时更新windoWs系统补丁，很有可能导致病毒木马利用系统漏洞在整个网络内繁衍，影响甚至破坏整个生产系统。

　　所有服务器及工作站系统均为默认安装，大部分无用服务没有停掉或者禁止，开启的服务也没有进行安全配置，会导致内部网络中其他主机泄露系统的额外信息，并增加其他隐患。具体如下：

　　(1)系统为默认安装，同时使用IPs$管道连接方式进行文件共享，这是传染型病毒经常使用的传播方法之一：

　　(2)服务器系统密码过于简单，一般传播感染型病毒都具备破解弱密码的机制，这也是可能导致病毒传播感染到网络中的可能性之一：

　　(3)由于内部三、四级工作站系统可以通过代理服务器访问互联网，同时在系统安全防护方面做得不够严谨，从而导致互联网病毒由访问互联网的三、四级工作站感染病毒后再传入内部网络，从而导致病毒在内部网络内泛滥：

　　(4)移动存储设备(包括u盘、移动硬盘、光盘等)在别处感染病毒后被带入到内部工业生产网络，通过网络进行大肆传播感染：

　　3 病毒防护系统整体解决方案

　　本方案设计针对病毒威胁中最紧迫且能够短期见效的几个方面着手，首先对网络中的核心系统进行全面的加固，确保当前网络和网络中的所有主机处于一个坚固、干净的状态：其次增加两台同样配置、互为备份的防病毒服务器，在防病毒服务器上部署防病毒系统，并使防病毒服务器可接入互联网实时更新升级，生产系统中的其他服务器和终端通过访问防病毒服务器进行升级，这样就可以确保整个生产系统处于实时的保护状态。在此基础上建立完善的安全管理制度，最终切断病毒的传播途径，实时保护系统免受病毒感染。病毒防护系统整体解决方案拓扑如图2所示：

　　图2 工业网络防病毒结构示意图

　　3.1工业网络系统的安全加固具体包括

　　a)安全配置加固

　　系统管理和维护的正常配置，合理配置，及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。

　　b)安全机制加固

　　安全机制的使用和正常配置，合理配置，及优化配置。例如日志及审计、备份与恢复，签名与校验。加密与通信，特殊授权及访问控制等。

　　c)数据库加固

　　数据库文件和口令设置等

　　3.2配置防病毒服务器

　　购置两台同样配置的服务器产品作为防病毒服务器，这样方便互相替换用作备用机。放置于炼钢厂中心机房并接入网络。往外通过ADsL专线接入互联网，隔周交替升级最新系统补丁和防病毒软件，测试稳定无误后，断开外网的情况下联接内网，供一、二级网内各服务器和操作终端升级用。

　　在系统加固和部署网络防病毒系统的基础上，我们更进一步，建立一系列生产系统病毒防护制度，更加确保了系统的安全，这包括：

　　·建立管理员责任制度

　　·登记所有防病毒软件

　　·防毒组件及时更新

　　·每周防毒系统部署情况统计

　　·每周对产生的病毒事件进行评估等

　　通过以上方案的实旅，清除了系统中所有的病毒、木马和黑客程序，修补了全部的系统漏洞和软件漏洞，增强了密码的安全性，使整个系统的安全性、稳健性和速度大大提高。实践证明，这套方案是切实可行、安全高效的，值得借鉴和推广。

(责任编辑：)