远程计量终端管控系统
科研攻关课题任务书
课题名称:远程计量终端管控系统
姓名:窦心愿袁晓飞褚晓敏单位:自动化室
自动化部
2013 年 8 月 14 日
一、课题背景及意义
随着舞钢公司废钢管控不断的深化,为实现公司提出的“四个突破”、“三个提高”目标,实行计量无差错,计量无投诉,不影响废钢计量一分钟,保证快速、准确计量而提出的设备零故障。
二、课题研究的目标
1、在物资计量网络内部建立起内部终端安全管理体系,明确内部终端的日常管理目标、策略、方法及流程,从管理制度和保障团队等多方面保障终端安全,树立终端管控机制。
2、研发并部署符合计量中心需要的终端管控信息化工具,从功能及性能方面保障客户需求的顺利实现,实现终端用户行为规范化、终端管理集中化,统一管理。
3、优化网络布局,加强对交换机端口的管理限制,IP和端口绑定,加强对IP的管理,保证物资计量网络的独立性,坚决避免与其他网络有交集,避免网络上出现异常和故障,提高整体网络运营的安全性和稳定性。
4、加强对各秤房的管理,严格人员准入制度,无关人员禁止进入,安装采集软件将工控机、硬盘录像机、打印机等设备的信息上传到计量中心的终端信息管控工具上,便于管理人员进行统一管理。
三、课题研究的基本内容
结合目前公司对该系统的需求,系统设计包括两方面内容:终端信息监控管理、网络安全管理、数据库的管理。
3.1终端信息监控管理
目前厂区内的计量终端比较分散,计算机分为自动化部安装和各厂自备安装的,存在以下问题:
1.没有经过安全检查的计算机直接连接网络。
2.操作系统的补丁无法保证每一台终端都能安装上。
3.防病毒软件的安装率无法达到100%,导致病毒在网络上传播。
4.U盘及光驱的使用导致计算机染上病毒的可能性大大增加。
5终端较为分散,无法进行统一全面的管理及其监控。
6秤房等敏感重要区域的设备缺少统一监控。
针对上面存在的问题,事实终端管理后达到的目标:
1.对计量网络用户实施强制准入制度,保证只有合法用户才能访问计量网。
2.终端在进入计量网之前其自身的安全性必须符合企业的安全策略,落实并强势实施企业的网络安全策略,为合法终端建立起防护体系,强制安全网络终端安全程序(防病毒软件、防入侵软件),安全操作系统补丁,实行强制更新。
3.对终端上运行的程序进行限制,只允许运行于工作相关的程序,禁止非法软件的运行。
4.禁止或限制光盘及U盘等外设工具的使用。
5.在秤房等重点区域实时采集计算机及录像机、打印机等设备信息上传至管理终端,实现统一管理。
3.2 网络安全管理
目前计量网络还存在以下缺陷和不足,影响网络的稳定运行。
1.各机房内机架上计量网专用交换机及光纤设备与其他网络设备安全在一起,其他网络的管理人员在机房内工作时偶然会碰到计量网络设备,导致其出现故障,网络中断。
2.计量用户增加、迁移、撤销时对应机房内的光纤及交换机设备的标签及台账没有及时的更新、修改,一些无用的网线及收发器等设备没有拆除,机架内设备较为混乱,增加了故障点及隐患点,出现故障时排除及维修极为不便,现场的交换机等设备监管不到位,一些操作人员随意在交换机上拔插网线导致网络出现环路甚至整体瘫痪。
针对以上存在的问题,整改后达到的目标:
1.加强网络整改,不同网络的交换机和光纤设备在安装上分开,
互不影响,保证其工作的稳定性。
2.将所有的3COM交换机更换成可管理做数据的交换机,将端
口与计算机端口与网卡、IP等绑定,无关计算机禁止进入到
网络,保证稳定。
3.3 数据库的管理
数据库存储计量过程中产生的各项数据,用户访问查询的数据都保存在其中,必须保证其运行的稳定,现采取的双机热备方案,可以在一台数据库服务器出现故障时及时切换到另一台服务器上,保证其100%能正常稳定工作。
四、课题研究的方法
本课题在该系统中主要侧重于终端管控信息管控系统的开发,软
件开发部分主要采用B/S架构,在.Net平台上采用C#语言进行开发。
五、课题研究的步骤和计划
5.1 详细设计
系统客户端软件具有如下功能:
1}终端完整性检查。
终端完整性策略检查终端计算机上防病毒软件、反间谍软件、补丁程序、Service Pack或其他必须应用程序是否符合要求。
具体内容是对防病毒程序的安全,微软的补丁安装,客户端启用强口令策略,关闭有威胁的服务和端口,因为主机安全性检查支持对终端的注册表检查与设置,进程管理、文件管理、下载与启动程序,所以可以通过设置自定义的策略来满足几乎用户对客户端的安全策略和管理要求。
2)终端软件防火墙,通过officescan终端软件防火墙能对客户端的网络访问指定访问规矩,支持对应用程序来设定防火墙规则。
3} 入侵防护系统。
通过集成的入侵防护系统能对各种入侵行为作出自动响应,保护终端免受黑客攻击。
4)侧做系统保护策略。
客户端对终端的文件、注册表项和进程可以直接访问。
客户端对终端的硬件设备可以进行管理,根据企业网络安全策略设置是否终端使用相关的设备,可以设置如U盘的禁止使用,无线网卡、红外端口的禁止使用,禁止U盘的自动运行功能,禁止指定程序的运行。
从上述描述可以看出,客户端对终端的控制在操作系统层面来讲已经达到系统管理员这一级别,这样就保证了officescan系统对终端
具有完全的控制能力。
客户端软件安装在底层终端上,接受策略服务器下发的企业安全策略并执行;策略服务器负责终端的安全策略的制度;数据库服务器存储所有客户端的信息;强制准入控制服务器对不符合安全策略的终端进行隔离。
当终端访问数据库数据时,强制准入控制服务器对终端进行准入认证,只有符合网络安全策略的终端才能访问服务器,否则对终端的访问将定向到指定的网页,指导用户对终端进行必要的安全加固后才能访问数据库服务器。
方案部署图
5 U 准入控制服
务器
数据服务器
交换机交换机
交换机
维护区区域1(安装ESS
客户端)
区域2(安装
ESS客户端)
策略服务器核心交换机
5.2 工作计划
系统开发施工安排开始日期:2013-7-16
模块名称负责人8 9 10 11 12 1 2 统计计量网所有设备褚晓敏
统计网络结构袁晓飞
安装officescan
调试褚晓敏
六、课题预期的成果
1.建立里严格用户访问准入制度,只有合法的安全用户才能访
问计量网络。
2.及时收集计算机等硬件信息到终端信息管控平台,实现对设
备工作状态的24小时监控。
3. 取得终端计算机管理员级别管理权限,对终端具有完全控制
能力。
3.终端管控中心发现故障能够及时报警,能够将故障点确认到
具体的计算机上。
八、课题研究的经费及设备
8.1软件费用
应用软件开发费用约10万。
8.2设备费用
三级交换机S3328 0.4万20 8 共计8。