安防工程解决方案范文篇1

该方案可以自动解决安全管理软件同防病毒软件的冲突问题，大大减少了安全管理软件在部署、实施、运维过程中，网管人员的工作量，同时也提高了用户体验，减少了用户的抵触情绪，为企业内网安全方案的落地打下良好的基础。

关键词安全管理；杀毒软件；代码签名；驱动

中图分类号TP39文献标识码A文章编号1674-6708（2014）116-0212-03

0引言

从电脑诞生之日起，病毒和各种安全问题就一直困扰着人们。特别是在网络购物越来越普遍，互联网理财越来越普及的情况下，防病毒软件已经成为当前PC的标配。

在企业中，工作PC和服务器的安全问题，就更加重要。企业不仅仅要在每台工作PC和服务器上安装好杀毒软件、防火墙，并且还需要在终端上安装对主机安全更有保障的安全管理软件，如锐捷网络的GSN，华为的TSM，华三的IMC等。这些安全管理软件，一般都具有1X认证、微软补丁更新、外设管理、进程管理、注册表管理、系统服务管理、网络攻击防御、防机密数据泄漏等功能，可以极大的增强企业内网安全，保护企业敏感数据。但是，这些安全管理软件，都不可避免的存在一个共同的问题：那就是安全管理软件同防病毒软件的冲突问题。

有过安全管理软件部署和使用的网络管理员，都应该有这样的体会：除了初次部署时的各种兼容性问题排查，日常运行管理过程中也还会遇到各种各样的冲突问题。也许在安全管理软件升级了，或者防病毒软件升级病毒库之后，冲突问题又忽然爆发。这样的问题，让安全管理方案的落地存在很大的问题，原本为了提高企业内部安全，降低网络管理人员工作而引入安全管理软件，反而成为了一个新的痛苦点。那么，这样的问题有没有办法彻底解决呢。本文主要针对该问题进行一些分析和探讨。

1什么会有这么多的冲突问题

要解决问题，首先就要先了解问题发生的原因。安全管理软件和防病毒软件为什么会发生这样的冲突呢？这首先要从防病毒软件的病毒检测机制说起，一般来说防病毒软件的检测机制有被动检测和主动检测两种。目前基本上所有防病毒软件都兼具两种检测方式，只是不同的品牌侧重点不同。对于被动检测，也就是根据各种病毒特征（如应用程序PE文件的特征，MD5值、进程名称等）进行判断，杀毒软件通过不断的升级病毒库来增加各种病毒库特征。对于主动检测，其实就是杀毒软件根据应用程序的行为（如调用了哪些敏感API，监听了哪些端口，访问了哪些敏感资源，或者某几种动作的组合）等来进行判断是否存在风险。

从以上分析可以发现，防病毒软件和安全管理软件存在天然的冲突问题，因为安全管理软件事实上从技术的角度来看，和黑客软件的行为有着很大的相似之处。如也会调用一些敏感资源，检查某些文件、注册表，防杀（如恶意用户通过恶意杀掉安全管理软件的进程来逃脱监管）等。不过安全管理软件不会如黑客软件那样，恶意窃取敏感信息，恶意复制、删除、创建恶意文件等，如当年臭名昭著的“熊猫烧香”病毒，就是通过篡改感染用户的各种可执行文件，导致用户主机瘫痪，资料丢失。

也正因为如此，防病毒软件产品也经常将安全管理软件进行误杀。那么，有什么办法来解决这些问题呢？

2如何防止误杀

要解决误杀问题，首先要解决的就是信任问题。要让杀毒软件信任安全管理软件，目前一般会采用如下一些解决办法：

方法一：用户手动将安全管理软件加入防病毒软件的白名单中（如360的文件白名单）。

方法二：安全管理软件厂商每次版本之前，将安全管理软件申请放到防病毒软件厂商的免杀列表中。

方法三：安全管理软件尽量不调用一些敏感的API，不访问一些敏感的资源，做一些类似病毒的行为。

如上几个方法，似乎可行，但是实际上并不好使。

如方法一，似乎可行，但是首先一点是，对于企业用户，很多人对于IT技术并不熟悉。让其手动添加白名单，特别是一些企业的老员工，更是一窍不通。即使是比较精通IT技术的年轻人，也不一定能够判断出某进程是否安全。

如方法二，首先，该方法是一种企业间的白名单行为。不是所有防病毒厂商都提供这样的服务，特别是一些海外的防病毒软件厂商，在国内只有商，通常是无法联系到厂商的售后的。即使是对于有提供这些服务的防病毒软件厂商，也有问题。如有的厂商需要一定的费用（长期以来，对于安全管理软件厂商来说，也是一个负担），有的厂商审核周期太长，可能需要好几天，甚至一个月。这对于一些面临验收的项目，或者出现严重故障，急需修复BUG的安全管理产品来说，也是不可接受的。更重要的是，加入白名单，很多时候，只能避免安装过程没问题。当进行一些敏感操作时，还是会被误杀。

如方法三，首先，这不太可能，因为安全管理软件需要做一些安全相关的防护，甚至会做到驱动级别，因此不调用敏感API，就无法实现这些功能。一些敏感资源也是必须访问的，如禁用U盘，U盘加密等。这是安全管理软件很常见的一些功能。对于ARP欺骗等网络攻击行为，安全管理软件甚至还需要分析网络报文来对攻击行为进行防御和定位（如锐捷GSN产品中的ARP立体防御解决方案）。

综上所述，如上的这些方案，都无法完全解决这些问题。那么还有其他什么解决方案吗？

解决方案的着眼点，应该还是信任问题。如果通过各种技术来反检测，那么最终可能会演变为一种新的“3Q大战”。那么是否存在第三方的信任机构，来对应用程序提供信任担保呢。事实上，的确有。业界早就存在第三方的安全认证机构，如VeriSign、GlobalSign、StartCom。说起这些机构，大家可能都不熟悉。但是如果谈到https或者ssl，可能大家就比较熟悉了。目前任何银行和电子商务平台，都是必须用到这些技术的。而这些第三方安全认证机构目前提供最多的就是SSL证书。SSL证书是数字证书的一种，通过非对称算法，在客户端和服务端之间建立一条安全的通讯通道。而这个通讯通道建立的前提，就是这些第三方机构提供的电子证书是被业界所有厂商都认可的。如微软的OS就内嵌了VerSign，StartCom的根证书。

SSL主要用于客户机和服务器之间的安全信任问题。类似的，对于应用程序之间的信任，也有一种对应的电子证书：代码签名证书。

代码签名证书能够对软件代码进行数字签名。通过对代码的数字签名来标识软件来源以及软件开发者的真实身份，保证代码在签名之后不被恶意篡改。使用户在下载已经签名的代码时，能够有效的验证该代码的可信度。也就是说，代码签名证书其实主要解决两个问题，一个是软件来源问题，一个是保证代码不被篡改。而代码签名证书，本身有一套非常完善的机制，如使用非对称算法（RSA）来进行代码签名证书的生成和防篡改等，从技术上就能做到证书的防伪造。

因为这个代码签名证书是业界认可的第三方证书，也就是可信的，所以利用代码签名证书的这两个特性，应该可以很好的解决安全管理软件和防病毒软件的冲突问题。经过测试可以发现，国内外的杀毒软件，全部都承认代码签名证书。对于有使用代码签名证书签名的安全管理软件程序，防病毒软件都会认为其是安全的，不会再进行各种误杀和拦截。

既然代码签名证书可以解决这个冲突问题，并且可以防止被防病毒软件误杀，那么木马病毒程序是否可以采用这种方式来避免被防病毒软件杀掉呢？理论上是可以的，但是事实上存在一定难度。因为代码签名证书的申请不是随便谁都可以申请的，是需要提供各种企业执照和证明文件，如果出现这样的病毒。那么对应的企业是需要承担法律责任的。所以，拥有这种代码签名证书的企业需要很小心的保管自己公司的代码签名证书。同时，代码签名证书也是有时效的，超过时效，那么这个代码签名将不会认可，防病毒软件就照杀不误了。如果出现证书丢失等异常情况，也有相应的证书吊销机制可以解决这个问题。

4如何解决恶意破坏

综上所述，安全管理软件的安装和执行得到了信任，那么是不是安全管理软件和防病毒软件的冲突就可以彻底解决了呢。大部分是已经可以了，但是还不完全，前面我们提到有些恶意用户为了绕开安全监管，会采用防病毒软件的相关机制来破坏安全管理软件的正常运行。一种很典型的做法就是，使用防火墙软件，禁止安全管理软件客户端和服务器端的通讯。这样一样，网络管理人员就无法通过下发安全管理策略，来管理企业网内部的工作PC了。部署安全方案的目的也就无法很好的达成。

除了恶意破坏，还存在如下两种情况，导致客户端无法同服务器端进行通讯，正常的安全管理业务流程失败。

问题一：上网用户由于网络知识有限，不懂如何配置防火墙使安全管理软件客户端能够同服务器端进行通讯。

问题二：上网用户在防火墙判断是否放行时，由于无法作出判断，出于安全起见，禁止安全管理软件客户端访问网络。

对于这些问题，业界还没有好的解决方案，一般只能由管理员帮助上网用户进行配置和解决问题，但是如果企业内部工作PC数量众多，各种工作PC的应用环境复杂，所使用的杀毒软件和防火墙产品、版本和实现机制各不相同，耗费的工作量是巨大的。而且在防火墙升级、工作PC重装操作系统，客户改用其他杀毒软件的情况下，又需要耗费大量的时间进行折腾。而且，网管的技术能力目前在业界也是良莠不齐，很多网管也无法解决这些问题。

通过分析，可以发现当前业界主流的防火墙主要采用2种技术：SPI和NIDS中间层驱动。

SPI：简单一点说就是防火墙中同进程关联的一种报文过滤技术，它能够截获进程发起的网络连接，然后判断该进程是否允许发起这个网络链接。

NIDS中间层驱动：NIDS驱动位于更底层，它能够对网络访问的所有报文进行过滤。但是无法根据进程信息进行过滤。也就是如果其允许目的端口为80的报文通过。那么所有使用目的端口为80进行网络访问的进程发出的网络报文都能够通过。

一般业界的防火墙均采用2两种技术进行组合来实现。这样就可以解决其他进程冒用NIDS中间层驱动允许端口进行访问的问题。也可以解决，NIDS无法定位进程的问题了。

由于基于SPI的防火墙是工作于应用层的，因此能够拦截应用程序发起的网络链接，在某些情况下，就可能将客户端发起的网络链接阻断。

由于基于NIDS驱动的防火墙是工作在核心层的，因此能够拦截所有固定特征的报文。在某些情况下，就可能将客户端发起的网络链接阻断。

因此，要解决客户端同服务器端的通讯不被防火墙阻断，本文可通过实现一个“客户端驱动程序”（如上图所示）来解决该问题。该客户端驱动程序为TDI驱动，与TCP/IP这个TDI驱动同一位置，因此所有网卡收到的报文都将同时拷贝一份给“客户端驱动程序”，不会经过系统自带的TCP/IP驱动和TCP/IP协议栈，因此不会被基于SPI（甚至基于TDI驱动）的防火墙所过滤，而目前能够实现根据程序进行报文过滤的防火墙基本都是使用这两种技术。该“客户端驱动”由于同TCP/IP位于同一位置，因此无法使用Socket等WindowsAPI来实现TCP/IP传输。因此要实现客户端同服务端的通讯，还需要“客户端驱动程序”实现TCP/IP协议的相关功能。由于TCP过于复杂，因此“客户端驱动程序”采用实现UDP相关功能来实现IP报文的传输。“客户端驱动程序”能够防止通讯报文被基于SPI和基于TDI方式进行过滤的防火墙所过滤。

通过以上方式，客户端和服务端通讯的报文还可能被基于NIDS中间层驱动的防火墙给过滤。如瑞星防火墙就默认过滤所有报文，只开放少数必备端口，如80（http）和53（dns）.对于使用NIDS驱动进行报文过滤的防火墙，由于上网用户访问网络是一定要访问DNS服务的（DNS的访问端口53），并且NIDS无法得到进程信息。因此可以使“客户端驱动程序”的目的端口采用这些必备端口即可，本文中采用53端口（通过将端口修改为其他一定能够访问的端口也是可以的，53只是一个比较整理的做法，因为大部分人访问网络都是为了访问internet）。

通过以上两种方式，即可解决客户端同服务器端网络通讯被防火墙阻断的问题。下图为实现本方案，客户端程序至少需要实现的模块：

业务解析模块：同业务相关的模块（不同的产品是不一样的），从自定义传输协议栈获取服务器端发送过来的业务信息。将业务信息发送给自定义传输协议栈。

自定义传输协议栈：将业务相关的信息，根据自定义协议，封装到IP报文中。该传输协议栈，本方案只规定了采用UDP协议实现。UDP报文中的内容，不同的产品根据不同要求能够有不同的实现（如报文大小，安全要求程度不一样，应用层的实现都是不一样的）。

客户端驱动程序：TDI驱动，接收服务端发送过来的报文，并转发给自定义传输协议栈处理。接收自定义传输协议栈封装好的报文，并通过网卡转发给服务端。

对于服务器端，需要实现对应的自定义传输协议和业务解析模块，但是不需要实现客户端驱动。因为服务端都是管理员负责管理的，不存在这个防火墙的问题。

本方案既能够应用于Windows操作系统环境下的TCP/IP网络环境，也可以扩展到其他操作系统上的，如Linux和Unix等，因为其网络体系架构基本上是一样的。不过，目前国内的企业网，基本上都是Windows操作系统的终端，采用其他OS的PC很少。

4结论

虽然目前杀毒软件和防火墙软件功能已经越来越强大。但是，这些软件的功能，主要还是针对用户的操作系统环境，进行病毒的检测和防御。对于安全要求较高的企业网，部署相应的安全解决方案，还是很有必要的。对于一些裸奔（不安装任何杀毒软件和防火墙软件）的PC，其安全性是完全无法保障的，企业信息的泄密几率也大大的增加。但是，安全管理软件同防病毒软件的冲突问题，却使安全解决方案的部署无法达到预期的效果。本文针对这个问题，通过使用“代码签名证书”，基于底层驱动的“客户端驱动程序”，解决了业界普遍存在的安全管理软件和防病毒软件的冲突问题，使安全管理方案的落地有了一个良好的基础。大大提高了企业内网的安全，极大的减轻了企业网网络管理员的工作负担。

参考文献

[1]代码签名证书.http：///link？url=B4VdrnuSOBmgeRYdAsssYwGZ32a4MRZbzMKhLrlu9n-6IhCgYqbOKSqQKGArOFvNdDB8etVjoy0eG-M9yvoGb.

安防工程解决方案范文篇2

【关键词】液化天然气;LNG撬装;控制系统;解决方案

一、前言

液化天然气具有高效、清洁、方便等特点，因此成为当今世界使用较多的能源。我国也越来越重视对液化天然气的开发和应用，目前LNG液化撬装装置是人们研究的重点，利用液化撬装装置进行气源的开发具有部署机动、组装简便等特点。由于我国气田分布较分散，尤其是煤层气，采用LNG液化撬装装置对气田进行开发具有重要的意义。本文对撬装工艺和撬装控制系统进行分析，提出了撬装控制系统的应用解决方案，希望可以为液化撬装控制系统提供有意义的参考。

二、LNG撬装工艺

液化天然气（LNG）是全球三大能源之一，撬装工艺具有建设周期短、结构紧凑、节约用地、模块化设计便于管理等优点。液化撬装工艺对分散气田进行开采，可以满足边际气田开采的需求，因此撬装工艺的分析和研究具有重要意义。

撬装工艺一般采用压缩膨胀液化流程，或者混合制冷流程。整个撬装装置采用模块化设计，共分为五个撬装模块：原料气计量和分离净化模块、天然气液化模块、多级压缩制冷循环模块、冷箱、LNG储罐或槽车，装车装置。

三、撬装控制应用特点

撬装装置由若干撬块和一个中控室组成，各撬块上配有DIO站，采用SchneiderAdvantys或WAGO750系列模块，分别对撬内信号进行采集。各撬块通过工业以太网将数据传送到中控室的控制站，控制室设立冗余Quantum67160主备站，Citect冗余服务器对撬装工厂进行监控，并提供WebSever，以保证撬装工厂的安全运行。

撬装区域属于防爆I区，因此必须提高液化装置的安全性，才能保证气田开采的安全。撬装区的控制系统需要满足以下要求：

1.若AI模块通道具备断线诊断（Wirebreak）并开启此功能，当AI通道（电流型）断线时，启动报警程序;

2.若AI模块通道不具备断线诊断（Wirebreak）或未开启此功能，当AI通道（电流型）断线时，依不同IO模块编写类似如下程序，进行通道断线检测（UNITY7.0）：

S1SCALING_0（IN：=S1AO1RAWReal[0]，

PARA：=S1SCALINGParaS1AO1，

OUT=S1AO1RealEn[0]）;

S1SCALINGParaS1AO1.in_min：=0.0;

S1SCALINGParaS1AO1.in_max：=100.0;

S1SCALINGParaS1AO1.out_min：=0.0;

S1SCALINGParaS1AO1.out_max：=32000.0;

S1SCALINGParaS1AO1.clip：=1;

%MW281：=REAL_TO_INT（IN：=S1AO1RealEn[0]）;

%MW282：=REAL_TO_INT（IN：=S1AO1RealEn[1]）;

3.采用分布式I/O数据采集站。采集站安装在撬块上，需适应变化多样的环境，因此要求采集站具有很好的环境适应能力。

4.各撬块间通讯电缆全程配管保证通讯线路安全可靠，因采用环网，最大限度避免了以太网70米以上距离的尴尬。

四、撬装控制系统应用方案

通过分析撬装控制应用的特点可以看出撬装应用系统的安全性需从防爆性、分布式数据采集控制、环境适应性能等方面进行综合考虑，才能保证撬装控制系统的安全和可靠。

图1

1.防爆解决方案

由于撬块区属于防爆区，因此系统的防爆设计是整个撬装工厂控制系统中最重要的要素，从减少危险点的角度增强安全性：

（1）使用本安设备-安全栅方案

安全栅方案是指点对点接线到点对点接线，主要的代表形式是隔离式和齐纳式，安全栅的应用特点是仪表按照点对点的接线方式连接到安全栅，安全栅同样以点对点的方式再连接到控制系统上，即安全栅作为中间的安全枢纽。

（2）减少电缆接入点-现场总线解决方案

现场总线解决方案是指从总线到总线的解决方案，是由现场总线本安适配器、本安总线电缆、本安配电链接模块、本安现场总线仪表组成，它的应用特点为总线与总线链接，然后以总线的方式连接到控制系统中，也就是说整个控制回路只需一条电缆组成。这也是目前最为先进的本安防爆技术。

（3）集中控制分散采集方案

分布式I/O方案就是从点到点接线到总线，主要的产品是分布式I/O模块（本质安全型）。它的应用特点是仪表采用传统的本安仪表，用点对点的方式连接到I/O分布模块，分布式I/O模块不仅具有安全栅的功能，还具有防爆功能，因此可将I/O分布模块直接安装在危险区，使现场设备小型化。

如果采用点对点接线方式，会在中控室产生大量的线缆，跟场站式工厂的构建模式相似;如果采用总线对总线的连接方式，虽然能保证控制系统的安全性，但是需要在现场安装本安仪表，成本较高，且对工作人员的专业素质要求较高，因此目前这种方案并不适合。采用点对点接线到总线的方案，结合了以上两种方案的优点，可以采用常规仪表，降低了成本，同时可以通过总线连接到中控室，减少了中控室的线缆数量。I/O分布一般采用点对点接线到总线这样的方式为主，以总线到总线接线的方式为辅的解决方案。

2.撬上分布I/O的要求

对于分布式I/O的要求一般是从防爆设计和环境适应能力两个方面进行考虑。LNG液化过程中的撬装装置中含有大量的甲烷、乙烷、丙烷等易燃易爆气体，因此撬块上的I/O分布单元应达到撬块上的防爆要求。

由于撬块上的分布式I/O单元处于外部环境，为了保证LNG液化装置能够正常运行，要求I/O撬块装置需要具有较强的环境适应能力，在恶劣的环境下仍然能够正常运行。在北方需要满足的工作温度是-40℃～60℃，在南方则需要满足的工作温度是-20℃～70℃。必要时设计空间温度调节装置，可考虑使用宽温产品。

3.控制系统的配置和应用

在LNG液化撬装工厂中，每个撬块中都备有信息采集装备，并且分布式的I/O单元需要适应环境的要求。中控室位于安全区域，虽然没有防爆要求但是要求的运算负荷比较高。在LNG液化装置的网络设计采用总线型和环型结合的方式进行组网。利用分布式的I/O单元能够在保证安全和可靠性的前提下，还能节省线缆和成本。

五、总结

本文通过对LNG液化控制系统应用解决方案进行分析，得到分布式I/O单元的解决方案，可在保证液化系统的可靠和安全性的前提下，降低成本，节约电缆，提高经济效益。随着LNG在全球中的广泛应用，LNG撬块装置以及控制系统将得到逐步提高，从而促进液化天然气的开发和利用，对改善能源结构具有重要的意义。

参考文献

[1]付永兴，李化治等.煤层气液化装置流程及经济性分析[J].低温与特气，2004，8（22）.

[2]曹文胜，鲁雪生等.小型撬装式LNG装置的流程模拟[J].化工学报，2006，6（57）.

[3]孙康.小型LNG装置混合制冷工艺包PFD-2004.

作者简介：