煙草行業信息安全應對策略探討

摘要：信息化過程中煙草企業有眾多的網絡安全風險需要考慮，面對紛繁蕪雜的信息安全威脅和來自企業內外兩方面的信息安全問題，煙草企業的信息安全防范應對措施就顯得尤為重要。建立一個有序，全面，設計合理，架構完整的煙草企業信息安全防御體系是信息安全工作的重中之重。

關鍵詞：信息安全 外部因素 內部因素 應對策略

0 引言

確保煙草企業的信息安全是一個動態過程。通過采用防火墻、操作系統身份認證、加密等措施，確保煙草企業信息的整體安全。對系統的安全狀態借助漏洞評估、入侵檢測等檢測工具進行評估，進而采取各種措施對系統安全進行調整，使之處于安全狀態。信息化過程中煙草企業有眾多的網絡安全風險需要考慮，面對紛繁蕪雜的信息安全威脅和來自企業內外兩方面的信息安全問題，煙草企業的信息安全防范應對措施就顯得尤為重要。

1 針對外部因素的應對策略

1.1 防火墻 防火墻是計算機網絡安全必不可少的一種應用系統，但防火墻并不是萬能的。設置防火墻的目的是防止非法用戶的侵入，它是在兩個網絡之間執行控制策略的硬件系統和軟件系統。按照煙草行業的安全體系，一般將防火墻部署在：局域網內的VLAN之間控制信息流向時；Intranet與Internet之間連接時；在廣域網系統中，由于安全的需要，總部的局域網可以將各分支機構的局域網看成不安全的系統，（通過公網ChinaPac，ChinaDDN，FarmeRelay等連接）在總部的局域網和各分支機構連接時采用防火墻隔離，并利用VPN構成虛擬專網。

1.2 數據加密 在通信安全方面數據加密是確保信息安全的基石。數據加密作為一項基本技術，其加密過程是由通過各種加密算法來實現的，數據加密是以較小的代價提供強大的安全保護。在通常情況下，確保信息機密性的唯一方式就是對數據進行加密。在全球范圍內比較著名的有：美國的DES以及TripleDES、GDES、NewDES；歐洲的IDEA；日本的FEALN、LOKI91、RC4、RC5等。在常規密碼算法中，DES密碼是影響最大的一種。對數據利用常規密碼算法進行安全加密，因此，能夠經受時間的檢查與驗證，以及抵御病毒的攻擊，所以，保密程度較強是它的優點，但是，自身也存在著一些弊端，例如，其密匙必須通過安全途徑進行傳送。因此，系統安全的重要因素就是其密鑰的管理。

1.3 認證技術 在網絡通訊過程中，通訊雙方的身份認可主要通過認證技術進行解決的。在認證技術中，數字簽名是一種確認身份的具體技術，在通信過程中，數字簽名還可以實現不可抵賴要求。加密和密鑰交換是認證過程重點涉及的內容。通常情況下，通過采用對稱加密、不對稱加密及兩種加密方法相混合的方式實現加密。

目前，煙草企業主要采用：

①摘要算法的認證，市場上主要采用的摘要算法有MD5和SHA-1。

②基于PKI的認證，其認證和加密是通過公開密鑰體系進行的。該方法綜合運用了摘要算法、不對稱加密、對稱加密、數字簽名等技術，將安全性和高效性進行結合，因此，安全程度較高。基于PKI的認證主要應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。

③數字簽名，驗證發送者身份和消息完整性是以數字簽名為依據的。RSA等公共密鑰系統基于私有/公共密鑰對，并且據此驗證發送者身份和消息的完整性，CA的數字簽名是通過計算私有密鑰實現的，公共密鑰是由CA提供的，因此簽名的真實性任何人均可以進行驗證，在計算機能力方面偽造數字簽名是不可行的。當消息和數字簽名同時發送時，在驗證數字簽名時都將會發現對消息的任何修改。

1.4 入侵檢測 入侵檢測是一種新型的網絡安全技術，其主要功能是主動保護自己免受黑客攻擊。通過采用入侵檢測使得煙草企業的信息系統能夠有效抵御病毒的攻擊，而且提高了系統管理員在安全方面的審計、監視、進攻識別和響應等安全管理能力，在一定程度上確保了信息安全結構的完整性。從計算機網絡系統的若干個關鍵點收集信息進行入侵檢測，通過對這些信息的研究分析，檢查網絡中是否存在違背安全的行為和遭受侵襲的跡象。入侵檢測作為第二道安全防護門，進行入侵檢測時不影響網絡系統的性能，在一定程度上對內、外部攻擊和誤操作進行實時保護。另外，入侵檢測可以與彌補防火墻進行優勢互補，通過入侵檢測和相應的防護手段為網絡安全提供實時保護，是網絡安全中極其重要的部分。

1.5 數據保護 基于網絡的備份系統是目前最先進的數據備份技術。全方位、多層次的備份系統是最為理想的。整個網絡的數據受到網絡存儲備份管理系統的管理。系統管理員通過借助集中式管理工具的幫助，對全網的備份策略進行統一管理，所有機器的備份作業可以通過備份服務器進行監控，或者修改備份策略，其所有目錄也可即時瀏覽。計算機應用系統穩定、可靠、有效、持續運行方面雙機熱備是基礎，對于計算機應用系統的可靠性問題通過系統冗余進行解決，具備安裝維護簡單、運行穩定可靠、監測直觀等優點。

2 針對內部因素的應對策略

2.1 身份認證 網絡安全身份認證是一種系統確認用戶身份的技術。確保網絡安全方面，身份認證是第一道防線，也是最重要的一道。煙草企業作為用戶訪問煙草信息系統時，身份認證系統首先對訪問用戶的身份進行認證和識別，將用戶的身份信息通過監控器傳遞給授權數據庫，進而確定用戶訪問的權限和級別。根據需要管理員對授權數據庫進行配置。

2.2 訪問控制 進行網絡訪問時，訪問的范圍、資源，以及訪問時所用到的協議和端口等，訪問用戶都要受到訪問控制的影響和制約。

2.3 流量監測 在網絡系統中，因流量檢測不到位，使得網絡受到拒絕服務攻擊（DoS）、網絡蠕蟲病毒，以及網絡掃描工具產生的大量假連接請求的影響，引發網絡設備癱瘓的現象。因此，為了確保系統安全運行，需要對網絡的異常流量進行實時的監控。用于監測流量的主要有兩種，即為基于SNMP的流量監測和基于Netflow的流量監測。

2.3.1 基于SNMP的流量監測

進行異常流量信息檢測時。需要收集輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出字節數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等網絡流量信息。基于SNMP的流量檢測，是借助網絡設備Agent提供的MIB（管理對象信息庫）中收集一些具體設備及流量信息有關的變量。

2.3.2 基于Netflow流量檢測

通過該方案進行異常流量信息采集，是通過網絡設備提供的Netflow機制完成網絡異常流量信息的采集。在此基礎上進行的流量信息的采集效率和效果，在一定程度上均能滿足監測網絡異常流量的需求。

另外，處理異常流量最直接的解決辦法就是切斷異常流量源設備的物理連接，或者借助訪問控制列表，采用包過濾或在路由器上進行流量限定，進而起到檢測異常流量的目的。

2.4 漏洞掃描 受黑客和病毒的攻擊，煙草企業內部的網絡系統存在不安全隱患。目前，在硬件、軟件、通訊協議等方面，煙草企業的網絡系統都存在一定的安全隱患，檢測系統的安全漏洞是確保系統安全的根本所在。定期地對內部網絡系統進行漏洞掃描，可以及時發現安全問題，并在第一時間對系統完成有效防護。

2.5 預防病毒 對病毒系統進行預防，對于煙草企業來說，要具備系統性與主動性，對病毒實現全方位多級別的防護。構建網絡防病毒系統時，結合病毒在網絡中存儲、傳播、感染的方式，以及途徑的多樣性，相應地應利用全方位的企業防毒軟件，進行集中控制、預防為主、防殺結合的處理策略。就實際情況而言，設置相應的防毒軟件針對性地預防網絡中所有可能的病毒攻擊，配置全方位、多層次的防毒系統，鞏固和強化病毒入侵的防御能力。但目前湖南煙草系統內部網絡的殺毒軟件品牌選擇是360殺毒企業套件，而此款軟件更新及時，對防毒殺毒能起到較好的作用，對煙草系統內部網絡安全來說具備良好的保障性。

由于網絡的開放性和通信協議的固有安全缺陷，煙草企業受到的信息安全威脅還是一種普遍的存在，分析網絡系統的各個不安全環節，找到安全漏洞，做到有的放矢，對安全威脅的主動防御才是煙草行業信息安全的重點。煙草行業的信息化發展凝聚著無數煙草行業信息工作者的努力，建立一個完善堅固的信息防御體系對煙草行業的信息工作者來說任重道遠。

參考文獻：

[1]董玉格等.網絡攻擊與防護-網絡安全與實用防護技術[M].北京：人民郵電出版社，2002.8.

[2]周學廣等.信息安全學[M].北京：機械工業出版社，2003.3.

[3]門鵬.基于SOA的煙草商業信息系統整合研究及應用[J].價值工程，2013（01）.