大數據背景下的煙草工業企業網絡安全的探究

汪小毅

摘 要： 隨著大數據技術在煙草工業企業中逐步推廣，網絡安全問題日益成為企業關注的焦點。文章檢查了煙草工業企業中存在的主要網絡安全問題，分析其原因，對煙草工業企業在訪問控制、入侵檢測、病毒防治、日志審計、數字加密、管理制度等方面的策略進行了分析和探究，從技術角度、管理角度提出了針對性的對策。研究表明，這些對策的綜合應用，能夠有效提高煙草工業企業網絡安全防護水平。

關鍵詞： 大數據； 煙草工業； 網絡安全； 防護技術

中圖分類號：TP393.1；TP393.4 文獻標志碼：A 文章編號：1006-8228（2019）03-19-04

Research on network security of tobacco industry enterprises

in the background of big data

Wang Xiaoyi

（Information Center， China Tobacco Anhui Industrial Co. Ltd.， Hefei， Anhui 230000， China）

Abstract： With the gradual promotion of big data technology in tobacco industry enterprises， network security has increasingly become the focus of attention. This paper investigates the main network security problems existing in the tobacco industry enterprises， analyzes the reasons. Some corresponding countermeasures are put forward from the perspective of technology and management angle， including access control， intrusion detection， virus prevention， log audit， digital encryption， and the strategy of management system and so on. The research shows that the comprehensive application of these countermeasures can effectively improve the level of network security protection of tobacco industry enterprises.

Key words： big data； tobacco industry； network security； protection technology

0 引言

如今大數據已被廣泛應用于社會各個行業和領域，產生了巨大的影響。通過對大數據的分析和挖掘，能夠有效地為政府和企業的業務決策提供支持，讓服務可以更好地滿足各種需求。但是，在大數據背景下網絡信息高度動態共享的管理模式，使其在存儲、傳輸、處理、銷毀等過程中均面臨著突出的安全威脅[1]，全國諸多行業相繼出現了因網絡信息保護不力而導致的信息泄露、網絡詐騙、網絡監聽等事件。煙草工業企業本身已經部署了眾多應用，具備大數據應用的特征，在信息集成過程中又形成了復雜的網絡拓撲結構[2]，在信息的生成、傳輸、存儲與處理中遇到了各種新問題，一些網絡安全事件的發生給煙草工業企業的網絡安全防護工作敲響了警鐘。因此，研究和制定一系列合理、有效的網絡安全防護策略和措施，顯得格外重要。

1 大數據時代的煙草工業企業網絡安全問題的現狀

自2017年《網絡安全法》實施以來，政府以及各行各業對網絡安全工作的重視都達到了空前的高度，煙草工業企業更是如此，當然，這與國家煙草專賣局對煙草工業企業的高標準嚴要求是密切相關的[3]。

2018年是煙草工業企業網絡安全工作元年，網絡安全工作有了新的定位，網絡安全的責任主體發生了變化，網絡安全工作有了更高的要求。現階段煙草工業企業網絡安全防護不力的現象普遍存在。一方面網絡安全防護意識淡薄，網絡安全防護資金難以保證，重口頭，輕落實；另一方面網絡安全技術人員匱乏，以編制為托詞，網絡安全專職人員很難到位，即使到位，技術力量也比較薄弱。總之，大數據背景下的煙草工業企業網絡安全工作依然嚴峻，網絡安全漏洞攻擊、網絡信息泄漏、員工信息、消費者信息泄露等情況隨時可能出現。考察當前煙草工業企業的網絡安全問題，主要從以下幾個方面。

1.1 個人及消費者隱私信息的泄露

煙草工業企業品牌及業務信息多，工商零數據庫、消費者數據庫、中間數據庫信息量巨大。除了這些靜態數據外，企業各業務系統都會產生大量的移動消費者信息數據和逐日動態數據，其中難免會涉及到個人重要信息。煙草工業企業對外發布信息時，假如對涉及個人隱私的身份證號碼、手機號碼、微信號碼、QQ號等關鍵信息沒有做脫敏處理，就存在消費者個人信息泄露的風險；一些內網數據庫本身存在安全漏洞，一旦遭受網絡攻擊，極易造成批量的用戶信息數據被竊取、破壞等，造成不可估量的后果[4]。

1.2 網絡安全管理操作不夠規范

人們常說，三分技術，七分管理，網絡安全工作更是如此，網絡安全工作的關鍵在于員工的安全意識和規范操作，其中人的因素至關重要。在煙草工業企業網絡安全管理中可能存在不規范的操作。①對企業網中核心網絡設備、主機的日常運維工作沒有嚴格按照規定執行，導致網絡中存在系統漏洞和木馬病毒等問題。②對信息系統和設備的密碼管理不到位，信息系統的“默認密碼”和“弱密碼”現象仍然存在，操作人員密碼管理意識不強，對密碼的定期更新不夠重視，潛在增加了網絡的安全隱患。③企業網內部員工違規轉借賬號及密碼。④企業內信息系統沒有按照網絡安全要求進行雙因子方式身份認證。⑤對網絡中重要數據的文檔安全保護意識不強，時常利用QQ、微信等網絡通信工具傳輸包含本企個人及消費者個人的重要信息、信息系統賬號密碼等關鍵信息數據。這些不規范的操作都大大增加了信息數據泄露的風險。

1.3 網絡黑客的攻擊

互聯網是自由的，其接入方式呈現層次增多、方式多樣化的趨勢，只能依賴各個接入點來進行安全控制，無線WIFI等接入方式也帶來較大的安全風險。在大數據背景下，煙草工業企業的網絡中包含結構化和非結構化的大量數據，網絡設備、主機及網內計算機等都可能存在一定的系統漏洞，而漏洞一旦被網絡黑客掌握和利用，企業網就極有可能受到網絡攻擊。攻擊有口令入侵、特洛伊木馬、WWW欺騙、電子郵件、節點攻擊、網絡監聽、黑客軟件、安全漏洞、端口掃描等方式。一種是篡改信息數據的主動攻擊，是攻擊者訪問所需要信息的故意行為。另一種是竊取和監控網絡數據的被動攻擊，主要是收集信息而不訪問，數據的合法用戶對這種活動很難察覺。無論是主動攻擊還是被動攻擊，黑客攻擊的行為會造成網絡癱瘓，網絡信息數據泄露、網絡阻塞崩潰、拒絕網絡服務或網絡服務性能下降。

2 大數據時代的煙草工業企業的網絡安全防護對策

在當前大數據背景下，要做好煙草工業企業網絡安全防護工作，務必要從技術、管理兩手抓。網絡安全技術是基礎，通過身份認證、訪問控制、部署防火墻、日志審計備份和數據加密等技術手段主動對網絡進行安全加固[5]；網絡安全管理是關鍵，責任主體煙草工業企業黨組（黨委），簽訂網絡安全責任書，下級對上級負責，加強網絡安全策略研究、建立健全網絡安全管理制度、建立安全管理平臺、開展全員網絡安全意識培訓等。遵循《網絡安全法》和相關管理制度，信息系統上線運行前實施安全評估，同時做好信息系統安全運維和管理工作。網絡安全技術上有支撐，管理上有保證，煙草工業企業的網絡安全防護工作逐步改進，越來越好，才能有效保障煙草工業企業網的信息數據和個人消費者的信息安全。

2.1 訪問控制

針對煙草工業企業網絡安全工作，為了有效防御病毒侵入和黑客的攻擊，必須設置合規的用戶訪問控制的策略，確保訪問煙草工業企業網資源用戶身份的合法性，并依據其崗位分配合適的資源訪問權限，用戶訪問控制主要有以下幾種方式：

2.1.1 堡壘機接入

在煙草工業企業特征網絡環境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，對設備或信息系統進行運維時，必須通過堡壘機分配的特定賬號進行登錄，并對管理員的操作過程進行審計和記錄，目的是從內部防范網絡安全事件的發生。

2.1.2 VPN接入

VPN方案主要由兩大部分組成，一為接入系統，二為認證系統。煙草工業企業的用戶處于外網的環境下，可以采用VPN接入的方式保證通過身份驗證的合法用戶正常訪問企業內部網的資源，隔絕了外部非法用戶的網絡攻擊。

2.1.3 訪問控制列表

ACL（Access Control List，訪問控制列表）適用于所有的被路由協議，是路由器和交換機接口的指令列表，用來控制端口進出的數據包。通過設置ACL的策略，在防火墻出口設置特定的ACL策略，可以限定合法的用戶或IP地址被允許訪問的網絡資源，完全能夠實現有高危風險的網絡共享端口的禁止訪問，有效降低外網用戶攻擊企業網的風險，同時，可以限制網絡流量提高網絡性能，提供對通信流量的控制手段，是提供網絡安全訪問的基本手段。可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。

2.2 IPS入侵檢測

入侵防御系統（IPS，Intrusion Prevention System）是電腦網絡安全設施，是對防病毒軟件和防火墻的解釋。入侵防御系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。

入侵檢測技術可以將病毒放入防火墻之內，但是可以識別它是否惡意訪問。對匹配IT資源、攻擊類型、協議等攻擊報文采取不同程度防護動作。如警告、阻斷等，IPS通常使用試探性掃描，內容檢查，狀態和行為分析等技術手段實現內外網攻擊的實時動態監測，有效防護網絡攻擊。

2.3 病毒防治

電腦病毒無孔不入，網絡計算機首先要安裝防病毒軟件，進行病毒掃描查殺，加強網絡安全意識，統一安裝正版操作系統，不明鏈接和郵件不允打開，及時修復系統的所有漏洞，日常做好網絡設備和信息系統運維工作，能夠做好有效防治病毒工作。

2.4 網絡防火墻

在大數據時代的背景下，部署防火墻是網絡防護手段之一。一般可以在企業網的出口和數據中心的前端分別部署一臺防火墻。出口防火墻可以實現出入流量的控制，WAF（Web Application Firewall， Web應用防護系統）防火墻可以實現服務群上Web應用的安全防護。由于一條流量可由源IP、目的IP、源端口、目的端口、協議、用戶和應用的七元組標記。所以防火墻通過匹配安全策略可以實現網絡流量的精準過濾，從而有效保護企業網免受非法用戶的侵入。它是一種位于內部網絡與外部網絡之間的網絡安全系統，按特定的規則，允許或限制傳輸的數據通過。

2.5 網絡日志審計

網絡日志的審計備份是網絡安全管理的一個重要環節，即對用戶上網行為的一些關鍵信息進行審計，當網絡中發生攻擊特別是安全事件時，能夠通過分析網絡審計日志實現對網絡攻擊者的行為溯源，對用戶上網行為做到有據可查[6]。大數據分析技術可以應用到企業所有信息處理所生成安全數據的審計中，包括系統日志、操作日志、安全警告等，一方面通過歷史數據對比，發現不良趨勢和可疑跡象，另一方面通過實時分析產生預警信號。兩者結合，對外部入侵、內部違規等行為進行審計分析，找到網絡安全的薄弱環節，提高企業網絡安全水平。

2.6 數據加密控制

數據加密控制主要用于保障信息數據在網絡中的傳輸安全，可通過加密算法和密鑰技術等手段實現對數據的加密。目前流行的加密算法有DES、RSA、AES、MD5和SHA1等，密鑰技術包括對稱密鑰和非對稱密鑰。對稱密鑰是指加密和解密過程使用相同的密鑰；非對稱密鑰和解密過程中使用了不同的密鑰。在實際應用中我們通常會把對稱密鑰和非對稱密鑰結合使用。一般使用對稱密鑰對信息數據進行加密，同時對加密數據的對稱密鑰使用非對稱密鑰中的公鑰進行加密，這樣即使攻擊者截獲到了加密數據的對稱密鑰，也無法將數據解密成明文，真正保證用戶信息的安全。

2.7 網絡安全管理制度進一步完善

在大數據時代，網絡安全管理顯得特別重要，應制定并完善安全管理制度并嚴格執行。一是完善管理制度，包括機房管理、網絡管理、傳輸和存儲個人敏感信息保護制度、信息數據管理和應急處理管理等，并嚴格落實安全事件追責制度。二是技術人員作為網絡管理工作中的主體必須不斷加強網絡安全意識，主動學習和提升網絡安全技能；三是加強日常網絡和信息化設備的運維管理，定期更新網絡設備和系統的訪問密碼，及時做好計算機系統漏洞的修復工作；四是制定網絡安全事件應急預案，定期開展應急演練；五是按照《網絡安全法》收集、存儲和使用個人信息，傳輸和存儲個人敏感信息時須采用加密以及設置信息數據復制、下載、打印限制功能等安全措施。從煙草工業企業網絡安全工作的實際出發，在實踐中總結經驗，切實提高自身的網絡安全管理水平。

3 結束語

對于煙草工業企業來說，在大數據背景下，我們迎來了推進數字信息化和建設智慧企業的黃金時期，同時新時期的網絡安全要求給煙草工業企業網絡和信息系統的安全防護工作提出了巨大挑戰。本文針對新形勢下的煙草工業企業特有的網絡安全問題，提出有針對性的方法和對策，部分方法已經在企業中得到應用，結果表明，網絡安全防護水平得到了較大提高。

網絡安全是當前各煙草工業企業信息化建設中一個不容忽視的問題，我們將進一步調整安全防御對策，合理配置安全防范措施，科學整合現有網絡安全設備和技術，不斷對網絡進行安全加固，同時配合以規范的安全管理制度，煙草工業企業的網絡安全防護工作就一定能夠逐漸取得進步，切實保證煙草工業企業的信息數據的安全。

參考文獻（References）：

[1] 陳火全.大數據背景下數據治理的網絡安全策略[J].宏觀經

濟研究，2015.8：76-84

[2] 陳宇明.煙草行業信息安全管理的研究與探索[J]. 計算機安

全，2011.9：59-63

[3] 耿欣.煙草企業工業控制系統安全保障體系研究[J].信息網

絡安全，2017.9：34-37

[4] 尚進，謝軍，蔣東毅，陳懷臨.現代網絡安全架構異常行為分析

模型研究[J].信息網絡安全，2015.9：15-19

[5] 陳興軍，王健.企業數據中心安全云防護技術應用研究[J].計

算機時代，2017.11：43-45

[6] 董夢林.大數據背景下網絡信息安全控制機制與評價研究[D].

吉林大學碩士學位論文，2016.5.