基于煙草企業的網絡安全防控技術研究和體系構建

荊舒煬，楊浩

（1.廣東科學技術職業學院，廣東 珠海 519090；2.遼寧省煙草公司葫蘆島市公司，遼寧 葫蘆島 125000）

0 引 言

在萬物互聯飛速發展的時代，“互聯網+”的提出，伴隨著制造業向中高端加速邁進，中國制造2025 國家戰略方針的出臺，各行各業的系統互通互聯廣度拓展，帶來了企業的突破性發展。特別是第三行業煙草行業信息化迅猛發展，為中國經濟發展和國家財政累積貢獻了一份力量，給整個行業帶來新的思考角度和發展機遇，然而不可避免的網絡安全問題隨之顯露。煙草公司信息中心結合實際情況，積極開展關于數字賦能工程課題的相關調研，發現解決信息化改革發展中存在的重難點問題，必須加強網絡安全的防控手段，提升網絡安全技術水平，建設完備的安全防護體系才是推動煙草行業信息化長久穩定發展的核心工作。

煙草行業的網絡業務及規模越發多樣復雜，不論是行業的管理業務還是經營活動都離不開信息系統和網絡的支撐，因此帶來了更多技術上的棘手問題。同時，煙草行業內部信息化技術人員，網絡安全人員數量嚴重不足，其他業務人員網絡安全防護意識薄弱。在網絡出現一些攻擊、惡性入侵等情況下，處理不當不及時，直接導致系統癱瘓，停止運行。若數據庫受到侵入，更會導致重要信息數據丟失、泄密等嚴重后果。煙草行業必須重視網絡安全，全方面提升防護手段，營造安全平穩的網絡環境和信息化體系。

1 煙草行業網絡安全分析

煙草行業中的網絡應用覆蓋各類業務，網絡安全問題更是層出不窮，黑客、木馬、惡意軟件等多變攻擊暴露了目前存在的安全隱患，必須要對自身網絡安全情況有整體的把控。

1.1 影響網絡安全的相關因素

煙草行業的網絡信息安全問題受到多方面的影響，主要分為三個方面[1]。

1.1.1 業務體系結構方面

煙草行業系統業務覆蓋范圍廣，企業所應用的防護結構多為總線型與星型結構相結合的混合模式，不同結構間存在著干擾的情況。并且在網絡建設過程中，有各類的業務需要對接接入，因此建設了大量的Internet 接入點，部分單位甚至直接將接入點連接到內部核心系統中，這樣極大方便了黑客借助其他相關系統平臺侵入，從各個Internet 接入點直接攻擊核心數據，進行惡意刪除、破壞、竊取等攻擊行為，導致網絡安全遭受威脅的概率增大。

1.1.2 軟硬件設備方面

煙草行業在建設信息化系統的網絡安全防護過程中，涉及物理環境的確認、硬件設備的選型以及軟件產品的應用選擇。在網絡安全設備的部署過程中，數據庫的搭建、軟件系統的安裝應用各部分都會出現不可預期的安全風險。比如常見的，網絡郵件的漏洞、跨站請求偽造、故障注入等等，都大大提升了黑客侵入的機會。調查數據顯示，在各類漏洞當中，軟件安全漏洞的占比較高，這是由于軟件開發者設置了一些方便的后臺，同時也給了黑客可乘之機。

1.1.3 人為方面

煙草從業人員的網絡安全防范意識不強，操作不當，管理制度不夠完善會導致潛在的安全風險增加。在當前系統安全運行過程中，人為的違法操作和攻擊風險偏高，可分為主動型和被動型的攻擊。主動攻擊是篡改數據流、竊取信息、偽造消息數據等。這類攻擊常見有，拒絕服務攻擊、入侵攻擊等，攻擊方式如圖1、圖2 所示[2]。被動攻擊不對數據信息做任何破壞，在未經同意下獲取隱秘信息。比如嗅探、重放攻擊、越權訪問、偽裝等方式。

圖1 拒絕服務攻擊示意圖

圖2 入侵攻擊示意圖

2 防控應對策略及手段

通過對煙草行業現有網絡安全情況分析，依據網絡安全建設需求，從全局出發，對物理環境、網絡結構規劃到網絡管理等多層次各階段進行設計規劃部署，主要包含以下幾個部分的防控策略及手段。

2.1 物理環境防控

初始，在物理位置的選擇上要注意防火、防水、防潮、防靜電、防盜、防人為破壞等防護區域，做好防控措施，確保服務器、交換機、路由器及通信鏈路等硬件設備的性能符合實際需求，并置放在妥善的物理環境中，便于即時的監控和后續長期的運維。

2.2 網絡安全區域及通信防控

煙草行業網絡安全建設核心目的是保證企業管理及業務系統能夠正常運行，確保不被網絡攻擊、篡改數據、泄露信息等，提高信息系統的可用性、可靠性，網絡傳輸鏈路不間斷，網站訪問正常無誤。通常的網站系統設置有三層防護體系，前端與抗攻擊、業務處理、數據與應用安全[3]。以防火墻為邊界劃分不同安全區域，可以分為：互聯網接入區、外層安全區域、內層安全區域、運維管理區域、終端區域。功能上：前端系統、應用系統、數據安全負責防御對抗和負載均衡以及內部網絡隔離。為確保高可用性，網站及信息系統出口鏈路負載均衡實現雙路冗余及智能選路。設置運維管理區域來部署防病毒、網絡監控、堡壘機、漏洞掃描等系統，確保高可靠性[2]。具體設計拓撲如圖3 所示。

圖3 網絡安全拓撲圖

2.2.1 接入區抵抗攻擊

提升設備性能。在接入區安裝將DDOS 攻擊進行實時阻斷的抵抗攻擊設備，其要求可以不斷更新規則庫，確保最優化，同時用一臺接入交換機來對后期的維護升級做準備。

2.2.2 外層防護

優化網絡結構，劃分好VLAN。外層防護區域采用雙鏈路熱備，裝設啟用防病毒防火墻作為第一道阻隔、入侵防御系統IPS、應用安全網關WAF 共同部署進行訪問控制限制、過濾病毒及網絡攻擊。三層交換機部署負載均衡系統SLB、設置ACL 規則，進行鏈路流量控制，提高穩定可靠性，提供安全防護。外層防護結構如圖4 所示。

圖4 外層防護結構圖

2.2.3 內層防護

嚴格內外網隔離，杜絕風險產生。最核心的業務數據和管理系統格外重要，可進行分區防護。將數據庫系統、SAN存儲和應用加密系統構成數據服務子區；將APP 服務器、身份認證服務器、應用加密服務器、網頁防篡改服務器構成應用服務子區。他們之間彼此隔離，想要進行訪問需要依靠防火墻，對用戶身份進行識別，數據傳輸加密等方式。具體的兩個服務子區組成的內層安全防護圖如圖5 所示。

圖5 內層防護結構圖

2.2.4 終端設備及業務系統安全

預防黑客攻擊，杜絕病毒擴展傳播。網絡終端設備及應用系統往往是最容易受到黑客攻擊的，需要從網絡的準入確保連續不斷的網絡保護機制運行，覆蓋全過程全范圍滿足安全要求；科學合理利用防火墻及其他保障防入侵的設備，加強密碼管理，做好登錄權限管理，確保安全登錄終端；系統漏洞往往是各類病毒傳播的入口，如蠕蟲木馬病毒等種類繁多的破壞性“傳染性”極強，分發補丁，升級防護軟件，實時監控，確保免受侵襲；使用正版軟件、防范惡性代碼等。

2.2.5 運維安全管理

運維其實是整個網絡安全中最重要的一環，要進行統一管理。在這個區域當中涉及統一的物理環境監控、集中網絡管理、網絡安全態勢感知、審計操作、流量分析等，充分利用大數據、云計算、人工智能等技術進行預測分析，保持對全網安全的監測和預警，提前感知，確保可預見性。在構成上需將防火墻部署在邊緣進行防御。具體內容有：

（1）物理環境監控。包含機房動力環境和運行環境的監測、管理、遠程控制、預告警示，確保物理環境良好，運行平穩正常。

（2）集中網絡管理。實施精準網絡準入規則，終端安全實時監控，違規操作及時制止，病毒威脅立刻處理等，比如360 天擎終端安全管理系統等所提供的功能。

（3）網絡安全態勢感知。全面檢測運營對各類場景下的安全情況進行感知[4]，及時提供安全風險評估，并對應急情況提出解決方案進行支撐。

2.3 網絡安全加密技術

網絡安全的核心離不開加密技術，不斷升級提高加密技術能力，了解各類型技術適用領域，有力保障系統安全及信息的私密性。

2.3.1 傳輸加密

在實際應用中分為端到端加密及線路加密兩種。端到端指的是發送端進行信息加密，壓縮后傳輸，除接收端外其他任何端口無法識別。接收端收到壓縮包后，依據規則轉換模式即可；線路加密是借助密鑰的加密方式避免受到攻擊，加密不會影響到信源本身，安全性高。

2.3.2 存儲加密

在實際應用中可分為存取控制及密文控制兩種。存取控制主要是控制登錄權限，審核用戶信息合法性；密文是以加密為主，在多重加密控制下，保證信息安全。

2.3.3 密鑰加密

在實際應用中，包含產生密鑰、分配密鑰加密、數據保存等，應用媒介較為多樣化。

2.3.4 確定機密技術

實際中，首先文件加密發送，接收端利用發送端公鑰對發送端進行身份確認，確保傳輸安全，身份安全。

2.3.5 鏈路加密

當信息在加密和傳輸過程中被破壞，其他鏈路要立刻改變傳輸路徑進行防護。通過協議數據單元模式，隱蔽發送端、接收端及傳輸要求，盡可能避免所存在的隱患。

3 網絡安全防護體系的建設

通過對目前煙草行業的網絡安全調研與分析，想要營造安全穩定的企業網絡安全環境，要部署合適的物理基礎，加強員工思想重視度，提升安全意識，同時建立完善的網絡安全管理制度，最重要的就是應用時效性高、完整度高、可靠性強的安全防護技術，具體網絡安全體系架構設計如圖6 所示[5]。

圖6 煙草企業網絡安全體系架構圖

在具體的網絡接入及防護策略可按照以上的防控應對策略及手段進行較為全面的設計部署，落實有效的技術解決方案，除此之外還需在人員意識、企業安全檢查、安全預演等方面進行常態化建設和管理。

3.1 提升員工網絡安全意識

員工必須切身體會認識到網絡安全的重要性，思想上重視，行動上謹慎，時刻謹記安全的重要性[6]。在煙草企業當中，不同崗位工作者的意識差異化有所不同，大部分員工的核心工作重點并不是網絡安全，缺乏認知，必須要有紅線意識，謹記網絡安全的規則要求，不要觸碰危險邊緣，要和生產安全看得一樣重要；領導及管理人員作為企業的核心人員，必須極其重視，多次強調，時刻注重安全隱患的監督，才會提升整體安全意識；對于專業技術人員來說，做好防范是根本，更要主動排查軟硬件隱患，日志記錄查缺補漏。在提升渠道方面，企業要組織大規模培訓和日常學習，可以通過一些內部網絡安全知識競賽、視頻宣傳、安全手冊宣傳等方式激發員工學習熱情，能夠感知黑客攻擊等行為，有效提升網絡安全意識。

3.2 規范網絡安全守則并健全網絡安全制度

除了專業的技術所導致的威脅隱患，還有日常管理不當導致的疏忽失誤，要依據《中華人民共和國網絡安全法》的指引，結合企業實際網絡安全情況，組織各專業部門設備、機房、網絡、信息化系統、物采等等人員一同商討制定完善屬于企業的全方位保障的網絡安全制度。

制度制定過程參照生產安全責任劃分為主體和監管責任，切實追究負責人員的責任強化網絡安全紅線意識。

3.3 抓好網絡安全檢查

在安全隱患層出不窮的網絡中，要做到發現問題及時、解決漏洞及時、預測危險及時，必須進行全面的網絡安全檢查。作為信息部門工作人員，日常要細心，從機房設備到軟件系統都要進行巡檢，全面檢查，還要監督業務應用系統的其他同事定期定時的網絡檢查和系統優化，杜絕與業務無關的其他軟件甚至垃圾軟件等的安裝使用。全部人員要嚴格遵守網絡安全制度規定，嚴禁跨越紅線違規操作。對于特殊時期或重點工作任務期間，要重點嚴查，對于經常發生或關鍵節點，要重點關注查缺補漏整改完善，做到實處。宏觀上看，抓好網絡安全檢查，要有整體思路全面梳理，對各節點易發生問題有預期，提升整體運維保障能力，保駕護航。

3.4 加強網絡安全預演

例如開辦一些網絡攻防比賽來提升網絡安全技術水平，企業可以實施網絡安全預演，根據其他企業發生的網絡安全事件制定網絡安全應急預案，可以應對黑客攻擊、系統宕機、網絡通信失敗、數據庫信息泄露等多種常見網絡安全事件[7]。通過模擬預演，對網絡安全事件保持時刻的敏銳感和警惕心，在真實發生時有條不紊、成足于胸。這種方式既將書面化的規章呈現得淋漓盡致，又能做好分析，將存在的技術問題進行升級更新，做好常態化的規范網絡安全管理。

4 結 論

綜上所述，如今的網絡安全涉及廣泛，不僅僅是企業自身的問題，更是整個社會乃至全球所面臨的嚴重問題，如果受到侵犯將會帶來不可估量的后果。對于煙草企業而言，首要提升的是網絡安全防控方法及技術手段，研究加密技術應用范圍，探索網絡安全新發展路徑，解決根本問題；其次深入分析全過程呈現的安全問題，提高員工意識，健全制度，做好網絡安全檢查及預演，構建全面系統的防護體系，打造安全防范模式。