荆舒煬，杨浩

（1.广东科学技术职业学院，广东 珠海 519090；
2.辽宁省烟草公司葫芦岛市公司，辽宁 葫芦岛 125000）

在万物互联飞速发展的时代，“互联网+”的提出，伴随着制造业向中高端加速迈进，中国制造2025 国家战略方针的出台，各行各业的系统互通互联广度拓展，带来了企业的突破性发展。特别是第三行业烟草行业信息化迅猛发展，为中国经济发展和国家财政累积贡献了一份力量，给整个行业带来新的思考角度和发展机遇，然而不可避免的网络安全问题随之显露。烟草公司信息中心结合实际情况，积极开展关于数字赋能工程课题的相关调研，发现解决信息化改革发展中存在的重难点问题，必须加强网络安全的防控手段，提升网络安全技术水平，建设完备的安全防护体系才是推动烟草行业信息化长久稳定发展的核心工作。

烟草行业的网络业务及规模越发多样复杂，不论是行业的管理业务还是经营活动都离不开信息系统和网络的支撑，因此带来了更多技术上的棘手问题。同时，烟草行业内部信息化技术人员，网络安全人员数量严重不足，其他业务人员网络安全防护意识薄弱。在网络出现一些攻击、恶性入侵等情况下，处理不当不及时，直接导致系统瘫痪，停止运行。若数据库受到侵入，更会导致重要信息数据丢失、泄密等严重后果。烟草行业必须重视网络安全，全方面提升防护手段，营造安全平稳的网络环境和信息化体系。

烟草行业中的网络应用覆盖各类业务，网络安全问题更是层出不穷，黑客、木马、恶意软件等多变攻击暴露了目前存在的安全隐患，必须要对自身网络安全情况有整体的把控。

1.1 影响网络安全的相关因素

烟草行业的网络信息安全问题受到多方面的影响，主要分为三个方面[1]。

1.1.1 业务体系结构方面

烟草行业系统业务覆盖范围广，企业所应用的防护结构多为总线型与星型结构相结合的混合模式，不同结构间存在着干扰的情况。并且在网络建设过程中，有各类的业务需要对接接入，因此建设了大量的Internet 接入点，部分单位甚至直接将接入点连接到内部核心系统中，这样极大方便了黑客借助其他相关系统平台侵入，从各个Internet 接入点直接攻击核心数据，进行恶意删除、破坏、窃取等攻击行为，导致网络安全遭受威胁的概率增大。

1.1.2 软硬件设备方面

烟草行业在建设信息化系统的网络安全防护过程中，涉及物理环境的确认、硬件设备的选型以及软件产品的应用选择。在网络安全设备的部署过程中，数据库的搭建、软件系统的安装应用各部分都会出现不可预期的安全风险。比如常见的，网络邮件的漏洞、跨站请求伪造、故障注入等等，都大大提升了黑客侵入的机会。调查数据显示，在各类漏洞当中，软件安全漏洞的占比较高，这是由于软件开发者设置了一些方便的后台，同时也给了黑客可乘之机。

1.1.3 人为方面

烟草从业人员的网络安全防范意识不强，操作不当，管理制度不够完善会导致潜在的安全风险增加。在当前系统安全运行过程中，人为的违法操作和攻击风险偏高，可分为主动型和被动型的攻击。主动攻击是篡改数据流、窃取信息、伪造消息数据等。这类攻击常见有，拒绝服务攻击、入侵攻击等，攻击方式如图1、图2 所示[2]。被动攻击不对数据信息做任何破坏，在未经同意下获取隐秘信息。比如嗅探、重放攻击、越权访问、伪装等方式。

图1 拒绝服务攻击示意图

图2 入侵攻击示意图

通过对烟草行业现有网络安全情况分析，依据网络安全建设需求，从全局出发，对物理环境、网络结构规划到网络管理等多层次各阶段进行设计规划部署，主要包含以下几个部分的防控策略及手段。

2.1 物理环境防控

初始，在物理位置的选择上要注意防火、防水、防潮、防静电、防盗、防人为破坏等防护区域，做好防控措施，确保服务器、交换机、路由器及通信链路等硬件设备的性能符合实际需求，并置放在妥善的物理环境中，便于即时的监控和后续长期的运维。

2.2 网络安全区域及通信防控

烟草行业网络安全建设核心目的是保证企业管理及业务系统能够正常运行，确保不被网络攻击、篡改数据、泄露信息等，提高信息系统的可用性、可靠性，网络传输链路不间断，网站访问正常无误。通常的网站系统设置有三层防护体系，前端与抗攻击、业务处理、数据与应用安全[3]。以防火墙为边界划分不同安全区域，可以分为：互联网接入区、外层安全区域、内层安全区域、运维管理区域、终端区域。功能上：前端系统、应用系统、数据安全负责防御对抗和负载均衡以及内部网络隔离。为确保高可用性，网站及信息系统出口链路负载均衡实现双路冗余及智能选路。设置运维管理区域来部署防病毒、网络监控、堡垒机、漏洞扫描等系统，确保高可靠性[2]。具体设计拓扑如图3 所示。

图3 网络安全拓扑图

2.2.1 接入区抵抗攻击

提升设备性能。在接入区安装将DDOS 攻击进行实时阻断的抵抗攻击设备，其要求可以不断更新规则库，确保最优化，同时用一台接入交换机来对后期的维护升级做准备。

2.2.2 外层防护

优化网络结构，划分好VLAN。外层防护区域采用双链路热备，装设启用防病毒防火墙作为第一道阻隔、入侵防御系统IPS、应用安全网关WAF 共同部署进行访问控制限制、过滤病毒及网络攻击。三层交换机部署负载均衡系统SLB、设置ACL 规则，进行链路流量控制，提高稳定可靠性，提供安全防护。外层防护结构如图4 所示。

图4 外层防护结构图

2.2.3 内层防护

严格内外网隔离，杜绝风险产生。最核心的业务数据和管理系统格外重要，可进行分区防护。将数据库系统、SAN存储和应用加密系统构成数据服务子区；
将APP 服务器、身份认证服务器、应用加密服务器、网页防篡改服务器构成应用服务子区。他们之间彼此隔离，想要进行访问需要依靠防火墙，对用户身份进行识别，数据传输加密等方式。具体的两个服务子区组成的内层安全防护图如图5 所示。

图5 内层防护结构图

2.2.4 终端设备及业务系统安全

预防黑客攻击，杜绝病毒扩展传播。网络终端设备及应用系统往往是最容易受到黑客攻击的，需要从网络的准入确保连续不断的网络保护机制运行，覆盖全过程全范围满足安全要求；
科学合理利用防火墙及其他保障防入侵的设备，加强密码管理，做好登录权限管理，确保安全登录终端；
系统漏洞往往是各类病毒传播的入口，如蠕虫木马病毒等种类繁多的破坏性“传染性”极强，分发补丁，升级防护软件，实时监控，确保免受侵袭；
使用正版软件、防范恶性代码等。

2.2.5 运维安全管理

运维其实是整个网络安全中最重要的一环，要进行统一管理。在这个区域当中涉及统一的物理环境监控、集中网络管理、网络安全态势感知、审计操作、流量分析等，充分利用大数据、云计算、人工智能等技术进行预测分析，保持对全网安全的监测和预警，提前感知，确保可预见性。在构成上需将防火墙部署在边缘进行防御。具体内容有：

（1）物理环境监控。包含机房动力环境和运行环境的监测、管理、远程控制、预告警示，确保物理环境良好，运行平稳正常。

（2）集中网络管理。实施精准网络准入规则，终端安全实时监控，违规操作及时制止，病毒威胁立刻处理等，比如360 天擎终端安全管理系统等所提供的功能。

（3）网络安全态势感知。全面检测运营对各类场景下的安全情况进行感知[4]，及时提供安全风险评估，并对应急情况提出解决方案进行支撑。

2.3 网络安全加密技术

网络安全的核心离不开加密技术，不断升级提高加密技术能力，了解各类型技术适用领域，有力保障系统安全及信息的私密性。

2.3.1 传输加密

在实际应用中分为端到端加密及线路加密两种。端到端指的是发送端进行信息加密，压缩后传输，除接收端外其他任何端口无法识别。接收端收到压缩包后，依据规则转换模式即可；
线路加密是借助密钥的加密方式避免受到攻击，加密不会影响到信源本身，安全性高。

2.3.2 存储加密

在实际应用中可分为存取控制及密文控制两种。存取控制主要是控制登录权限，审核用户信息合法性；
密文是以加密为主，在多重加密控制下，保证信息安全。

2.3.3 密钥加密

在实际应用中，包含产生密钥、分配密钥加密、数据保存等，应用媒介较为多样化。

2.3.4 确定机密技术

实际中，首先文件加密发送，接收端利用发送端公钥对发送端进行身份确认，确保传输安全，身份安全。

2.3.5 链路加密

当信息在加密和传输过程中被破坏，其他链路要立刻改变传输路径进行防护。通过协议数据单元模式，隐蔽发送端、接收端及传输要求，尽可能避免所存在的隐患。

通过对目前烟草行业的网络安全调研与分析，想要营造安全稳定的企业网络安全环境，要部署合适的物理基础，加强员工思想重视度，提升安全意识，同时建立完善的网络安全管理制度，最重要的就是应用时效性高、完整度高、可靠性强的安全防护技术，具体网络安全体系架构设计如图6 所示[5]。

图6 烟草企业网络安全体系架构图

在具体的网络接入及防护策略可按照以上的防控应对策略及手段进行较为全面的设计部署，落实有效的技术解决方案，除此之外还需在人员意识、企业安全检查、安全预演等方面进行常态化建设和管理。

3.1 提升员工网络安全意识

员工必须切身体会认识到网络安全的重要性，思想上重视，行动上谨慎，时刻谨记安全的重要性[6]。在烟草企业当中，不同岗位工作者的意识差异化有所不同，大部分员工的核心工作重点并不是网络安全，缺乏认知，必须要有红线意识，谨记网络安全的规则要求，不要触碰危险边缘，要和生产安全看得一样重要；
领导及管理人员作为企业的核心人员，必须极其重视，多次强调，时刻注重安全隐患的监督，才会提升整体安全意识；
对于专业技术人员来说，做好防范是根本，更要主动排查软硬件隐患，日志记录查缺补漏。在提升渠道方面，企业要组织大规模培训和日常学习，可以通过一些内部网络安全知识竞赛、视频宣传、安全手册宣传等方式激发员工学习热情，能够感知黑客攻击等行为，有效提升网络安全意识。

3.2 规范网络安全守则并健全网络安全制度

除了专业的技术所导致的威胁隐患，还有日常管理不当导致的疏忽失误，要依据《中华人民共和国网络安全法》的指引，结合企业实际网络安全情况，组织各专业部门设备、机房、网络、信息化系统、物采等等人员一同商讨制定完善属于企业的全方位保障的网络安全制度。

制度制定过程参照生产安全责任划分为主体和监管责任，切实追究负责人员的责任强化网络安全红线意识。

3.3 抓好网络安全检查

在安全隐患层出不穷的网络中，要做到发现问题及时、解决漏洞及时、预测危险及时，必须进行全面的网络安全检查。作为信息部门工作人员，日常要细心，从机房设备到软件系统都要进行巡检，全面检查，还要监督业务应用系统的其他同事定期定时的网络检查和系统优化，杜绝与业务无关的其他软件甚至垃圾软件等的安装使用。全部人员要严格遵守网络安全制度规定，严禁跨越红线违规操作。对于特殊时期或重点工作任务期间，要重点严查，对于经常发生或关键节点，要重点关注查缺补漏整改完善，做到实处。宏观上看，抓好网络安全检查，要有整体思路全面梳理，对各节点易发生问题有预期，提升整体运维保障能力，保驾护航。

3.4 加强网络安全预演

例如开办一些网络攻防比赛来提升网络安全技术水平，企业可以实施网络安全预演，根据其他企业发生的网络安全事件制定网络安全应急预案，可以应对黑客攻击、系统宕机、网络通信失败、数据库信息泄露等多种常见网络安全事件[7]。通过模拟预演，对网络安全事件保持时刻的敏锐感和警惕心，在真实发生时有条不紊、成足于胸。这种方式既将书面化的规章呈现得淋漓尽致，又能做好分析，将存在的技术问题进行升级更新，做好常态化的规范网络安全管理。

综上所述，如今的网络安全涉及广泛，不仅仅是企业自身的问题，更是整个社会乃至全球所面临的严重问题，如果受到侵犯将会带来不可估量的后果。对于烟草企业而言，首要提升的是网络安全防控方法及技术手段，研究加密技术应用范围，探索网络安全新发展路径，解决根本问题；
其次深入分析全过程呈现的安全问题，提高员工意识，健全制度，做好网络安全检查及预演，构建全面系统的防护体系，打造安全防范模式。

猜你喜欢 烟草行业加密网络安全 云计算环境下网络安全等级保护的实现途径消费电子(2022年7期)2022-10-31谈烟草行业网络安全及其防范策略数字技术与应用(2021年3期)2021-05-07保护数据按需创建多种加密磁盘电脑爱好者(2020年6期)2020-05-26新量子通信线路保障网络安全科学大众（中学）(2019年2期)2019-04-08维护网络安全 筑牢网络强省屏障人大建设(2018年10期)2018-12-07谷歌禁止加密货币应用程序中国计算机报(2018年30期)2018-11-12加密与解密课堂内外(小学版)(2017年5期)2017-06-07如何提高烟草行业财务精益管理，降本增效财会学习(2016年19期)2016-11-10烟草标准管理体系的现状分析与应用研究科学与财富(2016年28期)2016-10-14我国拟制定网络安全法声屏世界(2015年7期)2015-02-28