烟草行业信息安全应对策略探讨

摘要：信息化过程中烟草企业有众多的网络安全风险需要考虑，面对纷繁芜杂的信息安全威胁和来自企业内外两方面的信息安全问题，烟草企业的信息安全防范应对措施就显得尤为重要。建立一个有序，全面，设计合理，架构完整的烟草企业信息安全防御体系是信息安全工作的重中之重。

关键词：信息安全 外部因素 内部因素 应对策略

0 引言

确保烟草企业的信息安全是一个动态过程。通过采用防火墙、操作系统身份认证、加密等措施，确保烟草企业信息的整体安全。对系统的安全状态借助漏洞评估、入侵检测等检测工具进行评估，进而采取各种措施对系统安全进行调整，使之处于安全状态。信息化过程中烟草企业有众多的网络安全风险需要考虑，面对纷繁芜杂的信息安全威胁和来自企业内外两方面的信息安全问题，烟草企业的信息安全防范应对措施就显得尤为重要。

1 针对外部因素的应对策略

1.1 防火墙 防火墙是计算机网络安全必不可少的一种应用系统，但防火墙并不是万能的。设置防火墙的目的是防止非法用户的侵入，它是在两个网络之间执行控制策略的硬件系统和软件系统。按照烟草行业的安全体系，一般将防火墙部署在：局域网内的VLAN之间控制信息流向时；Intranet与Internet之间连接时；在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网ChinaPac，ChinaDDN，FarmeRelay等连接）在总部的局域网和各分支机构连接时采用防火墙隔离，并利用VPN构成虚拟专网。

1.2 数据加密 在通信安全方面数据加密是确保信息安全的基石。数据加密作为一项基本技术，其加密过程是由通过各种加密算法来实现的，数据加密是以较小的代价提供强大的安全保护。在通常情况下，确保信息机密性的唯一方式就是对数据进行加密。在全球范围内比较著名的有：美国的DES以及TripleDES、GDES、NewDES；欧洲的IDEA；日本的FEALN、LOKI91、RC4、RC5等。在常规密码算法中，DES密码是影响最大的一种。对数据利用常规密码算法进行安全加密，因此，能够经受时间的检查与验证，以及抵御病毒的攻击，所以，保密程度较强是它的优点，但是，自身也存在着一些弊端，例如，其密匙必须通过安全途径进行传送。因此，系统安全的重要因素就是其密钥的管理。

1.3 认证技术 在网络通讯过程中，通讯双方的身份认可主要通过认证技术进行解决的。在认证技术中，数字签名是一种确认身份的具体技术，在通信过程中，数字签名还可以实现不可抵赖要求。加密和密钥交换是认证过程重点涉及的内容。通常情况下，通过采用对称加密、不对称加密及两种加密方法相混合的方式实现加密。

目前，烟草企业主要采用：

①摘要算法的认证，市场上主要采用的摘要算法有MD5和SHA-1。

②基于PKI的认证，其认证和加密是通过公开密钥体系进行的。该方法综合运用了摘要算法、不对称加密、对称加密、数字签名等技术，将安全性和高效性进行结合，因此，安全程度较高。基于PKI的认证主要应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。

③数字签名，验证发送者身份和消息完整性是以数字签名为依据的。RSA等公共密钥系统基于私有/公共密钥对，并且据此验证发送者身份和消息的完整性，CA的数字签名是通过计算私有密钥实现的，公共密钥是由CA提供的，因此签名的真实性任何人均可以进行验证，在计算机能力方面伪造数字签名是不可行的。当消息和数字签名同时发送时，在验证数字签名时都将会发现对消息的任何修改。

1.4 入侵检测 入侵检测是一种新型的网络安全技术，其主要功能是主动保护自己免受黑客攻击。通过采用入侵检测使得烟草企业的信息系统能够有效抵御病毒的攻击，而且提高了系统管理员在安全方面的审计、监视、进攻识别和响应等安全管理能力，在一定程度上确保了信息安全结构的完整性。从计算机网络系统的若干个关键点收集信息进行入侵检测，通过对这些信息的研究分析，检查网络中是否存在违背安全的行为和遭受侵袭的迹象。入侵检测作为第二道安全防护门，进行入侵检测时不影响网络系统的性能，在一定程度上对内、外部攻击和误操作进行实时保护。另外，入侵检测可以与弥补防火墙进行优势互补，通过入侵检测和相应的防护手段为网络安全提供实时保护，是网络安全中极其重要的部分。

1.5 数据保护 基于网络的备份系统是目前最先进的数据备份技术。全方位、多层次的备份系统是最为理想的。整个网络的数据受到网络存储备份管理系统的管理。系统管理员通过借助集中式管理工具的帮助，对全网的备份策略进行统一管理，所有机器的备份作业可以通过备份服务器进行监控，或者修改备份策略，其所有目录也可即时浏览。计算机应用系统稳定、可靠、有效、持续运行方面双机热备是基础，对于计算机应用系统的可靠性问题通过系统冗余进行解决，具备安装维护简单、运行稳定可靠、监测直观等优点。

2 针对内部因素的应对策略

2.1 身份认证 网络安全身份认证是一种系统确认用户身份的技术。确保网络安全方面，身份认证是第一道防线，也是最重要的一道。烟草企业作为用户访问烟草信息系统时，身份认证系统首先对访问用户的身份进行认证和识别，将用户的身份信息通过监控器传递给授权数据库，进而确定用户访问的权限和级别。根据需要管理员对授权数据库进行配置。

2.2 访问控制 进行网络访问时，访问的范围、资源，以及访问时所用到的协议和端口等，访问用户都要受到访问控制的影响和制约。

2.3 流量监测 在网络系统中，因流量检测不到位，使得网络受到拒绝服务攻击（DoS）、网络蠕虫病毒，以及网络扫描工具产生的大量假连接请求的影响，引发网络设备瘫痪的现象。因此，为了确保系统安全运行，需要对网络的异常流量进行实时的监控。用于监测流量的主要有两种，即为基于SNMP的流量监测和基于Netflow的流量监测。

2.3.1 基于SNMP的流量监测

进行异常流量信息检测时。需要收集输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等网络流量信息。基于SNMP的流量检测，是借助网络设备Agent提供的MIB（管理对象信息库）中收集一些具体设备及流量信息有关的变量。

2.3.2 基于Netflow流量检测

通过该方案进行异常流量信息采集，是通过网络设备提供的Netflow机制完成网络异常流量信息的采集。在此基础上进行的流量信息的采集效率和效果，在一定程度上均能满足监测网络异常流量的需求。

另外，处理异常流量最直接的解决办法就是切断异常流量源设备的物理连接，或者借助访问控制列表，采用包过滤或在路由器上进行流量限定，进而起到检测异常流量的目的。

2.4 漏洞扫描 受黑客和病毒的攻击，烟草企业内部的网络系统存在不安全隐患。目前，在硬件、软件、通讯协议等方面，烟草企业的网络系统都存在一定的安全隐患，检测系统的安全漏洞是确保系统安全的根本所在。定期地对内部网络系统进行漏洞扫描，可以及时发现安全问题，并在第一时间对系统完成有效防护。

2.5 预防病毒 对病毒系统进行预防，对于烟草企业来说，要具备系统性与主动性，对病毒实现全方位多级别的防护。构建网络防病毒系统时，结合病毒在网络中存储、传播、感染的方式，以及途径的多样性，相应地应利用全方位的企业防毒软件，进行集中控制、预防为主、防杀结合的处理策略。就实际情况而言，设置相应的防毒软件针对性地预防网络中所有可能的病毒攻击，配置全方位、多层次的防毒系统，巩固和强化病毒入侵的防御能力。但目前湖南烟草系统内部网络的杀毒软件品牌选择是360杀毒企业套件，而此款软件更新及时，对防毒杀毒能起到较好的作用，对烟草系统内部网络安全来说具备良好的保障性。

由于网络的开放性和通信协议的固有安全缺陷，烟草企业受到的信息安全威胁还是一种普遍的存在，分析网络系统的各个不安全环节，找到安全漏洞，做到有的放矢，对安全威胁的主动防御才是烟草行业信息安全的重点。烟草行业的信息化发展凝聚着无数烟草行业信息工作者的努力，建立一个完善坚固的信息防御体系对烟草行业的信息工作者来说任重道远。

参考文献：

[1]董玉格等.网络攻击与防护-网络安全与实用防护技术[M].北京：人民邮电出版社，2002.8.

[2]周学广等.信息安全学[M].北京：机械工业出版社，2003.3.

[3]门鹏.基于SOA的烟草商业信息系统整合研究及应用[J].价值工程，2013（01）.