摘要：信息化過程中煙草企業(yè)有眾多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)需要考慮，面對(duì)紛繁蕪雜的信息安全威脅和來自企業(yè)內(nèi)外兩方面的信息安全問題，煙草企業(yè)的信息安全防范應(yīng)對(duì)措施就顯得尤為重要。建立一個(gè)有序，全面，設(shè)計(jì)合理，架構(gòu)完整的煙草企業(yè)信息安全防御體系是信息安全工作的重中之重。

關(guān)鍵詞：信息安全 外部因素 內(nèi)部因素 應(yīng)對(duì)策略

0 引言

確保煙草企業(yè)的信息安全是一個(gè)動(dòng)態(tài)過程。通過采用防火墻、操作系統(tǒng)身份認(rèn)證、加密等措施，確保煙草企業(yè)信息的整體安全。對(duì)系統(tǒng)的安全狀態(tài)借助漏洞評(píng)估、入侵檢測(cè)等檢測(cè)工具進(jìn)行評(píng)估，進(jìn)而采取各種措施對(duì)系統(tǒng)安全進(jìn)行調(diào)整，使之處于安全狀態(tài)。信息化過程中煙草企業(yè)有眾多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)需要考慮，面對(duì)紛繁蕪雜的信息安全威脅和來自企業(yè)內(nèi)外兩方面的信息安全問題，煙草企業(yè)的信息安全防范應(yīng)對(duì)措施就顯得尤為重要。

1 針對(duì)外部因素的應(yīng)對(duì)策略

1.1 防火墻 防火墻是計(jì)算機(jī)網(wǎng)絡(luò)安全必不可少的一種應(yīng)用系統(tǒng)，但防火墻并不是萬能的。設(shè)置防火墻的目的是防止非法用戶的侵入，它是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的硬件系統(tǒng)和軟件系統(tǒng)。按照煙草行業(yè)的安全體系，一般將防火墻部署在：局域網(wǎng)內(nèi)的VLAN之間控制信息流向時(shí)；Intranet與Internet之間連接時(shí)；在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)，（通過公網(wǎng)ChinaPac，ChinaDDN，F(xiàn)armeRelay等連接）在總部的局域網(wǎng)和各分支機(jī)構(gòu)連接時(shí)采用防火墻隔離，并利用VPN構(gòu)成虛擬專網(wǎng)。

1.2 數(shù)據(jù)加密 在通信安全方面數(shù)據(jù)加密是確保信息安全的基石。數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)，其加密過程是由通過各種加密算法來實(shí)現(xiàn)的，數(shù)據(jù)加密是以較小的代價(jià)提供強(qiáng)大的安全保護(hù)。在通常情況下，確保信息機(jī)密性的唯一方式就是對(duì)數(shù)據(jù)進(jìn)行加密。在全球范圍內(nèi)比較著名的有：美國的DES以及TripleDES、GDES、NewDES；歐洲的IDEA；日本的FEALN、LOKI91、RC4、RC5等。在常規(guī)密碼算法中，DES密碼是影響最大的一種。對(duì)數(shù)據(jù)利用常規(guī)密碼算法進(jìn)行安全加密，因此，能夠經(jīng)受時(shí)間的檢查與驗(yàn)證，以及抵御病毒的攻擊，所以，保密程度較強(qiáng)是它的優(yōu)點(diǎn)，但是，自身也存在著一些弊端，例如，其密匙必須通過安全途徑進(jìn)行傳送。因此，系統(tǒng)安全的重要因素就是其密鑰的管理。

1.3 認(rèn)證技術(shù) 在網(wǎng)絡(luò)通訊過程中，通訊雙方的身份認(rèn)可主要通過認(rèn)證技術(shù)進(jìn)行解決的。在認(rèn)證技術(shù)中，數(shù)字簽名是一種確認(rèn)身份的具體技術(shù)，在通信過程中，數(shù)字簽名還可以實(shí)現(xiàn)不可抵賴要求。加密和密鑰交換是認(rèn)證過程重點(diǎn)涉及的內(nèi)容。通常情況下，通過采用對(duì)稱加密、不對(duì)稱加密及兩種加密方法相混合的方式實(shí)現(xiàn)加密。

目前，煙草企業(yè)主要采用：

①摘要算法的認(rèn)證，市場(chǎng)上主要采用的摘要算法有MD5和SHA-1。

②基于PKI的認(rèn)證，其認(rèn)證和加密是通過公開密鑰體系進(jìn)行的。該方法綜合運(yùn)用了摘要算法、不對(duì)稱加密、對(duì)稱加密、數(shù)字簽名等技術(shù)，將安全性和高效性進(jìn)行結(jié)合，因此，安全程度較高?；赑KI的認(rèn)證主要應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問、客戶認(rèn)證、防火墻認(rèn)證等領(lǐng)域。

③數(shù)字簽名，驗(yàn)證發(fā)送者身份和消息完整性是以數(shù)字簽名為依據(jù)的。RSA等公共密鑰系統(tǒng)基于私有/公共密鑰對(duì)，并且據(jù)此驗(yàn)證發(fā)送者身份和消息的完整性，CA的數(shù)字簽名是通過計(jì)算私有密鑰實(shí)現(xiàn)的，公共密鑰是由CA提供的，因此簽名的真實(shí)性任何人均可以進(jìn)行驗(yàn)證，在計(jì)算機(jī)能力方面?zhèn)卧鞌?shù)字簽名是不可行的。當(dāng)消息和數(shù)字簽名同時(shí)發(fā)送時(shí)，在驗(yàn)證數(shù)字簽名時(shí)都將會(huì)發(fā)現(xiàn)對(duì)消息的任何修改。

1.4 入侵檢測(cè) 入侵檢測(cè)是一種新型的網(wǎng)絡(luò)安全技術(shù)，其主要功能是主動(dòng)保護(hù)自己免受黑客攻擊。通過采用入侵檢測(cè)使得煙草企業(yè)的信息系統(tǒng)能夠有效抵御病毒的攻擊，而且提高了系統(tǒng)管理員在安全方面的審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)等安全管理能力，在一定程度上確保了信息安全結(jié)構(gòu)的完整性。從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的若干個(gè)關(guān)鍵點(diǎn)收集信息進(jìn)行入侵檢測(cè)，通過對(duì)這些信息的研究分析，檢查網(wǎng)絡(luò)中是否存在違背安全的行為和遭受侵襲的跡象。入侵檢測(cè)作為第二道安全防護(hù)門，進(jìn)行入侵檢測(cè)時(shí)不影響網(wǎng)絡(luò)系統(tǒng)的性能，在一定程度上對(duì)內(nèi)、外部攻擊和誤操作進(jìn)行實(shí)時(shí)保護(hù)。另外，入侵檢測(cè)可以與彌補(bǔ)防火墻進(jìn)行優(yōu)勢(shì)互補(bǔ)，通過入侵檢測(cè)和相應(yīng)的防護(hù)手段為網(wǎng)絡(luò)安全提供實(shí)時(shí)保護(hù)，是網(wǎng)絡(luò)安全中極其重要的部分。

1.5 數(shù)據(jù)保護(hù) 基于網(wǎng)絡(luò)的備份系統(tǒng)是目前最先進(jìn)的數(shù)據(jù)備份技術(shù)。全方位、多層次的備份系統(tǒng)是最為理想的。整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)受到網(wǎng)絡(luò)存儲(chǔ)備份管理系統(tǒng)的管理。系統(tǒng)管理員通過借助集中式管理工具的幫助，對(duì)全網(wǎng)的備份策略進(jìn)行統(tǒng)一管理，所有機(jī)器的備份作業(yè)可以通過備份服務(wù)器進(jìn)行監(jiān)控，或者修改備份策略，其所有目錄也可即時(shí)瀏覽。計(jì)算機(jī)應(yīng)用系統(tǒng)穩(wěn)定、可靠、有效、持續(xù)運(yùn)行方面雙機(jī)熱備是基礎(chǔ)，對(duì)于計(jì)算機(jī)應(yīng)用系統(tǒng)的可靠性問題通過系統(tǒng)冗余進(jìn)行解決，具備安裝維護(hù)簡單、運(yùn)行穩(wěn)定可靠、監(jiān)測(cè)直觀等優(yōu)點(diǎn)。

2 針對(duì)內(nèi)部因素的應(yīng)對(duì)策略

2.1 身份認(rèn)證 網(wǎng)絡(luò)安全身份認(rèn)證是一種系統(tǒng)確認(rèn)用戶身份的技術(shù)。確保網(wǎng)絡(luò)安全方面，身份認(rèn)證是第一道防線，也是最重要的一道。煙草企業(yè)作為用戶訪問煙草信息系統(tǒng)時(shí)，身份認(rèn)證系統(tǒng)首先對(duì)訪問用戶的身份進(jìn)行認(rèn)證和識(shí)別，將用戶的身份信息通過監(jiān)控器傳遞給授權(quán)數(shù)據(jù)庫，進(jìn)而確定用戶訪問的權(quán)限和級(jí)別。根據(jù)需要管理員對(duì)授權(quán)數(shù)據(jù)庫進(jìn)行配置。

2.2 訪問控制 進(jìn)行網(wǎng)絡(luò)訪問時(shí)，訪問的范圍、資源，以及訪問時(shí)所用到的協(xié)議和端口等，訪問用戶都要受到訪問控制的影響和制約。

2.3 流量監(jiān)測(cè) 在網(wǎng)絡(luò)系統(tǒng)中，因流量檢測(cè)不到位，使得網(wǎng)絡(luò)受到拒絕服務(wù)攻擊（DoS）、網(wǎng)絡(luò)蠕蟲病毒，以及網(wǎng)絡(luò)掃描工具產(chǎn)生的大量假連接請(qǐng)求的影響，引發(fā)網(wǎng)絡(luò)設(shè)備癱瘓的現(xiàn)象。因此，為了確保系統(tǒng)安全運(yùn)行，需要對(duì)網(wǎng)絡(luò)的異常流量進(jìn)行實(shí)時(shí)的監(jiān)控。用于監(jiān)測(cè)流量的主要有兩種，即為基于SNMP的流量監(jiān)測(cè)和基于Netflow的流量監(jiān)測(cè)。

2.3.1 基于SNMP的流量監(jiān)測(cè)

進(jìn)行異常流量信息檢測(cè)時(shí)。需要收集輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯(cuò)誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯(cuò)誤數(shù)、輸出隊(duì)長等網(wǎng)絡(luò)流量信息?；赟NMP的流量檢測(cè)，是借助網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對(duì)象信息庫）中收集一些具體設(shè)備及流量信息有關(guān)的變量。

2.3.2 基于Netflow流量檢測(cè)

通過該方案進(jìn)行異常流量信息采集，是通過網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制完成網(wǎng)絡(luò)異常流量信息的采集。在此基礎(chǔ)上進(jìn)行的流量信息的采集效率和效果，在一定程度上均能滿足監(jiān)測(cè)網(wǎng)絡(luò)異常流量的需求。

另外，處理異常流量最直接的解決辦法就是切斷異常流量源設(shè)備的物理連接，或者借助訪問控制列表，采用包過濾或在路由器上進(jìn)行流量限定，進(jìn)而起到檢測(cè)異常流量的目的。

2.4 漏洞掃描 受黑客和病毒的攻擊，煙草企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)存在不安全隱患。目前，在硬件、軟件、通訊協(xié)議等方面，煙草企業(yè)的網(wǎng)絡(luò)系統(tǒng)都存在一定的安全隱患，檢測(cè)系統(tǒng)的安全漏洞是確保系統(tǒng)安全的根本所在。定期地對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，可以及時(shí)發(fā)現(xiàn)安全問題，并在第一時(shí)間對(duì)系統(tǒng)完成有效防護(hù)。

2.5 預(yù)防病毒 對(duì)病毒系統(tǒng)進(jìn)行預(yù)防，對(duì)于煙草企業(yè)來說，要具備系統(tǒng)性與主動(dòng)性，對(duì)病毒實(shí)現(xiàn)全方位多級(jí)別的防護(hù)。構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，結(jié)合病毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式，以及途徑的多樣性，相應(yīng)地應(yīng)利用全方位的企業(yè)防毒軟件，進(jìn)行集中控制、預(yù)防為主、防殺結(jié)合的處理策略。就實(shí)際情況而言，設(shè)置相應(yīng)的防毒軟件針對(duì)性地預(yù)防網(wǎng)絡(luò)中所有可能的病毒攻擊，配置全方位、多層次的防毒系統(tǒng)，鞏固和強(qiáng)化病毒入侵的防御能力。但目前湖南煙草系統(tǒng)內(nèi)部網(wǎng)絡(luò)的殺毒軟件品牌選擇是360殺毒企業(yè)套件，而此款軟件更新及時(shí)，對(duì)防毒殺毒能起到較好的作用，對(duì)煙草系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全來說具備良好的保障性。

由于網(wǎng)絡(luò)的開放性和通信協(xié)議的固有安全缺陷，煙草企業(yè)受到的信息安全威脅還是一種普遍的存在，分析網(wǎng)絡(luò)系統(tǒng)的各個(gè)不安全環(huán)節(jié)，找到安全漏洞，做到有的放矢，對(duì)安全威脅的主動(dòng)防御才是煙草行業(yè)信息安全的重點(diǎn)。煙草行業(yè)的信息化發(fā)展凝聚著無數(shù)煙草行業(yè)信息工作者的努力，建立一個(gè)完善堅(jiān)固的信息防御體系對(duì)煙草行業(yè)的信息工作者來說任重道遠(yuǎn)。

參考文獻(xiàn)：

[1]董玉格等.網(wǎng)絡(luò)攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京：人民郵電出版社，2002.8.

[2]周學(xué)廣等.信息安全學(xué)[M].北京：機(jī)械工業(yè)出版社，2003.3.

[3]門鵬.基于SOA的煙草商業(yè)信息系統(tǒng)整合研究及應(yīng)用[J].價(jià)值工程，2013（01）.