楊斯可 張中寶 楊洋 宋景民

（1.湖北省煙草專賣局（公司）信息中心，湖北武漢 430030；2.武漢市煙草專賣局（公司）科技信息中心，湖北武漢 430030；3.“互聯(lián)網+煙草”融合創(chuàng)新實驗室，武漢楚煙信息技術有限公司，湖北武漢 430030）

0.引言

煙草行業(yè)作為國民經濟的重要組成部分，是影響國家經濟發(fā)展、社會穩(wěn)定的重要因素。近年來，隨著煙草行業(yè)網絡安全工作的開展不斷深入，網絡安全管理能力不斷提升，以邊界防護為主的傳統(tǒng)網絡安全防護措施日漸趨于完善，態(tài)勢感知、情報威脅等網絡安全新技術不斷開展探索應用，為煙草行業(yè)高質量發(fā)展提供了堅實的網絡安全保障。在行業(yè)數(shù)字化轉型的新形勢下，隨著新一代信息技術的廣泛應用，行業(yè)信息化架構從傳統(tǒng)IT架構（簡稱：傳統(tǒng)架構）向“云平臺+中臺+微服務”架構（簡稱：新架構）轉型，也帶來了更多、更大、更嚴重的網絡安全風險挑戰(zhàn)。為有效應對數(shù)字化轉型的新風險、新挑戰(zhàn)，我們迫切需要構建更加完善的煙草行業(yè)網絡安全防控體系，進一步筑牢網絡安全防線。

1.煙草行業(yè)數(shù)字化轉型中面臨的網絡安全挑戰(zhàn)

在數(shù)字化轉型背景下，網絡安全已經成為數(shù)字化轉型的前提、基礎和驅動要素。在煙草行業(yè)數(shù)字化轉型機遇到來的同時，網絡安全工作存在如下挑戰(zhàn)：

1.1 安全監(jiān)管新要求

《中華人民共和國網絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國密碼法》等一系列國家法律法規(guī)的頒布，從頂層設計上對網絡安全工作提出更加明確的要求，涉及關鍵信息基礎設施防護、公民信息數(shù)據(jù)保護、物聯(lián)網、云端安全、供應鏈安全等方面。網絡安全工作的要求更高、專業(yè)性更強、顆粒度更細，國家相關部門通過實戰(zhàn)化攻防演習來檢驗行業(yè)單位安全保障能力也成為新常態(tài)，能否對標新要求、新常態(tài)，落實好網絡安全主體責任，在滿足國家法律法規(guī)要求的同時，經受住實戰(zhàn)的考驗，是煙草行業(yè)在數(shù)字化轉型過程中必須履行的義務和應具備的必要條件。

1.2 技術應用新風險

新一代信息技術與煙草產業(yè)的深度融合，給煙草行業(yè)數(shù)字化轉型賦予了新動能，新技術的運用也帶來新的網絡安全風險。（1）在云計算方面，大量的傳統(tǒng)架構應用“上云”，而市面大多云廠商的云環(huán)境是在開源項目基礎上構建，如Hadoop、Hbase等。一旦黑客挖掘出這些開源項目的新漏洞，就意味著掌握了攻擊云環(huán)境的“核武器”。（2）在大數(shù)據(jù)方面，零售戶、消費者、煙農的個人身份信息以及海量行業(yè)生產經營數(shù)據(jù)高度集約化、集中化，一旦發(fā)生數(shù)據(jù)泄漏事件，將產生難以估量的損失。（3）在物聯(lián)網方面，5G技術的普及和廣泛應用于專賣執(zhí)法、卷煙配送、煙葉種植等方面，泛終端的接入更加便捷高效，大量終端接入到行業(yè)內網，使得終端風險點劇增。（4）在移動互聯(lián)網方面，各類App、小程序的廣泛應用不斷擴大網絡安全的暴露面，給網絡上的不法分子提供了更多機會。（5）人工智能、卷煙智能制造等方面的廣泛應用，也勢必會給卷煙制造等工業(yè)控制系統(tǒng)帶來新的潛在隱患。

1.3 安全攻擊新手段

新一代信息技術高速發(fā)展的同時，也給網絡上的不法分子提供了滋生的土壤。網絡上泛濫的黑客工具和低廉的計算資源，讓不法分子可以用極低的成本和資源快速搭建高性能的攻擊平臺。近年來，越來越多地發(fā)現(xiàn)利用APT、勒索病毒攻擊、社會工程學等新型手段對煙草行業(yè)發(fā)起的惡意攻擊行為，這些行為和手段危害性大、隱蔽性強，基于傳統(tǒng)邊界的防護方法已經難以起到作用，需要采用更加專業(yè)的手段和措施加以應對[1]。

1.4 人才隊伍新能力

網絡安全的較量是攻防兩端能力的較量，究其根本是人與人之間的較量。在利益驅動的背后，網絡黑客呈現(xiàn)出規(guī)?；⒔M織化、專業(yè)化等特點。煙草行業(yè)網信人才隊伍，由于長期從事網絡安全管理工作，對于網絡安全技術還停留在面上，掌握技術的深度和廣度還不夠，團隊知識結構相對單一，對業(yè)務工作理解不深。尤其是在數(shù)字化轉型背景下，大量的數(shù)據(jù)采集點、泛終端接入點、隱私信息處理使得各類威脅日志信息，成幾何級上升，令我方在對抗過程中更加顯得捉襟見肘，迫切需要加大煙草行業(yè)網信隊伍綜合能力建設。

2.以大安全為核心的網絡安全理念

以大安全為核心理念，建立健全以“可識別、可防范、可恢復”為主要特征的煙草行業(yè)網絡安全防控體系，推動安全理念從重邊界防護向保障整體安全延伸，工作模式從局部安全加固向體系化整體建設推進，保護對象從網絡安全向網絡、系統(tǒng)和數(shù)據(jù)安全并重轉變，構建大安全格局、切實筑牢大安全屏障。

3.煙草行業(yè)網絡安全防控體系設計

為有效應對煙草行業(yè)數(shù)字化轉型過程中面臨的網絡安全風險，利用大安全理念構建網絡安全防控體系是一種有效實現(xiàn)方法。

3.1 總體設計

基于大安全理念的網絡安全防護體系建設就是要將安全管理的全要素和新技術帶來的風險點，通過顆?；?、條理化、體系化的分析和梳理，達到網絡安全“點”的標準、“面”的集成、“線”的協(xié)同、“體”的整合，最終建立科學一體的煙草行業(yè)網絡安全防控體系，如圖1所示。

圖1 煙草行業(yè)網絡安全防控體系整體架構圖

煙草行業(yè)網絡安全防控體系主要由5個子體系構成，包括安全檢查體系、安全管理體系、安全技術體系、安全監(jiān)管體系和安全運營體系，分別從技術和管理2個方面涵蓋煙草行業(yè)網絡安全的相關要求。

3.2 安全檢查體系

建立網絡安全檢查體系形成安全風險閉環(huán)管理，是有效開展網絡安全工作的基礎。網絡安全威脅不是一成不變的，伴隨著技術的發(fā)展和應用，網絡安全風險總是在動態(tài)地發(fā)生變化。安全檢查體系的設計主要是基于主管部門發(fā)起的網絡安全檢查和煙草行業(yè)自身需要開展的網絡安全自查，檢查內容包括但不限于公安機關網絡安全執(zhí)法檢查、保密主管部門安全保密檢查、密碼主管部門發(fā)起的密碼檢查以及煙草行業(yè)內部發(fā)起的應用安全檢查等。針對安全檢查體系的設計：（1）建立標準。以信息安全等級保護標準為檢查依據(jù)，結合煙草行業(yè)網絡安全工作特點形成具有煙草行業(yè)特點的網絡安全風險源和風險點清單，有針對性地開展網絡安全檢查。（2）定期巡檢。定期開展網絡安全專項檢查，檢查內容包括但不限于應用檢查、保密檢查、密碼檢查、內容治理等。（3）整改加固。對檢查出來的安全隱患，采取“掛牌銷號”方式進行整改加固。

3.3 安全管理體系

網絡安全管理體系是煙草行業(yè)網絡安全管理要素的系列合集，主要用于指導煙草行業(yè)網絡安全管理人員開展網絡安全工作。目前，煙草行業(yè)網絡安全管理體系主要包括組織機構、規(guī)章制度、人員安全、安全教育和培訓4個方面的內容，經過多年的建設，已基本趨于完善?；跀?shù)字化轉型面臨的新要求、新風險，還需要從3個方面進行完善提升：（1）在組織機構方面，探索成立煙草行業(yè)網絡安全專家委員會，為網絡安全建設提供咨詢服務和技術支撐。（2）在規(guī)章制度方面，對現(xiàn)行煙草行業(yè)網絡安全管理制度進行查缺補漏，主要建立健全新技術應用安全管理、數(shù)據(jù)安全管理、工控安全管理等方面管理制度，出臺煙草行業(yè)網絡安全考核制度，通過網絡安全指標考核具體工作的落實情況。（3）在教育培訓方面，建立“以戰(zhàn)促訓”的培養(yǎng)模式，將以往傳統(tǒng)網絡安全教育為主的模式轉變?yōu)閷崙?zhàn)性對抗培養(yǎng)，組建煙草行業(yè)網絡攻防隊伍，通過采取紅藍隊對抗、定期組織攻防對抗比賽等方式，達到提升專業(yè)技能的目的。

3.4 安全技術體系

數(shù)字化轉型由傳統(tǒng)架構向新架構的演進，以邊界防護為手段的安全架構已經難以滿足煙草行業(yè)網絡安全防護新需求，通過在煙草行業(yè)引入軟件定義邊界Software Defined Perimeter（SDP）網絡安全解決方案，構建基于零信任的網絡安全架構是有效應對數(shù)字化轉型網絡安全的技術支撐。SDP的核心在于能夠最小化地設置安全邊界，將應用服務原子化在網絡中隔離開來。同時，采取“網絡隱身”技術將各類暴露在互聯(lián)網的應用端口關閉，對終端實行先驗證、后訪問的機制，通過盡量減少煙草行業(yè)互聯(lián)網暴露面，最大限度地減少來自互聯(lián)網的各種安全威脅。

3.5 安全監(jiān)管體系

《網絡安全審查辦法》是國家建立網絡安全審查和監(jiān)管的制度和機制，為我國開展網絡安全審查工作提供了重要的制度保障。建立煙草行業(yè)網絡安全監(jiān)管體系，由煙草行業(yè)網絡安全主管部門對下級單位開展網絡安全審查和監(jiān)管工作，是保障煙草行業(yè)關鍵信息基礎設施的安全穩(wěn)定運行，落實國家網絡安全審查和監(jiān)管機制的重要舉措。煙草行業(yè)網絡安全監(jiān)管體系應主要側重于對可能嚴重影響國家安全、社會穩(wěn)定、生產經營的網絡產品和服務進行監(jiān)管，監(jiān)管內容包括但不限于產品和服務使用后帶來的風險、產品和服務中斷對業(yè)務連續(xù)性的危害、產品和服務的提供者是否違法失信、產品和服務的供應鏈風險等。搭建煙草行業(yè)網絡安全監(jiān)管平臺，對監(jiān)管對象、監(jiān)管內容、監(jiān)管結果等內容及時進行分析，掌握煙草行業(yè)關鍵信息基礎設施的安全運行情況，實現(xiàn)網絡安全監(jiān)管數(shù)字化、可視化管理。

3.2.2 加強信息流動與溝通。單位內部之間加強聯(lián)系，避免重復工作或者沒有一個部門完成該項工作的現(xiàn)象，高效利用信息，實現(xiàn)各部門之間的完美配合。

3.6 安全運營體系

由合規(guī)性運維管理向實戰(zhàn)化運營管理轉化，是賦能煙草行業(yè)數(shù)字化轉型的最佳實踐。隨著外部環(huán)境的變化，業(yè)務連續(xù)性不再是考量安全運維的唯一指標，要通過實戰(zhàn)化安全運營體系的建設，為煙草行業(yè)數(shù)字化轉型提供價值。安全運營體系設計的主要理念是由合規(guī)性管理向網絡實戰(zhàn)對抗進行轉變，防守模式由靜態(tài)防護向積極預防轉變，平臺建設由局部建設向規(guī)模化轉變。針對上述變化：（1）要完善組織架構。以國家局、省級工商企業(yè)、市級局（卷煙廠）為主體，組建形成網絡安全三級運營團隊，并區(qū)別劃分為紅隊、藍隊。紅隊的主要職責是安全脆弱性管理，定期組織對行業(yè)關鍵基礎信息設施進行脆弱性分析，包括利用工具進行掃描、開展?jié)B透測試等，藍隊的主要職責是對網絡安全威脅進行實時監(jiān)測，進行威脅分析與處置。（2）要建立運營流程。圍繞主動防御這條主線，將各類巡檢、告警等流程關口前移，增加事件運營、漏洞運營等流程，變巡檢為監(jiān)測、變告警為預警，實現(xiàn)閉環(huán)管理。（3）搭建運營平臺。利用態(tài)勢感知、威脅情報、大數(shù)據(jù)分析等技術搭建安全管理平臺，進一步提升對網絡安全事件的掌控能力和感知能力。

4.煙草行業(yè)網絡安全技術架構設計

4.1 煙草行業(yè)信息化架構分析

網絡安全的本質在對抗，不論采取何種架構，最終目的都是為了保障生產經營穩(wěn)定運行?；趥鹘y(tǒng)架構和新架構實現(xiàn)方式的不同，在網絡安全防護體系的建設上，兩者也存在較大的差異，具體如下：

4.1.1 傳統(tǒng)架構網絡安全特點

傳統(tǒng)架構也叫單體架構，是指將業(yè)務應用的用戶界面層、業(yè)務邏輯層、數(shù)據(jù)訪問層等所有功能部署在一系列物理服務器、磁盤陣列上。從管理角度看，傳統(tǒng)架構具有網絡邊界清晰、保護對象明確、安全策略易配置等特點。從防護措施看，通常采用基于邊界防護的防火墻、入侵檢測、入侵防御、主機防護等傳統(tǒng)安全產品。從治理角度看，主要采取打補丁、查殺病毒等被動防護方式為主[2]。

4.1.2 新架構網絡安全特點

新架構也叫微服務架構，是將傳統(tǒng)的單體架構的部署模式拆分成一個服務一個容器的單服務部署模式。從管理角度看，新架構中的容器化技術實現(xiàn)隔離運行在相同主機上不同進程，網絡邊界模糊、保護對象不可見、東西向流量安全策略難以配置。從防護措施看，除了傳統(tǒng)架構下的安全防護措施外還要關注容器自身安全，包括容器隔離問題、容器逃逸攻擊等。從治理角度看，要加強對東西向流量的審計，采取加密方式傳輸數(shù)據(jù)等。

4.2 零信任SDP安全原理

軟件定義邊界Software Defined Perimeter（SDP）是一種具有創(chuàng)新性的網絡安全解決方案，它是由國際云安全聯(lián)盟CSA推出的一種安全模型[3]。它基于接入網絡的用戶身份、設備信息、環(huán)境信息等進行綜合評估，對評估結果符合安全策略的終端進行授權訪問并持續(xù)進行授權驗證。利用可信代理對流量進行加密傳輸、對應用進行隱身，最大限度地減小應用的暴露面。利用軟件定義邊界SDP可以有效應對信息化傳統(tǒng)架構向新架構轉換過程中帶來的安全隱患。

SDP的安全架構通過SDP客戶端、SDP認證服務器、SDP網關組成，如圖2所示。

圖2 SDP工作原理

在SDP架構中，SDP客戶端利用SPA敲門技術向SDP控制器發(fā)送訪問請求，SDP控制器對訪問請求進行驗證和授權，SDP網關接受SDP控制器下發(fā)的安全策略，驗證SDP客戶端訪問請求，建立加密鏈接。在鏈接過程中，SDP控制器實時對連接進行監(jiān)控，一旦發(fā)現(xiàn)不符合安全策略的連接，立即中斷連接。

4.3 基于零信任SDP的安全的架構設計

利用零信任SDP技術構建煙草行業(yè)網絡安全技術架構如圖3所示。

圖3 煙草行業(yè)網絡安全技術架構

4.3.1 訪問主體

煙草行業(yè)根據(jù)用戶身份、設備類型等，可將接入類型分為3類：第一類為外部用戶，主要包括2個方面：（1）通過互聯(lián)網訪問煙草業(yè)務應用的零售戶、煙農、消費者等角色，接入包括臺式機、手機、平板等智能終端。（2）與煙草業(yè)務應用進行數(shù)據(jù)交互、服務調用的外部應用系統(tǒng)。第二類為內部用戶，主要包括煙草職工訪問辦公業(yè)務系統(tǒng)等。第三類為物聯(lián)網設備等泛終端，主要通過網絡實現(xiàn)物物相連的場景。將這3類終端通過安裝SDP客戶端程序、SDP插件等方式統(tǒng)一進行身份驗證和網絡接入。

4.3.2 零信任安全區(qū)域

搭建煙草行業(yè)零信任控制中心和前置數(shù)據(jù)中心?？筛鶕?jù)不同類別接入分類建設，也可進行統(tǒng)一建設。（1）零信任控制中心，在煙草行業(yè)DMZ區(qū)域前端進行部署，功能包括安全策略配置、安全評估、動態(tài)授權管理、訪問控制等。（2）零信任前置數(shù)據(jù)中心，主要實現(xiàn)接入主體和內部數(shù)據(jù)中心的安全聯(lián)通功能。該區(qū)域傳輸都經過安全代理進行訪問，數(shù)據(jù)交換帶有密鑰加密，防止被監(jiān)聽、篡改，保證數(shù)據(jù)安全傳輸。

4.3.3 安全運營中心

安全運營中心采用系統(tǒng)集成和自主開發(fā)方式進行搭建，系統(tǒng)集成主要是將具有態(tài)勢感知、環(huán)境感知、流量分析、數(shù)據(jù)分析、安全運維、安全審計等能力產品和設備集成到安全運營中心平臺。自主開發(fā)主要是根據(jù)安全運營業(yè)務流程的變化和配套將日常安全運營工作流程電子化，痕跡化、智能化。從而提升對煙草行業(yè)網絡安全態(tài)勢感知能力和威脅分析能力。

5.總結

在煙草行業(yè)數(shù)字化轉型的時代浪潮中，通過利用大安全理念構建煙草行業(yè)網絡安全防控體系，從技術和管理2個層面，安全檢查、安全管理、安全技術、安全監(jiān)管和安全運營5個維度提出了煙草行業(yè)網絡安全技術架構設計的總體思路，探索提供了一種解決行業(yè)數(shù)字化轉型中網絡安全問題的新方法，順應了煙草行業(yè)網絡安全工作提出的新要求。在日常工作中，還需要進一步開展深入探索，不斷推動將構建基于大安全理念的煙草行業(yè)網絡安全防控體系與行業(yè)數(shù)字化轉型的工作思路和關鍵舉措相結合，與行業(yè)高質量發(fā)展大局相結合，為行業(yè)數(shù)字化轉型奠定堅實的網絡安全保障。