楊斯可 張中寶 楊洋 宋景民

（1.湖北省煙草專賣局（公司）信息中心，湖北武漢 430030；2.武漢市煙草專賣局（公司）科技信息中心，湖北武漢 430030；3.“互聯(lián)網(wǎng)+煙草”融合創(chuàng)新實(shí)驗(yàn)室，武漢楚煙信息技術(shù)有限公司，湖北武漢 430030）

0.引言

煙草行業(yè)作為國民經(jīng)濟(jì)的重要組成部分，是影響國家經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定的重要因素。近年來，隨著煙草行業(yè)網(wǎng)絡(luò)安全工作的開展不斷深入，網(wǎng)絡(luò)安全管理能力不斷提升，以邊界防護(hù)為主的傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施日漸趨于完善，態(tài)勢(shì)感知、情報(bào)威脅等網(wǎng)絡(luò)安全新技術(shù)不斷開展探索應(yīng)用，為煙草行業(yè)高質(zhì)量發(fā)展提供了堅(jiān)實(shí)的網(wǎng)絡(luò)安全保障。在行業(yè)數(shù)字化轉(zhuǎn)型的新形勢(shì)下，隨著新一代信息技術(shù)的廣泛應(yīng)用，行業(yè)信息化架構(gòu)從傳統(tǒng)IT架構(gòu)（簡稱：傳統(tǒng)架構(gòu)）向“云平臺(tái)+中臺(tái)+微服務(wù)”架構(gòu)（簡稱：新架構(gòu)）轉(zhuǎn)型，也帶來了更多、更大、更嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)。為有效應(yīng)對(duì)數(shù)字化轉(zhuǎn)型的新風(fēng)險(xiǎn)、新挑戰(zhàn)，我們迫切需要構(gòu)建更加完善的煙草行業(yè)網(wǎng)絡(luò)安全防控體系，進(jìn)一步筑牢網(wǎng)絡(luò)安全防線。

1.煙草行業(yè)數(shù)字化轉(zhuǎn)型中面臨的網(wǎng)絡(luò)安全挑戰(zhàn)

在數(shù)字化轉(zhuǎn)型背景下，網(wǎng)絡(luò)安全已經(jīng)成為數(shù)字化轉(zhuǎn)型的前提、基礎(chǔ)和驅(qū)動(dòng)要素。在煙草行業(yè)數(shù)字化轉(zhuǎn)型機(jī)遇到來的同時(shí)，網(wǎng)絡(luò)安全工作存在如下挑戰(zhàn)：

1.1 安全監(jiān)管新要求

《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國密碼法》等一系列國家法律法規(guī)的頒布，從頂層設(shè)計(jì)上對(duì)網(wǎng)絡(luò)安全工作提出更加明確的要求，涉及關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)、公民信息數(shù)據(jù)保護(hù)、物聯(lián)網(wǎng)、云端安全、供應(yīng)鏈安全等方面。網(wǎng)絡(luò)安全工作的要求更高、專業(yè)性更強(qiáng)、顆粒度更細(xì)，國家相關(guān)部門通過實(shí)戰(zhàn)化攻防演習(xí)來檢驗(yàn)行業(yè)單位安全保障能力也成為新常態(tài)，能否對(duì)標(biāo)新要求、新常態(tài)，落實(shí)好網(wǎng)絡(luò)安全主體責(zé)任，在滿足國家法律法規(guī)要求的同時(shí)，經(jīng)受住實(shí)戰(zhàn)的考驗(yàn)，是煙草行業(yè)在數(shù)字化轉(zhuǎn)型過程中必須履行的義務(wù)和應(yīng)具備的必要條件。

1.2 技術(shù)應(yīng)用新風(fēng)險(xiǎn)

新一代信息技術(shù)與煙草產(chǎn)業(yè)的深度融合，給煙草行業(yè)數(shù)字化轉(zhuǎn)型賦予了新動(dòng)能，新技術(shù)的運(yùn)用也帶來新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。（1）在云計(jì)算方面，大量的傳統(tǒng)架構(gòu)應(yīng)用“上云”，而市面大多云廠商的云環(huán)境是在開源項(xiàng)目基礎(chǔ)上構(gòu)建，如Hadoop、Hbase等。一旦黑客挖掘出這些開源項(xiàng)目的新漏洞，就意味著掌握了攻擊云環(huán)境的“核武器”。（2）在大數(shù)據(jù)方面，零售戶、消費(fèi)者、煙農(nóng)的個(gè)人身份信息以及海量行業(yè)生產(chǎn)經(jīng)營數(shù)據(jù)高度集約化、集中化，一旦發(fā)生數(shù)據(jù)泄漏事件，將產(chǎn)生難以估量的損失。（3）在物聯(lián)網(wǎng)方面，5G技術(shù)的普及和廣泛應(yīng)用于專賣執(zhí)法、卷煙配送、煙葉種植等方面，泛終端的接入更加便捷高效，大量終端接入到行業(yè)內(nèi)網(wǎng)，使得終端風(fēng)險(xiǎn)點(diǎn)劇增。（4）在移動(dòng)互聯(lián)網(wǎng)方面，各類App、小程序的廣泛應(yīng)用不斷擴(kuò)大網(wǎng)絡(luò)安全的暴露面，給網(wǎng)絡(luò)上的不法分子提供了更多機(jī)會(huì)。（5）人工智能、卷煙智能制造等方面的廣泛應(yīng)用，也勢(shì)必會(huì)給卷煙制造等工業(yè)控制系統(tǒng)帶來新的潛在隱患。

1.3 安全攻擊新手段

新一代信息技術(shù)高速發(fā)展的同時(shí)，也給網(wǎng)絡(luò)上的不法分子提供了滋生的土壤。網(wǎng)絡(luò)上泛濫的黑客工具和低廉的計(jì)算資源，讓不法分子可以用極低的成本和資源快速搭建高性能的攻擊平臺(tái)。近年來，越來越多地發(fā)現(xiàn)利用APT、勒索病毒攻擊、社會(huì)工程學(xué)等新型手段對(duì)煙草行業(yè)發(fā)起的惡意攻擊行為，這些行為和手段危害性大、隱蔽性強(qiáng)，基于傳統(tǒng)邊界的防護(hù)方法已經(jīng)難以起到作用，需要采用更加專業(yè)的手段和措施加以應(yīng)對(duì)[1]。

1.4 人才隊(duì)伍新能力

網(wǎng)絡(luò)安全的較量是攻防兩端能力的較量，究其根本是人與人之間的較量。在利益驅(qū)動(dòng)的背后，網(wǎng)絡(luò)黑客呈現(xiàn)出規(guī)?；⒔M織化、專業(yè)化等特點(diǎn)。煙草行業(yè)網(wǎng)信人才隊(duì)伍，由于長期從事網(wǎng)絡(luò)安全管理工作，對(duì)于網(wǎng)絡(luò)安全技術(shù)還停留在面上，掌握技術(shù)的深度和廣度還不夠，團(tuán)隊(duì)知識(shí)結(jié)構(gòu)相對(duì)單一，對(duì)業(yè)務(wù)工作理解不深。尤其是在數(shù)字化轉(zhuǎn)型背景下，大量的數(shù)據(jù)采集點(diǎn)、泛終端接入點(diǎn)、隱私信息處理使得各類威脅日志信息，成幾何級(jí)上升，令我方在對(duì)抗過程中更加顯得捉襟見肘，迫切需要加大煙草行業(yè)網(wǎng)信隊(duì)伍綜合能力建設(shè)。

2.以大安全為核心的網(wǎng)絡(luò)安全理念

以大安全為核心理念，建立健全以“可識(shí)別、可防范、可恢復(fù)”為主要特征的煙草行業(yè)網(wǎng)絡(luò)安全防控體系，推動(dòng)安全理念從重邊界防護(hù)向保障整體安全延伸，工作模式從局部安全加固向體系化整體建設(shè)推進(jìn)，保護(hù)對(duì)象從網(wǎng)絡(luò)安全向網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)安全并重轉(zhuǎn)變，構(gòu)建大安全格局、切實(shí)筑牢大安全屏障。

3.煙草行業(yè)網(wǎng)絡(luò)安全防控體系設(shè)計(jì)

為有效應(yīng)對(duì)煙草行業(yè)數(shù)字化轉(zhuǎn)型過程中面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，利用大安全理念構(gòu)建網(wǎng)絡(luò)安全防控體系是一種有效實(shí)現(xiàn)方法。

3.1 總體設(shè)計(jì)

基于大安全理念的網(wǎng)絡(luò)安全防護(hù)體系建設(shè)就是要將安全管理的全要素和新技術(shù)帶來的風(fēng)險(xiǎn)點(diǎn)，通過顆?；l理化、體系化的分析和梳理，達(dá)到網(wǎng)絡(luò)安全“點(diǎn)”的標(biāo)準(zhǔn)、“面”的集成、“線”的協(xié)同、“體”的整合，最終建立科學(xué)一體的煙草行業(yè)網(wǎng)絡(luò)安全防控體系，如圖1所示。

圖1 煙草行業(yè)網(wǎng)絡(luò)安全防控體系整體架構(gòu)圖

煙草行業(yè)網(wǎng)絡(luò)安全防控體系主要由5個(gè)子體系構(gòu)成，包括安全檢查體系、安全管理體系、安全技術(shù)體系、安全監(jiān)管體系和安全運(yùn)營體系，分別從技術(shù)和管理2個(gè)方面涵蓋煙草行業(yè)網(wǎng)絡(luò)安全的相關(guān)要求。

3.2 安全檢查體系

建立網(wǎng)絡(luò)安全檢查體系形成安全風(fēng)險(xiǎn)閉環(huán)管理，是有效開展網(wǎng)絡(luò)安全工作的基礎(chǔ)。網(wǎng)絡(luò)安全威脅不是一成不變的，伴隨著技術(shù)的發(fā)展和應(yīng)用，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)總是在動(dòng)態(tài)地發(fā)生變化。安全檢查體系的設(shè)計(jì)主要是基于主管部門發(fā)起的網(wǎng)絡(luò)安全檢查和煙草行業(yè)自身需要開展的網(wǎng)絡(luò)安全自查，檢查內(nèi)容包括但不限于公安機(jī)關(guān)網(wǎng)絡(luò)安全執(zhí)法檢查、保密主管部門安全保密檢查、密碼主管部門發(fā)起的密碼檢查以及煙草行業(yè)內(nèi)部發(fā)起的應(yīng)用安全檢查等。針對(duì)安全檢查體系的設(shè)計(jì)：（1）建立標(biāo)準(zhǔn)。以信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)為檢查依據(jù)，結(jié)合煙草行業(yè)網(wǎng)絡(luò)安全工作特點(diǎn)形成具有煙草行業(yè)特點(diǎn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)源和風(fēng)險(xiǎn)點(diǎn)清單，有針對(duì)性地開展網(wǎng)絡(luò)安全檢查。（2）定期巡檢。定期開展網(wǎng)絡(luò)安全專項(xiàng)檢查，檢查內(nèi)容包括但不限于應(yīng)用檢查、保密檢查、密碼檢查、內(nèi)容治理等。（3）整改加固。對(duì)檢查出來的安全隱患，采取“掛牌銷號(hào)”方式進(jìn)行整改加固。

3.3 安全管理體系

網(wǎng)絡(luò)安全管理體系是煙草行業(yè)網(wǎng)絡(luò)安全管理要素的系列合集，主要用于指導(dǎo)煙草行業(yè)網(wǎng)絡(luò)安全管理人員開展網(wǎng)絡(luò)安全工作。目前，煙草行業(yè)網(wǎng)絡(luò)安全管理體系主要包括組織機(jī)構(gòu)、規(guī)章制度、人員安全、安全教育和培訓(xùn)4個(gè)方面的內(nèi)容，經(jīng)過多年的建設(shè)，已基本趨于完善?；跀?shù)字化轉(zhuǎn)型面臨的新要求、新風(fēng)險(xiǎn)，還需要從3個(gè)方面進(jìn)行完善提升：（1）在組織機(jī)構(gòu)方面，探索成立煙草行業(yè)網(wǎng)絡(luò)安全專家委員會(huì)，為網(wǎng)絡(luò)安全建設(shè)提供咨詢服務(wù)和技術(shù)支撐。（2）在規(guī)章制度方面，對(duì)現(xiàn)行煙草行業(yè)網(wǎng)絡(luò)安全管理制度進(jìn)行查缺補(bǔ)漏，主要建立健全新技術(shù)應(yīng)用安全管理、數(shù)據(jù)安全管理、工控安全管理等方面管理制度，出臺(tái)煙草行業(yè)網(wǎng)絡(luò)安全考核制度，通過網(wǎng)絡(luò)安全指標(biāo)考核具體工作的落實(shí)情況。（3）在教育培訓(xùn)方面，建立“以戰(zhàn)促訓(xùn)”的培養(yǎng)模式，將以往傳統(tǒng)網(wǎng)絡(luò)安全教育為主的模式轉(zhuǎn)變?yōu)閷?shí)戰(zhàn)性對(duì)抗培養(yǎng)，組建煙草行業(yè)網(wǎng)絡(luò)攻防隊(duì)伍，通過采取紅藍(lán)隊(duì)對(duì)抗、定期組織攻防對(duì)抗比賽等方式，達(dá)到提升專業(yè)技能的目的。

3.4 安全技術(shù)體系

數(shù)字化轉(zhuǎn)型由傳統(tǒng)架構(gòu)向新架構(gòu)的演進(jìn)，以邊界防護(hù)為手段的安全架構(gòu)已經(jīng)難以滿足煙草行業(yè)網(wǎng)絡(luò)安全防護(hù)新需求，通過在煙草行業(yè)引入軟件定義邊界Software Defined Perimeter（SDP）網(wǎng)絡(luò)安全解決方案，構(gòu)建基于零信任的網(wǎng)絡(luò)安全架構(gòu)是有效應(yīng)對(duì)數(shù)字化轉(zhuǎn)型網(wǎng)絡(luò)安全的技術(shù)支撐。SDP的核心在于能夠最小化地設(shè)置安全邊界，將應(yīng)用服務(wù)原子化在網(wǎng)絡(luò)中隔離開來。同時(shí)，采取“網(wǎng)絡(luò)隱身”技術(shù)將各類暴露在互聯(lián)網(wǎng)的應(yīng)用端口關(guān)閉，對(duì)終端實(shí)行先驗(yàn)證、后訪問的機(jī)制，通過盡量減少煙草行業(yè)互聯(lián)網(wǎng)暴露面，最大限度地減少來自互聯(lián)網(wǎng)的各種安全威脅。

3.5 安全監(jiān)管體系

《網(wǎng)絡(luò)安全審查辦法》是國家建立網(wǎng)絡(luò)安全審查和監(jiān)管的制度和機(jī)制，為我國開展網(wǎng)絡(luò)安全審查工作提供了重要的制度保障。建立煙草行業(yè)網(wǎng)絡(luò)安全監(jiān)管體系，由煙草行業(yè)網(wǎng)絡(luò)安全主管部門對(duì)下級(jí)單位開展網(wǎng)絡(luò)安全審查和監(jiān)管工作，是保障煙草行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行，落實(shí)國家網(wǎng)絡(luò)安全審查和監(jiān)管機(jī)制的重要舉措。煙草行業(yè)網(wǎng)絡(luò)安全監(jiān)管體系應(yīng)主要側(cè)重于對(duì)可能嚴(yán)重影響國家安全、社會(huì)穩(wěn)定、生產(chǎn)經(jīng)營的網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行監(jiān)管，監(jiān)管內(nèi)容包括但不限于產(chǎn)品和服務(wù)使用后帶來的風(fēng)險(xiǎn)、產(chǎn)品和服務(wù)中斷對(duì)業(yè)務(wù)連續(xù)性的危害、產(chǎn)品和服務(wù)的提供者是否違法失信、產(chǎn)品和服務(wù)的供應(yīng)鏈風(fēng)險(xiǎn)等。搭建煙草行業(yè)網(wǎng)絡(luò)安全監(jiān)管平臺(tái)，對(duì)監(jiān)管對(duì)象、監(jiān)管內(nèi)容、監(jiān)管結(jié)果等內(nèi)容及時(shí)進(jìn)行分析，掌握煙草行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全運(yùn)行情況，實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)管數(shù)字化、可視化管理。

3.2.2 加強(qiáng)信息流動(dòng)與溝通。單位內(nèi)部之間加強(qiáng)聯(lián)系，避免重復(fù)工作或者沒有一個(gè)部門完成該項(xiàng)工作的現(xiàn)象，高效利用信息，實(shí)現(xiàn)各部門之間的完美配合。

3.6 安全運(yùn)營體系

由合規(guī)性運(yùn)維管理向?qū)崙?zhàn)化運(yùn)營管理轉(zhuǎn)化，是賦能煙草行業(yè)數(shù)字化轉(zhuǎn)型的最佳實(shí)踐。隨著外部環(huán)境的變化，業(yè)務(wù)連續(xù)性不再是考量安全運(yùn)維的唯一指標(biāo)，要通過實(shí)戰(zhàn)化安全運(yùn)營體系的建設(shè)，為煙草行業(yè)數(shù)字化轉(zhuǎn)型提供價(jià)值。安全運(yùn)營體系設(shè)計(jì)的主要理念是由合規(guī)性管理向網(wǎng)絡(luò)實(shí)戰(zhàn)對(duì)抗進(jìn)行轉(zhuǎn)變，防守模式由靜態(tài)防護(hù)向積極預(yù)防轉(zhuǎn)變，平臺(tái)建設(shè)由局部建設(shè)向規(guī)?；D(zhuǎn)變。針對(duì)上述變化：（1）要完善組織架構(gòu)。以國家局、省級(jí)工商企業(yè)、市級(jí)局（卷煙廠）為主體，組建形成網(wǎng)絡(luò)安全三級(jí)運(yùn)營團(tuán)隊(duì)，并區(qū)別劃分為紅隊(duì)、藍(lán)隊(duì)。紅隊(duì)的主要職責(zé)是安全脆弱性管理，定期組織對(duì)行業(yè)關(guān)鍵基礎(chǔ)信息設(shè)施進(jìn)行脆弱性分析，包括利用工具進(jìn)行掃描、開展?jié)B透測(cè)試等，藍(lán)隊(duì)的主要職責(zé)是對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行實(shí)時(shí)監(jiān)測(cè)，進(jìn)行威脅分析與處置。（2）要建立運(yùn)營流程。圍繞主動(dòng)防御這條主線，將各類巡檢、告警等流程關(guān)口前移，增加事件運(yùn)營、漏洞運(yùn)營等流程，變巡檢為監(jiān)測(cè)、變告警為預(yù)警，實(shí)現(xiàn)閉環(huán)管理。（3）搭建運(yùn)營平臺(tái)。利用態(tài)勢(shì)感知、威脅情報(bào)、大數(shù)據(jù)分析等技術(shù)搭建安全管理平臺(tái)，進(jìn)一步提升對(duì)網(wǎng)絡(luò)安全事件的掌控能力和感知能力。

4.煙草行業(yè)網(wǎng)絡(luò)安全技術(shù)架構(gòu)設(shè)計(jì)

4.1 煙草行業(yè)信息化架構(gòu)分析

網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，不論采取何種架構(gòu)，最終目的都是為了保障生產(chǎn)經(jīng)營穩(wěn)定運(yùn)行。基于傳統(tǒng)架構(gòu)和新架構(gòu)實(shí)現(xiàn)方式的不同，在網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)上，兩者也存在較大的差異，具體如下：

4.1.1 傳統(tǒng)架構(gòu)網(wǎng)絡(luò)安全特點(diǎn)

傳統(tǒng)架構(gòu)也叫單體架構(gòu)，是指將業(yè)務(wù)應(yīng)用的用戶界面層、業(yè)務(wù)邏輯層、數(shù)據(jù)訪問層等所有功能部署在一系列物理服務(wù)器、磁盤陣列上。從管理角度看，傳統(tǒng)架構(gòu)具有網(wǎng)絡(luò)邊界清晰、保護(hù)對(duì)象明確、安全策略易配置等特點(diǎn)。從防護(hù)措施看，通常采用基于邊界防護(hù)的防火墻、入侵檢測(cè)、入侵防御、主機(jī)防護(hù)等傳統(tǒng)安全產(chǎn)品。從治理角度看，主要采取打補(bǔ)丁、查殺病毒等被動(dòng)防護(hù)方式為主[2]。

4.1.2 新架構(gòu)網(wǎng)絡(luò)安全特點(diǎn)

新架構(gòu)也叫微服務(wù)架構(gòu)，是將傳統(tǒng)的單體架構(gòu)的部署模式拆分成一個(gè)服務(wù)一個(gè)容器的單服務(wù)部署模式。從管理角度看，新架構(gòu)中的容器化技術(shù)實(shí)現(xiàn)隔離運(yùn)行在相同主機(jī)上不同進(jìn)程，網(wǎng)絡(luò)邊界模糊、保護(hù)對(duì)象不可見、東西向流量安全策略難以配置。從防護(hù)措施看，除了傳統(tǒng)架構(gòu)下的安全防護(hù)措施外還要關(guān)注容器自身安全，包括容器隔離問題、容器逃逸攻擊等。從治理角度看，要加強(qiáng)對(duì)東西向流量的審計(jì)，采取加密方式傳輸數(shù)據(jù)等。

4.2 零信任SDP安全原理

軟件定義邊界Software Defined Perimeter（SDP）是一種具有創(chuàng)新性的網(wǎng)絡(luò)安全解決方案，它是由國際云安全聯(lián)盟CSA推出的一種安全模型[3]。它基于接入網(wǎng)絡(luò)的用戶身份、設(shè)備信息、環(huán)境信息等進(jìn)行綜合評(píng)估，對(duì)評(píng)估結(jié)果符合安全策略的終端進(jìn)行授權(quán)訪問并持續(xù)進(jìn)行授權(quán)驗(yàn)證。利用可信代理對(duì)流量進(jìn)行加密傳輸、對(duì)應(yīng)用進(jìn)行隱身，最大限度地減小應(yīng)用的暴露面。利用軟件定義邊界SDP可以有效應(yīng)對(duì)信息化傳統(tǒng)架構(gòu)向新架構(gòu)轉(zhuǎn)換過程中帶來的安全隱患。

SDP的安全架構(gòu)通過SDP客戶端、SDP認(rèn)證服務(wù)器、SDP網(wǎng)關(guān)組成，如圖2所示。

圖2 SDP工作原理

在SDP架構(gòu)中，SDP客戶端利用SPA敲門技術(shù)向SDP控制器發(fā)送訪問請(qǐng)求，SDP控制器對(duì)訪問請(qǐng)求進(jìn)行驗(yàn)證和授權(quán)，SDP網(wǎng)關(guān)接受SDP控制器下發(fā)的安全策略，驗(yàn)證SDP客戶端訪問請(qǐng)求，建立加密鏈接。在鏈接過程中，SDP控制器實(shí)時(shí)對(duì)連接進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)不符合安全策略的連接，立即中斷連接。

4.3 基于零信任SDP的安全的架構(gòu)設(shè)計(jì)

利用零信任SDP技術(shù)構(gòu)建煙草行業(yè)網(wǎng)絡(luò)安全技術(shù)架構(gòu)如圖3所示。

圖3 煙草行業(yè)網(wǎng)絡(luò)安全技術(shù)架構(gòu)

4.3.1 訪問主體

煙草行業(yè)根據(jù)用戶身份、設(shè)備類型等，可將接入類型分為3類：第一類為外部用戶，主要包括2個(gè)方面：（1）通過互聯(lián)網(wǎng)訪問煙草業(yè)務(wù)應(yīng)用的零售戶、煙農(nóng)、消費(fèi)者等角色，接入包括臺(tái)式機(jī)、手機(jī)、平板等智能終端。（2）與煙草業(yè)務(wù)應(yīng)用進(jìn)行數(shù)據(jù)交互、服務(wù)調(diào)用的外部應(yīng)用系統(tǒng)。第二類為內(nèi)部用戶，主要包括煙草職工訪問辦公業(yè)務(wù)系統(tǒng)等。第三類為物聯(lián)網(wǎng)設(shè)備等泛終端，主要通過網(wǎng)絡(luò)實(shí)現(xiàn)物物相連的場景。將這3類終端通過安裝SDP客戶端程序、SDP插件等方式統(tǒng)一進(jìn)行身份驗(yàn)證和網(wǎng)絡(luò)接入。

4.3.2 零信任安全區(qū)域

搭建煙草行業(yè)零信任控制中心和前置數(shù)據(jù)中心?？筛鶕?jù)不同類別接入分類建設(shè)，也可進(jìn)行統(tǒng)一建設(shè)。（1）零信任控制中心，在煙草行業(yè)DMZ區(qū)域前端進(jìn)行部署，功能包括安全策略配置、安全評(píng)估、動(dòng)態(tài)授權(quán)管理、訪問控制等。（2）零信任前置數(shù)據(jù)中心，主要實(shí)現(xiàn)接入主體和內(nèi)部數(shù)據(jù)中心的安全聯(lián)通功能。該區(qū)域傳輸都經(jīng)過安全代理進(jìn)行訪問，數(shù)據(jù)交換帶有密鑰加密，防止被監(jiān)聽、篡改，保證數(shù)據(jù)安全傳輸。

4.3.3 安全運(yùn)營中心

安全運(yùn)營中心采用系統(tǒng)集成和自主開發(fā)方式進(jìn)行搭建，系統(tǒng)集成主要是將具有態(tài)勢(shì)感知、環(huán)境感知、流量分析、數(shù)據(jù)分析、安全運(yùn)維、安全審計(jì)等能力產(chǎn)品和設(shè)備集成到安全運(yùn)營中心平臺(tái)。自主開發(fā)主要是根據(jù)安全運(yùn)營業(yè)務(wù)流程的變化和配套將日常安全運(yùn)營工作流程電子化，痕跡化、智能化。從而提升對(duì)煙草行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力和威脅分析能力。

5.總結(jié)

在煙草行業(yè)數(shù)字化轉(zhuǎn)型的時(shí)代浪潮中，通過利用大安全理念構(gòu)建煙草行業(yè)網(wǎng)絡(luò)安全防控體系，從技術(shù)和管理2個(gè)層面，安全檢查、安全管理、安全技術(shù)、安全監(jiān)管和安全運(yùn)營5個(gè)維度提出了煙草行業(yè)網(wǎng)絡(luò)安全技術(shù)架構(gòu)設(shè)計(jì)的總體思路，探索提供了一種解決行業(yè)數(shù)字化轉(zhuǎn)型中網(wǎng)絡(luò)安全問題的新方法，順應(yīng)了煙草行業(yè)網(wǎng)絡(luò)安全工作提出的新要求。在日常工作中，還需要進(jìn)一步開展深入探索，不斷推動(dòng)將構(gòu)建基于大安全理念的煙草行業(yè)網(wǎng)絡(luò)安全防控體系與行業(yè)數(shù)字化轉(zhuǎn)型的工作思路和關(guān)鍵舉措相結(jié)合，與行業(yè)高質(zhì)量發(fā)展大局相結(jié)合，為行業(yè)數(shù)字化轉(zhuǎn)型奠定堅(jiān)實(shí)的網(wǎng)絡(luò)安全保障。