薛紹松

摘要：隨著煙草行業(yè)的發(fā)展，其內(nèi)部信息系統(tǒng)的安全性存在著很大的問題，這對(duì)煙草行業(yè)的發(fā)展造成了很大的威脅，也是全球熱議的一個(gè)話題。所以，提高煙草行業(yè)的信息安全管理意識(shí)，保護(hù)內(nèi)部信息資產(chǎn)，加強(qiáng)信息安全的管理勢(shì)在必行。在信息安全的管理中，安全基線的建設(shè)是重要的一個(gè)環(huán)節(jié)，如果信息安全機(jī)制不健全，將無法順利的進(jìn)行商業(yè)活動(dòng)。因此，本文先從煙草行業(yè)信息安全面臨的威脅入手，分析煙草行業(yè)信息安全管理的模型與內(nèi)容，并對(duì)新技術(shù)應(yīng)用環(huán)境下煙草行業(yè)的信息安全管理及保護(hù)技術(shù)進(jìn)行探討，提出解決辦法和管理措施，保證煙草行業(yè)的信息安全，以有效的推動(dòng)煙草行業(yè)的發(fā)展。

關(guān)鍵詞：煙草行業(yè)；信息安全；管理模型；安全管理；保護(hù)技術(shù)；管理措施；評(píng)價(jià)

隨著科技的進(jìn)步，互聯(lián)網(wǎng)的應(yīng)用越來越普及化，信息技術(shù)發(fā)生巨大的改變，企業(yè)中充分發(fā)揮計(jì)算機(jī)信息系統(tǒng)的作用迫在眉睫。目前，煙草行業(yè)的信息安全性存在很大的隱患，信息的泄露會(huì)嚴(yán)重影響煙草行業(yè)的發(fā)展，為了保證行業(yè)內(nèi)部信息的安全，這就需要企業(yè)對(duì)信息安全的管理加強(qiáng)力度，有效的控制信息的流通，使得信息的可控性、操作性、完整性得到有效的保護(hù)。一個(gè)企業(yè)要想持續(xù)發(fā)展下去，都是需要以信息作為支撐的，信息作為一種資產(chǎn)，需要企業(yè)妥善管理，否則，就可能出現(xiàn)各種災(zāi)難性的打擊。由此可見，新技術(shù)應(yīng)用環(huán)境下煙草行業(yè)信息安全的管理刻不容緩，需要企業(yè)針對(duì)每個(gè)環(huán)節(jié)嚴(yán)格進(jìn)行把控，避免各種各樣的漏洞和疏忽。計(jì)算機(jī)信息安全都是依靠安全設(shè)備，比如防火墻、VPN、人侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)等，并結(jié)合一些認(rèn)證關(guān)鍵技術(shù)，比如訪問控制技術(shù)、數(shù)字簽名技術(shù)、身份認(rèn)證技術(shù)等，在這些基礎(chǔ)上再制定一些加強(qiáng)信息管理的安全措施，以達(dá)到信息的安全保護(hù)，保證企業(yè)安全健康的發(fā)展。

一、煙草行業(yè)信息安全面臨的威脅

（一）信息系統(tǒng)的脆弱性

目前，煙草行業(yè)對(duì)于信息的管理工作加入了很多應(yīng)用系統(tǒng)，比如省局商業(yè)系統(tǒng)、國(guó)家局的1號(hào)工程系統(tǒng)、網(wǎng)上訂貨系統(tǒng)、科學(xué)營(yíng)銷系統(tǒng)、卷煙經(jīng)營(yíng)決策系統(tǒng)等，其復(fù)雜度越來越高，與這些系統(tǒng)相關(guān)的行業(yè)或企業(yè)也逐步拓寬，如生產(chǎn)和加工、銀行、稅務(wù)單位等，這些往來關(guān)系在合作過程中扮演著各種各樣的角色，因此，在煙草行業(yè)中的信息管理相關(guān)用戶也越來越復(fù)雜，呈現(xiàn)多樣性，比如員工、零售商鋪、消費(fèi)者、煙農(nóng)等。這些系統(tǒng)、相關(guān)行業(yè)、用戶，都隨著煙草業(yè)務(wù)的需求不斷的增加，逐步擴(kuò)大服務(wù)范圍，使得煙草行業(yè)信息系統(tǒng)的接觸人員越來越復(fù)雜，這樣的情況下，信息系統(tǒng)的開發(fā)周期變短，系統(tǒng)測(cè)試不嚴(yán)謹(jǐn)，出現(xiàn)的疏忽和漏洞在一定程度上擴(kuò)大了信息系統(tǒng)的脆弱性，使得煙草行業(yè)的發(fā)展受到威脅。

（二）安全威脅的多樣性

隨著我國(guó)科學(xué)技術(shù)的發(fā)展，便攜式移動(dòng)設(shè)備如智能手機(jī)、PAD、平板電腦等互聯(lián)網(wǎng)終端的廣泛應(yīng)用，使得原來的有線網(wǎng)絡(luò)慢慢遺棄，網(wǎng)絡(luò)邊界沒有明顯界限，這種不確定性造成了行業(yè)中的信息安全受到一定威脅，煙草行業(yè)的系統(tǒng)也不例外。煙草行業(yè)的數(shù)據(jù)也通過網(wǎng)絡(luò)應(yīng)用存儲(chǔ)數(shù)據(jù)，進(jìn)行辦公，但是煙草行業(yè)信息安全工作太過于注重技術(shù)，在信息管理上存在很大漏洞，操作性不強(qiáng)，有的信息安全設(shè)備并沒有充分發(fā)揮其功能，參數(shù)的設(shè)置不合理，監(jiān)控工作不夠嚴(yán)格，沒有一套系統(tǒng)的管理制度，員工在實(shí)際工作中對(duì)賬戶的管理、應(yīng)用系統(tǒng)的管理、數(shù)據(jù)的保密等工作沒有徹底落實(shí)，給行業(yè)的網(wǎng)絡(luò)信息系統(tǒng)埋下隱患。此外，煙草行業(yè)內(nèi)部的員工在工作中，上網(wǎng)習(xí)慣和工作習(xí)慣不規(guī)范，使用的密碼和口令易破解，安全性非常低，對(duì)外部郵件、不明網(wǎng)站的警惕性不夠高，使得煙草行業(yè)內(nèi)部的信息易泄露，這些都將使得煙草行業(yè)信息的安全面臨嚴(yán)峻的威脅。

（三）安全威脅的復(fù)雜性

信息技術(shù)的應(yīng)用在人類生活中已經(jīng)隨處可見，為人類在日常生活中、工作中提供便利，但也無法避免信息的安全性，行業(yè)內(nèi)外部都存在很多風(fēng)險(xiǎn)。煙草行業(yè)有著自己的局域網(wǎng)和信息系統(tǒng)，這些系統(tǒng)相互合作，為企業(yè)的發(fā)展提供支持的同時(shí)，也大大增加了信息安全的風(fēng)險(xiǎn)，比如員工的思想被不良信息所影響，員工崗位職位的頻繁變化、信息攔截、垃圾郵件等，這些都會(huì)使得行業(yè)內(nèi)部的安全不可控。同時(shí)，為了方便員工訪問行業(yè)內(nèi)部網(wǎng)站，通過VPN來實(shí)現(xiàn)，不可避免會(huì)連接其它的存儲(chǔ)設(shè)備，電腦的維修也需要外部維修人員介入，這樣內(nèi)外網(wǎng)絡(luò)不停地進(jìn)行互通，就可能受到病毒、木馬、黑客等不良系統(tǒng)的攻擊，一旦企業(yè)內(nèi)部的系統(tǒng)受到干擾和威脅，信息系統(tǒng)很有可能中斷或者系統(tǒng)癱瘓，這無疑會(huì)給企業(yè)帶來嚴(yán)重的損害。

二、煙草行業(yè)信息安全管理模型與內(nèi)容

煙草行業(yè)信息安全管理模型從靜態(tài)模型轉(zhuǎn)變?yōu)閯?dòng)態(tài)的模型，靜態(tài)模型一般是單機(jī)系統(tǒng)采用的，無法充分的顯示分布的、動(dòng)態(tài)變化的網(wǎng)絡(luò)信息安全狀況，而動(dòng)態(tài)模型的可適應(yīng)性比較高，如PDR、PPDR、P2OTPDR2 和 WPDRRC 等模型都可以動(dòng)態(tài)的抵制外部網(wǎng)絡(luò)惡意的破壞和攻擊，這些模型并不否定安全風(fēng)險(xiǎn)的存在，但是可以及時(shí)發(fā)現(xiàn)侵襲行為，盡最大可能的抵制和消滅由于漏洞造成的外部網(wǎng)絡(luò)的攻擊，使得安全風(fēng)險(xiǎn)系數(shù)降低。下面我們將典型的兩個(gè)安全模型進(jìn)行闡述，第一，P2OTPDR2模型。P2OTPDR2模型中的P2是Policy（策略）和People（人）、O是Operation（操作）、T是Technology（技術(shù)）、P是Protection（保護(hù)）、D是Detection（檢測(cè)）、R2是Response（響應(yīng)）和Restore（恢復(fù)），P2OTPDR2 模型分為核心層、中間層、外圍層三個(gè)層次，核心層就是安全策略，指導(dǎo)著整個(gè)安全系統(tǒng)的設(shè)計(jì)、執(zhí)行、維護(hù)、改進(jìn)等環(huán)節(jié)，是系統(tǒng)活動(dòng)的執(zhí)行方針。中間層包括三個(gè)要素，人、技術(shù)、操作，這三個(gè)是整個(gè)系統(tǒng)的骨架，所有的安全內(nèi)容都是圍繞這三點(diǎn)制定的。外圍層包括防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)四個(gè)環(huán)節(jié)，中間層的三個(gè)要素在這四個(gè)環(huán)節(jié)中都有滲透，構(gòu)成完整的信息安全系統(tǒng)；第二，WPDRRC模型。WPDRRC模型中的W是Warning（預(yù)警）、P是Protection（防護(hù)）、D是Detection（檢測(cè)）、RR是Response（響應(yīng)）和Restore（恢復(fù)）、C是Counterattack（反擊）。該模型是我國(guó)863信息安全專家組提出的模型，該模型能夠適應(yīng)中國(guó)國(guó)情的信息安全保障體系建設(shè)，WPDRRC模型在PDRR的基礎(chǔ)上加入了預(yù)警和反擊的功能，構(gòu)成了六個(gè)環(huán)節(jié)，有一定的動(dòng)態(tài)性，及時(shí)預(yù)警信息系統(tǒng)的安全，并作出反擊行為。三大要素是人、策略和技術(shù)，在六大環(huán)節(jié)中都有滲透，使得安全的策略得以實(shí)現(xiàn)。endprint

三、新技術(shù)應(yīng)用環(huán)境下的煙草行業(yè)信息安全管理及保護(hù)技術(shù)

（一）關(guān)鍵技術(shù)

1.訪問控制技術(shù)

訪問控制技術(shù)是保證煙草行業(yè)網(wǎng)絡(luò)信息安全的重要技術(shù)之一，訪問控制由主體、客體、訪問控制策略這三者構(gòu)成。主體是指發(fā)出請(qǐng)求的實(shí)體，但它并不一定為行動(dòng)執(zhí)行者，它可以是用戶、程序等實(shí)體，實(shí)體又可以是物理設(shè)備、文件、內(nèi)存、進(jìn)程等；客體是指實(shí)體訪問的對(duì)象，它可以是信息、資料和對(duì)象。在網(wǎng)絡(luò)信息系統(tǒng)中，信息、文件、硬件設(shè)備都可以作為客體，且可相互包含；訪問控制策略是指主體操作客體約束條件的集合，也就是訪問規(guī)則集，規(guī)則集中的主體對(duì)客體的行為與客體對(duì)主體的約束進(jìn)行直接定義，該策略是一種授權(quán)行為，對(duì)客體與主體之間的行為設(shè)置了權(quán)限。但是煙草行業(yè)系統(tǒng)的訪問用戶龐雜，呈動(dòng)態(tài)變化，一般都是選用基于角色的訪問控制模型，以防止主體直接擁有訪問權(quán)限。

2.數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)是煙草行業(yè)另一個(gè)重要技術(shù)。該技術(shù)是可以實(shí)現(xiàn)認(rèn)證和非認(rèn)證的一種方法，數(shù)字簽名認(rèn)證技術(shù)可以對(duì)一個(gè)人進(jìn)行數(shù)據(jù)和身份的認(rèn)證，而不是進(jìn)行否認(rèn)。該技術(shù)是不對(duì)稱加密算法應(yīng)用的典型，數(shù)字簽名技術(shù)的實(shí)施過程是，發(fā)送方將數(shù)據(jù)用私鑰進(jìn)行數(shù)據(jù)校驗(yàn)或者對(duì)數(shù)據(jù)有關(guān)的變量進(jìn)行加密，實(shí)現(xiàn)數(shù)據(jù)的“簽名”，但是需要發(fā)送方向接收方提供公鑰，而且要嚴(yán)格對(duì)自己的私鑰進(jìn)行保密，數(shù)據(jù)的接受端通過對(duì)方提供的公鑰對(duì)收到的“數(shù)字簽名”進(jìn)行解讀，并對(duì)解讀結(jié)果進(jìn)行檢驗(yàn)，實(shí)現(xiàn)簽名的合法認(rèn)證。在網(wǎng)絡(luò)信息系統(tǒng)中，是一個(gè)虛擬環(huán)境，因此，數(shù)字簽名技術(shù)是確認(rèn)身份的一項(xiàng)重要技術(shù)，可以完全替代現(xiàn)實(shí)生活中的親筆簽名的過程，且在技術(shù)上、法律上都有一定的保證。

3.身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)是在虛擬世界里認(rèn)證操作者身份的一項(xiàng)技術(shù)。在網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)中，用戶的身份信息使用特定的數(shù)據(jù)來表示的，所以，計(jì)算機(jī)識(shí)別的是用戶的數(shù)字身份信息，以數(shù)字身份的授權(quán)來實(shí)現(xiàn)身份認(rèn)證。在現(xiàn)實(shí)中，我們每個(gè)人擁有的是物理身份，且是獨(dú)一無二的，那么怎樣才能保證我們的物理身份與數(shù)字身份相一致？身份認(rèn)證技術(shù)的幾個(gè)常用技術(shù)解決了這個(gè)問題，比如傳統(tǒng)的基于口令的身份認(rèn)證、基于PKI體制的數(shù)字證書認(rèn)證技術(shù)等?；诳诹畹纳矸菡J(rèn)證是指當(dāng)需要被認(rèn)證的對(duì)象要進(jìn)行訪問認(rèn)證方時(shí)，就需要被認(rèn)證方提供口令，認(rèn)證方接收到口令后，將其口令與網(wǎng)絡(luò)信息系統(tǒng)中的口令進(jìn)行對(duì)照，確認(rèn)身份的合法性，此認(rèn)證技術(shù)一般用于較封閉的小型系統(tǒng)，或者對(duì)安全性沒有高要求的系統(tǒng)。而對(duì)于大型網(wǎng)絡(luò)系統(tǒng)，或是安全性有高要求的系統(tǒng)，企業(yè)通常采用基于PKI體制的數(shù)字證書認(rèn)證技術(shù)，該技術(shù)是將公鑰理論的應(yīng)用和技術(shù)的建立作為基礎(chǔ)設(shè)施，能有效的解決真實(shí)性、安全性等安全問題。

（二）管理措施

信息安全的管理，是必須要重視的問題。黑客、木馬等不良信息的入侵，會(huì)給企業(yè)的發(fā)展造成重大損失，因此，煙草行業(yè)必須采用先進(jìn)的防火墻技術(shù)，保護(hù)信息的安全，隔離外部的網(wǎng)絡(luò)信息，減少攻擊條件，加大信息保密的力度。很多煙草行業(yè)沒有防范意識(shí)，對(duì)日志和審查制度沒有給予高度的重視，使得網(wǎng)絡(luò)中對(duì)日志功能的使用出現(xiàn)紕漏，導(dǎo)致信息泄露，引起嚴(yán)重的信息安全事故，損失也無法估量和挽回，而且一旦出現(xiàn)事故，追究不到責(zé)任人，所以，在信息網(wǎng)絡(luò)這個(gè)大環(huán)境中，必須安全使用日志功能，對(duì)使用和退出網(wǎng)絡(luò)的成員進(jìn)行詳細(xì)登記，確保使用用戶的身份合法、操作合法，對(duì)擁有極大權(quán)限的賬號(hào)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，對(duì)多次出現(xiàn)密碼錯(cuò)誤的現(xiàn)象，做好相應(yīng)的保護(hù)工作，比如，限制登錄等措施，防止超級(jí)權(quán)限用戶的泄密，對(duì)于所有人員的操作進(jìn)行跟蹤監(jiān)測(cè)，一旦發(fā)現(xiàn)可疑人員進(jìn)入內(nèi)部網(wǎng)絡(luò)系統(tǒng)時(shí)，要立即采取相應(yīng)的措施，最大程度的減少企業(yè)損失。

四、管理成效與評(píng)價(jià)

通過對(duì)以上模型和安全保護(hù)技術(shù)的分析，我們可以看出，煙草行業(yè)使用P2OTPDR2 模型得較少，缺乏預(yù)警和反擊功能，使得煙草行業(yè)的系統(tǒng)安全受到一定威脅，信息安全得不到保障。如果使用WPDRRC模型，又缺乏安全策略，無法落實(shí)到“以人為本”的理念，管理制度出現(xiàn)空子。我們需要將信息安全管理問題落實(shí)到人、技術(shù)和操作上，完善企業(yè)內(nèi)部的各項(xiàng)管理制度，保障信息安全，在企業(yè)內(nèi)設(shè)立專業(yè)的管理小組，對(duì)系統(tǒng)的維護(hù)、技術(shù)的規(guī)劃、用戶使用規(guī)范的培訓(xùn)等項(xiàng)目進(jìn)行分組管理，主負(fù)責(zé)人要將業(yè)務(wù)能力的提高落實(shí)到每個(gè)組員的身上去。企業(yè)也通過成立顧問團(tuán)隊(duì)，第一時(shí)間獲得了業(yè)界的動(dòng)態(tài)，與外界合作商、服務(wù)商等部門進(jìn)行溝通，交流信息保護(hù)的經(jīng)驗(yàn)，增強(qiáng)業(yè)務(wù)知識(shí)，并根據(jù)實(shí)際情況邀請(qǐng)專業(yè)的專家組進(jìn)行現(xiàn)場(chǎng)授課和培訓(xùn)。此外，通過對(duì)企業(yè)的運(yùn)作情況進(jìn)行階段性的總結(jié)，效果的反映，會(huì)議記錄，工作方法等事項(xiàng)的整理，為下一期的工作提供了科學(xué)的指導(dǎo)作用，使得煙草企業(yè)的信息安全在管理上取得了明顯效果和效率。目前，信息安全策略的有效實(shí)施，使得網(wǎng)絡(luò)使用用戶的不規(guī)范行為得到遏制，保護(hù)了用戶終端的安全，減少了PC的維護(hù)工作量。

結(jié)語(yǔ)

總而言之，信息的安全問題是每個(gè)企業(yè)長(zhǎng)久發(fā)展不容忽視的關(guān)鍵問題，要想保證煙草行業(yè)順利的發(fā)展，在充分利用網(wǎng)絡(luò)帶來的種種便利下，加強(qiáng)杜絕網(wǎng)絡(luò)侵害現(xiàn)象的發(fā)生，重視煙草行業(yè)信息的安全防控，同時(shí)要建立一套長(zhǎng)效的安全機(jī)制，以保證商業(yè)活動(dòng)的順利開展。在新技術(shù)的應(yīng)用環(huán)境下，煙草行業(yè)信息安全管理的工作要想得到有效的實(shí)施，就要從煙草行業(yè)信息安全所面臨的威脅方面入手。本文通過對(duì)網(wǎng)絡(luò)安全的各項(xiàng)技術(shù)進(jìn)行深入研究，分析了煙草行業(yè)信息系統(tǒng)的脆弱性，信息安全威脅的多樣性和復(fù)雜性，并以煙草行業(yè)信息安全的管理模型作為理論指導(dǎo)，進(jìn)一步實(shí)現(xiàn)安全防護(hù)工作，并對(duì)一些信息安全管理的關(guān)鍵技術(shù)加以應(yīng)用，結(jié)合實(shí)際的工作經(jīng)驗(yàn)，全程保障網(wǎng)絡(luò)信息用戶的合法登錄和操作，保證煙草行業(yè)信息的安全，為煙草行業(yè)的順利發(fā)展提供安全的運(yùn)作環(huán)境。

參考文獻(xiàn)：

[1]李益文.湖南省煙草商業(yè)系統(tǒng)信息安全運(yùn)維管理體系建設(shè)的思考[J].湖南煙草，2009，（S1）.

[2]沈昌祥.關(guān)于強(qiáng)化信息安全保障體系的思考.北京：信息安全與通信保密，2003（6）：15-17.

[3]楊欣.煙草行業(yè)信息安全應(yīng)對(duì)策略探討[J].中小企業(yè)管理與科技，2013，5.

[4]陳宇明.煙草行業(yè)信息安全管理的研究與探索[J].計(jì)算機(jī)安全，2011，9.

[5]肖峰.煙草信息安全風(fēng)險(xiǎn)分析及策略控制[J].現(xiàn)代商業(yè)，2015（23）：53-54.

[6]吳輝.淺談企業(yè)信息安全管理方案[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2010（25）：109-111.endprint