薛紹松

摘要：隨著煙草行業(yè)的發(fā)展，其內(nèi)部信息系統(tǒng)的安全性存在著很大的問題，這對煙草行業(yè)的發(fā)展造成了很大的威脅，也是全球熱議的一個話題。所以，提高煙草行業(yè)的信息安全管理意識，保護內(nèi)部信息資產(chǎn)，加強信息安全的管理勢在必行。在信息安全的管理中，安全基線的建設是重要的一個環(huán)節(jié)，如果信息安全機制不健全，將無法順利的進行商業(yè)活動。因此，本文先從煙草行業(yè)信息安全面臨的威脅入手，分析煙草行業(yè)信息安全管理的模型與內(nèi)容，并對新技術應用環(huán)境下煙草行業(yè)的信息安全管理及保護技術進行探討，提出解決辦法和管理措施，保證煙草行業(yè)的信息安全，以有效的推動煙草行業(yè)的發(fā)展。

關鍵詞：煙草行業(yè)；信息安全；管理模型；安全管理；保護技術；管理措施；評價

隨著科技的進步，互聯(lián)網(wǎng)的應用越來越普及化，信息技術發(fā)生巨大的改變，企業(yè)中充分發(fā)揮計算機信息系統(tǒng)的作用迫在眉睫。目前，煙草行業(yè)的信息安全性存在很大的隱患，信息的泄露會嚴重影響煙草行業(yè)的發(fā)展，為了保證行業(yè)內(nèi)部信息的安全，這就需要企業(yè)對信息安全的管理加強力度，有效的控制信息的流通，使得信息的可控性、操作性、完整性得到有效的保護。一個企業(yè)要想持續(xù)發(fā)展下去，都是需要以信息作為支撐的，信息作為一種資產(chǎn)，需要企業(yè)妥善管理，否則，就可能出現(xiàn)各種災難性的打擊。由此可見，新技術應用環(huán)境下煙草行業(yè)信息安全的管理刻不容緩，需要企業(yè)針對每個環(huán)節(jié)嚴格進行把控，避免各種各樣的漏洞和疏忽。計算機信息安全都是依靠安全設備，比如防火墻、VPN、人侵檢測系統(tǒng)、防病毒系統(tǒng)等，并結(jié)合一些認證關鍵技術，比如訪問控制技術、數(shù)字簽名技術、身份認證技術等，在這些基礎上再制定一些加強信息管理的安全措施，以達到信息的安全保護，保證企業(yè)安全健康的發(fā)展。

一、煙草行業(yè)信息安全面臨的威脅

（一）信息系統(tǒng)的脆弱性

目前，煙草行業(yè)對于信息的管理工作加入了很多應用系統(tǒng)，比如省局商業(yè)系統(tǒng)、國家局的1號工程系統(tǒng)、網(wǎng)上訂貨系統(tǒng)、科學營銷系統(tǒng)、卷煙經(jīng)營決策系統(tǒng)等，其復雜度越來越高，與這些系統(tǒng)相關的行業(yè)或企業(yè)也逐步拓寬，如生產(chǎn)和加工、銀行、稅務單位等，這些往來關系在合作過程中扮演著各種各樣的角色，因此，在煙草行業(yè)中的信息管理相關用戶也越來越復雜，呈現(xiàn)多樣性，比如員工、零售商鋪、消費者、煙農(nóng)等。這些系統(tǒng)、相關行業(yè)、用戶，都隨著煙草業(yè)務的需求不斷的增加，逐步擴大服務范圍，使得煙草行業(yè)信息系統(tǒng)的接觸人員越來越復雜，這樣的情況下，信息系統(tǒng)的開發(fā)周期變短，系統(tǒng)測試不嚴謹，出現(xiàn)的疏忽和漏洞在一定程度上擴大了信息系統(tǒng)的脆弱性，使得煙草行業(yè)的發(fā)展受到威脅。

（二）安全威脅的多樣性

隨著我國科學技術的發(fā)展，便攜式移動設備如智能手機、PAD、平板電腦等互聯(lián)網(wǎng)終端的廣泛應用，使得原來的有線網(wǎng)絡慢慢遺棄，網(wǎng)絡邊界沒有明顯界限，這種不確定性造成了行業(yè)中的信息安全受到一定威脅，煙草行業(yè)的系統(tǒng)也不例外。煙草行業(yè)的數(shù)據(jù)也通過網(wǎng)絡應用存儲數(shù)據(jù)，進行辦公，但是煙草行業(yè)信息安全工作太過于注重技術，在信息管理上存在很大漏洞，操作性不強，有的信息安全設備并沒有充分發(fā)揮其功能，參數(shù)的設置不合理，監(jiān)控工作不夠嚴格，沒有一套系統(tǒng)的管理制度，員工在實際工作中對賬戶的管理、應用系統(tǒng)的管理、數(shù)據(jù)的保密等工作沒有徹底落實，給行業(yè)的網(wǎng)絡信息系統(tǒng)埋下隱患。此外，煙草行業(yè)內(nèi)部的員工在工作中，上網(wǎng)習慣和工作習慣不規(guī)范，使用的密碼和口令易破解，安全性非常低，對外部郵件、不明網(wǎng)站的警惕性不夠高，使得煙草行業(yè)內(nèi)部的信息易泄露，這些都將使得煙草行業(yè)信息的安全面臨嚴峻的威脅。

（三）安全威脅的復雜性

信息技術的應用在人類生活中已經(jīng)隨處可見，為人類在日常生活中、工作中提供便利，但也無法避免信息的安全性，行業(yè)內(nèi)外部都存在很多風險。煙草行業(yè)有著自己的局域網(wǎng)和信息系統(tǒng)，這些系統(tǒng)相互合作，為企業(yè)的發(fā)展提供支持的同時，也大大增加了信息安全的風險，比如員工的思想被不良信息所影響，員工崗位職位的頻繁變化、信息攔截、垃圾郵件等，這些都會使得行業(yè)內(nèi)部的安全不可控。同時，為了方便員工訪問行業(yè)內(nèi)部網(wǎng)站，通過VPN來實現(xiàn)，不可避免會連接其它的存儲設備，電腦的維修也需要外部維修人員介入，這樣內(nèi)外網(wǎng)絡不停地進行互通，就可能受到病毒、木馬、黑客等不良系統(tǒng)的攻擊，一旦企業(yè)內(nèi)部的系統(tǒng)受到干擾和威脅，信息系統(tǒng)很有可能中斷或者系統(tǒng)癱瘓，這無疑會給企業(yè)帶來嚴重的損害。

二、煙草行業(yè)信息安全管理模型與內(nèi)容

煙草行業(yè)信息安全管理模型從靜態(tài)模型轉(zhuǎn)變?yōu)閯討B(tài)的模型，靜態(tài)模型一般是單機系統(tǒng)采用的，無法充分的顯示分布的、動態(tài)變化的網(wǎng)絡信息安全狀況，而動態(tài)模型的可適應性比較高，如PDR、PPDR、P2OTPDR2 和 WPDRRC 等模型都可以動態(tài)的抵制外部網(wǎng)絡惡意的破壞和攻擊，這些模型并不否定安全風險的存在，但是可以及時發(fā)現(xiàn)侵襲行為，盡最大可能的抵制和消滅由于漏洞造成的外部網(wǎng)絡的攻擊，使得安全風險系數(shù)降低。下面我們將典型的兩個安全模型進行闡述，第一，P2OTPDR2模型。P2OTPDR2模型中的P2是Policy（策略）和People（人）、O是Operation（操作）、T是Technology（技術）、P是Protection（保護）、D是Detection（檢測）、R2是Response（響應）和Restore（恢復），P2OTPDR2 模型分為核心層、中間層、外圍層三個層次，核心層就是安全策略，指導著整個安全系統(tǒng)的設計、執(zhí)行、維護、改進等環(huán)節(jié)，是系統(tǒng)活動的執(zhí)行方針。中間層包括三個要素，人、技術、操作，這三個是整個系統(tǒng)的骨架，所有的安全內(nèi)容都是圍繞這三點制定的。外圍層包括防護、檢測、響應、恢復四個環(huán)節(jié)，中間層的三個要素在這四個環(huán)節(jié)中都有滲透，構(gòu)成完整的信息安全系統(tǒng)；第二，WPDRRC模型。WPDRRC模型中的W是Warning（預警）、P是Protection（防護）、D是Detection（檢測）、RR是Response（響應）和Restore（恢復）、C是Counterattack（反擊）。該模型是我國863信息安全專家組提出的模型，該模型能夠適應中國國情的信息安全保障體系建設，WPDRRC模型在PDRR的基礎上加入了預警和反擊的功能，構(gòu)成了六個環(huán)節(jié)，有一定的動態(tài)性，及時預警信息系統(tǒng)的安全，并作出反擊行為。三大要素是人、策略和技術，在六大環(huán)節(jié)中都有滲透，使得安全的策略得以實現(xiàn)。endprint

三、新技術應用環(huán)境下的煙草行業(yè)信息安全管理及保護技術

（一）關鍵技術

1.訪問控制技術

訪問控制技術是保證煙草行業(yè)網(wǎng)絡信息安全的重要技術之一，訪問控制由主體、客體、訪問控制策略這三者構(gòu)成。主體是指發(fā)出請求的實體，但它并不一定為行動執(zhí)行者，它可以是用戶、程序等實體，實體又可以是物理設備、文件、內(nèi)存、進程等；客體是指實體訪問的對象，它可以是信息、資料和對象。在網(wǎng)絡信息系統(tǒng)中，信息、文件、硬件設備都可以作為客體，且可相互包含；訪問控制策略是指主體操作客體約束條件的集合，也就是訪問規(guī)則集，規(guī)則集中的主體對客體的行為與客體對主體的約束進行直接定義，該策略是一種授權(quán)行為，對客體與主體之間的行為設置了權(quán)限。但是煙草行業(yè)系統(tǒng)的訪問用戶龐雜，呈動態(tài)變化，一般都是選用基于角色的訪問控制模型，以防止主體直接擁有訪問權(quán)限。

2.數(shù)字簽名技術

數(shù)字簽名技術是煙草行業(yè)另一個重要技術。該技術是可以實現(xiàn)認證和非認證的一種方法，數(shù)字簽名認證技術可以對一個人進行數(shù)據(jù)和身份的認證，而不是進行否認。該技術是不對稱加密算法應用的典型，數(shù)字簽名技術的實施過程是，發(fā)送方將數(shù)據(jù)用私鑰進行數(shù)據(jù)校驗或者對數(shù)據(jù)有關的變量進行加密，實現(xiàn)數(shù)據(jù)的“簽名”，但是需要發(fā)送方向接收方提供公鑰，而且要嚴格對自己的私鑰進行保密，數(shù)據(jù)的接受端通過對方提供的公鑰對收到的“數(shù)字簽名”進行解讀，并對解讀結(jié)果進行檢驗，實現(xiàn)簽名的合法認證。在網(wǎng)絡信息系統(tǒng)中，是一個虛擬環(huán)境，因此，數(shù)字簽名技術是確認身份的一項重要技術，可以完全替代現(xiàn)實生活中的親筆簽名的過程，且在技術上、法律上都有一定的保證。

3.身份認證技術

身份認證技術是在虛擬世界里認證操作者身份的一項技術。在網(wǎng)絡計算機系統(tǒng)中，用戶的身份信息使用特定的數(shù)據(jù)來表示的，所以，計算機識別的是用戶的數(shù)字身份信息，以數(shù)字身份的授權(quán)來實現(xiàn)身份認證。在現(xiàn)實中，我們每個人擁有的是物理身份，且是獨一無二的，那么怎樣才能保證我們的物理身份與數(shù)字身份相一致？身份認證技術的幾個常用技術解決了這個問題，比如傳統(tǒng)的基于口令的身份認證、基于PKI體制的數(shù)字證書認證技術等?；诳诹畹纳矸菡J證是指當需要被認證的對象要進行訪問認證方時，就需要被認證方提供口令，認證方接收到口令后，將其口令與網(wǎng)絡信息系統(tǒng)中的口令進行對照，確認身份的合法性，此認證技術一般用于較封閉的小型系統(tǒng)，或者對安全性沒有高要求的系統(tǒng)。而對于大型網(wǎng)絡系統(tǒng)，或是安全性有高要求的系統(tǒng)，企業(yè)通常采用基于PKI體制的數(shù)字證書認證技術，該技術是將公鑰理論的應用和技術的建立作為基礎設施，能有效的解決真實性、安全性等安全問題。

（二）管理措施

信息安全的管理，是必須要重視的問題。黑客、木馬等不良信息的入侵，會給企業(yè)的發(fā)展造成重大損失，因此，煙草行業(yè)必須采用先進的防火墻技術，保護信息的安全，隔離外部的網(wǎng)絡信息，減少攻擊條件，加大信息保密的力度。很多煙草行業(yè)沒有防范意識，對日志和審查制度沒有給予高度的重視，使得網(wǎng)絡中對日志功能的使用出現(xiàn)紕漏，導致信息泄露，引起嚴重的信息安全事故，損失也無法估量和挽回，而且一旦出現(xiàn)事故，追究不到責任人，所以，在信息網(wǎng)絡這個大環(huán)境中，必須安全使用日志功能，對使用和退出網(wǎng)絡的成員進行詳細登記，確保使用用戶的身份合法、操作合法，對擁有極大權(quán)限的賬號進行實時監(jiān)測，對多次出現(xiàn)密碼錯誤的現(xiàn)象，做好相應的保護工作，比如，限制登錄等措施，防止超級權(quán)限用戶的泄密，對于所有人員的操作進行跟蹤監(jiān)測，一旦發(fā)現(xiàn)可疑人員進入內(nèi)部網(wǎng)絡系統(tǒng)時，要立即采取相應的措施，最大程度的減少企業(yè)損失。

四、管理成效與評價

通過對以上模型和安全保護技術的分析，我們可以看出，煙草行業(yè)使用P2OTPDR2 模型得較少，缺乏預警和反擊功能，使得煙草行業(yè)的系統(tǒng)安全受到一定威脅，信息安全得不到保障。如果使用WPDRRC模型，又缺乏安全策略，無法落實到“以人為本”的理念，管理制度出現(xiàn)空子。我們需要將信息安全管理問題落實到人、技術和操作上，完善企業(yè)內(nèi)部的各項管理制度，保障信息安全，在企業(yè)內(nèi)設立專業(yè)的管理小組，對系統(tǒng)的維護、技術的規(guī)劃、用戶使用規(guī)范的培訓等項目進行分組管理，主負責人要將業(yè)務能力的提高落實到每個組員的身上去。企業(yè)也通過成立顧問團隊，第一時間獲得了業(yè)界的動態(tài)，與外界合作商、服務商等部門進行溝通，交流信息保護的經(jīng)驗，增強業(yè)務知識，并根據(jù)實際情況邀請專業(yè)的專家組進行現(xiàn)場授課和培訓。此外，通過對企業(yè)的運作情況進行階段性的總結(jié)，效果的反映，會議記錄，工作方法等事項的整理，為下一期的工作提供了科學的指導作用，使得煙草企業(yè)的信息安全在管理上取得了明顯效果和效率。目前，信息安全策略的有效實施，使得網(wǎng)絡使用用戶的不規(guī)范行為得到遏制，保護了用戶終端的安全，減少了PC的維護工作量。

結(jié)語

總而言之，信息的安全問題是每個企業(yè)長久發(fā)展不容忽視的關鍵問題，要想保證煙草行業(yè)順利的發(fā)展，在充分利用網(wǎng)絡帶來的種種便利下，加強杜絕網(wǎng)絡侵害現(xiàn)象的發(fā)生，重視煙草行業(yè)信息的安全防控，同時要建立一套長效的安全機制，以保證商業(yè)活動的順利開展。在新技術的應用環(huán)境下，煙草行業(yè)信息安全管理的工作要想得到有效的實施，就要從煙草行業(yè)信息安全所面臨的威脅方面入手。本文通過對網(wǎng)絡安全的各項技術進行深入研究，分析了煙草行業(yè)信息系統(tǒng)的脆弱性，信息安全威脅的多樣性和復雜性，并以煙草行業(yè)信息安全的管理模型作為理論指導，進一步實現(xiàn)安全防護工作，并對一些信息安全管理的關鍵技術加以應用，結(jié)合實際的工作經(jīng)驗，全程保障網(wǎng)絡信息用戶的合法登錄和操作，保證煙草行業(yè)信息的安全，為煙草行業(yè)的順利發(fā)展提供安全的運作環(huán)境。

參考文獻：

[1]李益文.湖南省煙草商業(yè)系統(tǒng)信息安全運維管理體系建設的思考[J].湖南煙草，2009，（S1）.

[2]沈昌祥.關于強化信息安全保障體系的思考.北京：信息安全與通信保密，2003（6）：15-17.

[3]楊欣.煙草行業(yè)信息安全應對策略探討[J].中小企業(yè)管理與科技，2013，5.

[4]陳宇明.煙草行業(yè)信息安全管理的研究與探索[J].計算機安全，2011，9.

[5]肖峰.煙草信息安全風險分析及策略控制[J].現(xiàn)代商業(yè)，2015（23）：53-54.

[6]吳輝.淺談企業(yè)信息安全管理方案[J].科技情報開發(fā)與經(jīng)濟，2010（25）：109-111.endprint