探究地市煙草信息網絡安全建設

摘 要：地市煙草信息網絡是構成各省煙草信息網絡的個體，就如構成木桶的一板，其信息網絡安全建設水平便直接決定全省信息網絡建設水平。而信息網絡安全建設關系到全行業主干信息網絡的安全與穩定，當前地市煙草信息網絡安全建設雖取得了一些成就，但仍存在一些客觀問題不容忽視，需要我們正確認識并尋找對策解決，進而保證全省信息網絡安全穩定運行，促進煙草行業的健康高速發展。

關鍵詞：地市煙草；網絡安全；技術；管理

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2014） 02-0000-02

煙草行業自1985年有了第一臺計算機以來，經過20多年行業信息化工作者孜孜不倦的努力，行業的信息化建設工作取得了長足的發展，建立了涵蓋行業各個方面工作的完備的信息網絡，為行業工作的便捷開展提供了可靠的信息化助力，為“卷煙上水平”做出了應有的貢獻。但不可否認的是，在信息化建設之初，由于經驗的缺乏及技術的限制，沒有形成一個具有遠見性及科學性，能與行業整體業務發展戰略緊密融合的信息網絡安全建設戰略，導致多年來行業信息網絡安全建設工作缺乏統一的導向和組織，雖然各省煙草公司都制定并出臺了計算機網絡建設與管理規范，指導各地市的信息網絡建設，但因為制度出臺時間較短，及網絡改造需要流程與時間，可以說目前各地市網絡安全建設水平仍不夠理想，信息網絡安全建設發展至今，越來越多的困難與矛盾開始逐漸凸顯。

一、地市煙草公司信息網絡安全建設現狀

地市煙草信息網絡是構成全省煙草信息網絡的個體，因此地市信息網絡安全建設水平便直接關系全省信息網絡建設水平，是構成全省信息網絡安全建設的一環，就像構成木桶的一板，依據管理學上“木桶效應”的短板理論，木桶的盛水量由構成木桶的最短的一板決定，當有一個地市信息網絡安全建設水平大大低于平均水平，就將大大拉低全省煙草信息網絡整體安全防護水平。可以說全省煙草的信息網路安全建設必將是環環相扣的，一環均不得松懈，一環均不得落后。

地市信息網絡安全建設關系到全行業主干的網絡的安全與穩定，而信息網絡環境的復雜性、多變性以及系統的脆弱性、開放性和易受攻擊性，決定了信息網絡安全威脅的客觀存在。當行業人員在享受著信息網絡給日常辦公帶來便利性的同時，信息網絡安全問題也日漸突出，信息網絡安全建設形勢日益嚴峻。結合地市煙草實際情況分析總結（某地市煙草信息網絡安全結構圖如下），以及筆者日常的實際工作體會，主要可以總結出當前地市煙草信息網絡安全建設還主要存在著以下幾方面問題：

（一）將信息網絡安全建設理解為單純的安全設備采購

經過多年的信息化網絡安全建設投入，一種簡單的理念容易令一些行業信息化工作從業者產生誤解，即所謂的信息網絡安全建設就是網絡安全設備的采購，只要網絡安全設備采購部署到位，信息網絡安全便高枕無憂，從一定角度來說，這種觀點并沒有錯誤，隨著信息技術的發展，日益先進強大的網絡安全設備層出不窮，人性化的操作界面也使得設備使用與配置變得不再困難，對信息網絡安全起到很好的保障。各地市煙草公司也在逐年增加著安全設備的采購數量，網絡安全隨著安全設備的增加看起來已經不再是問題。但實際情況是這樣嗎？在實際情況中我們仍然會發現，地市煙草在重視網絡安全設備采購的時卻較為忽視對網絡安全設備采購的前期規劃，導致亟需網絡設備沒有得到采購，或者采購的安全設備沒有得到很好的實施。造成重復投資及資產浪費的局面，同時設備上線實施后期的運行維護及更新升級，隨著時間的流逝，人為的懈怠與忽視，都導致購買的安全設備沒有起到最大的作用。

（二）信網絡安全建設偏重技術鉆研，忽略日常管理

信息網絡安全不能完全依賴技術手段來解決，更多的需要從信息安全日常管理上入手，畢竟信息網絡的使用者是人，只有對人的管理到位，才能保證在技術手段搭建的網絡安全保障平臺下不出現人為操作引發的漏洞。當前地市信息化工作從業者在對信息安全技術鉆研方面投以了很大的熱情，但對信息網絡安全日常管理方面卻顯得無能為力，或者說掌控能力還不夠，雖然制定并頒布了涵蓋網絡安全各方面的信息化制度，但相關制度卻沒有得到很好的貫徹執行，很多制度名存實亡，而行業各級員工良好信息網絡安全使用習慣始終沒有得到養成，信息安全問責機制得不到很好實施，同時而信息中心作為相關信息安全管理制度的制定者，受限于部門職能及自身管理水平所限，導致對制度執行的監督管理能力低下。而在信息網絡安全管理不力的情況下，致使再強大的技術防護都無法避免管理缺失形成的隱患。

（三）信息網絡安全建設重視對外防護，忽視對內防護

當前網絡安全建設更多的針對外來攻擊的防護，而忽視對內的安全防護，更多的是在網絡邊界搭設安全設備抵御從外部而來的非法入侵及非法訪問，而針對內部終端用戶的審計及跟蹤則較為缺失。根據統計結果標明，99.9%的網絡安全事件來源于網絡內部，而只有0.1%安全事件來自于外部，絕大多網絡安全事件來自于以內部客戶端為跳板進行的網絡攻擊。當企業內部存在有惡意的攻擊者，他們就能較好的規避防火墻等安全設備的安全策略，并把安全策略轉向對于他們有利的一面，對內部網絡進行攻擊。同時外部的黑客，也能通過木馬，能讓內部用戶運行他們指定的程序，操縱主機，竊取數據，這些都源于當前的信息網絡建設對來自網絡內部攻擊防護較為薄弱，同時對內部網絡準入控制把控力度做得較為不足，雖部署有桌面終端管理系統，但在相應策略部署上，沒有及時到位，而該系統特殊的技術阻斷方式，也在一定程度容易導致其阻斷率無法達到100%。

（四）網絡安全建設應急機制不健全

目前地市信息網絡安全建設更多的是重視的日常安全巡檢等日常檢查工作，但是對網絡突發事件的應急處置則較為欠缺，地市網絡安全建設應急機制建立不健全，缺乏相應網絡事故應急預案及相關演練，對突發情況的應變不熟練，導致出現突發的網絡安全事故時則會變得手忙腳亂，無法很好應對突發事件帶來的異常，促使事故造成的損失愈發嚴重，同時沒有良好的容災備份機制，一旦信息安全事故發生，是否能快速有效的恢復關鍵數據成為疑問。

二、針對當前網絡安全建設現狀的一些建議

針對當前地市煙草信息網絡安全建設過程中存在的問題，通過一定的分析總結，參照最新的技術規范及管理理念，以及上級的制度規定，我們試提出以下幾條改進建議，以達到全面提升信息網絡安全建設實用性、科學性、全面性、穩定性的效果，具體如下：

（一）加強網絡安全設備采購的前期規劃及合理配置實用

網絡安全設備的采購應加強前期規劃及需求分析工作，不能無目的，無原則的一味追求高新設備，當前的現狀是各地市對網絡安全的設備采購均存在著檔次及匹配性問題，存在過大及追高的弊病，形成投資浪費，同時由于項目管控能力較弱，前期規劃不足，購置的設備在配置實施后等不到很好的使用，或起不到原先預想的效果。因此要加強項目前期規劃，做好需求調研與需求分析工作，對網絡安全設備應起到的效果及采購設備級別有準確的預估，加強采購項目的整體實施管控，并重點關注設備采購后的實施上線工作，做好安全策略的制定和部署，要充分利用設備、活用設備，充分達到應起的效用，在設備正式上線運行后，要做好安全防護策略的及時更新與修訂，作好安全設備的日常巡檢工作，保證安全設備始終發揮作用，而不是上線運行一段時間后就閑置不管。通過對購置網絡安全設備活用、善用，提升資產投資價值，搭建堅固穩妥信息網絡安全環境，促進信息網絡安全建設的實用性。

（二）建立完善的信息網絡安全日常管理體系

加強網絡安全建設的日常管理工作，應以培養員工的良好的網絡安全習慣為工作重點。所謂信息網絡安全建設“三分技術，七分管理”，管理到位，信息網絡安全建設也將事半功倍。一味單純的依靠技術進行網絡安全防護，而管理上存在漏洞，再強大的技術也將一無所用。好的技術，加上完善嚴密的管理，才能確保信息網絡安全、堅固、穩妥。因此要注重建立完善信息安全管理保障體系，加強安全監管和信息安全等級保護工作，要對網絡設備的安全性和信息安全專用產品實行強制認證。同時在加強對員工日常信息安全理念培訓的同時，要與接入網內的計算機終端使用者簽訂信息安全責任狀，樹立“誰使用、誰負責”、“誰管理、誰負責”的信息安全理念，嚴格落實信息安全責任制，確保員工不敢輕易觸碰信息安全底限，養成良好信息網路安全使用習慣。通過建立全面多級信息網絡安全管理體系，增進信息網絡建設的科學性。

（三）加強信息網絡安全建設對內防護工作

地市公司目前均在互聯網出口及邊界架設了硬件防火墻等安全設備，但由于防火墻的特殊技術架構，其對內部通過防火墻外部的數據是不進行檢測的，這就導致黑客可以利用內網主機上的后門程序，建立隱蔽信道，攻破防火墻，因此其在抵御外部攻擊上起到較好作用，但面對來自網絡內部的攻擊就顯得束手無策，針對這一情況，在進行信息網絡安全建設的同時，應重點加強信息網絡安全的內部防護工作，而加強對客戶端的上網行為審計及網絡準入控制，就成了加強信息網絡內部安全建設的必然選擇。客戶端接入網絡的同時，通過對其安全狀況及授權情況進行檢測，只有安全狀況符合要求，得到合理授權的客戶端才能正常接入辦公網絡。應在互聯網出口處，防火墻之前，部署上網行為管理設備，對客戶端出互聯網的數據進行檢測及篩選，降低客戶端進行危險的互聯網訪問，感染病毒，遭受攻擊的分險。通過加強信息網絡安全建設的內部防護，提升信息網絡安全的全面性。

（四）加強信息網路安全建設應急機制建設及演練

要加強信息網絡安全建設的應急機制建設，加強應急預案的實施演練，增強對網絡安全突發事件的應急處理能力。每年應進行定期仿真度高的應急方案演練，模擬網絡安全事故發生時可能發生的情況，進行針對性演習。在方案演練前，要做好演練前期的方案策劃，演練過程的完全記錄，演練過后的總結分析工作。并以此來不斷改進現有的應急預案。同時應做好容災備份工作，進行關鍵網絡設備的冗余配置及重要數據庫的備份工作，確保發生突發事件后，能夠及時進行網絡及數據恢復工作，將突發事件帶來的影響降到最低，不過多的影響正常辦公業務的開展，確保信息網絡安全的穩定性。

四、結束語

煙草是個比較特殊的行業，在專賣體制下實行“統一領導?垂直管理?壟斷經營”，處于一種行政限產型的壟斷狀態。行業的特殊性要求我們必須克服特殊體制帶來的缺陷，高效的開展行業信息化建設工作。地市信息網絡安絡，作為全省信息網絡的組成部分，其信息安全建設水平決定了全省信息網絡安全性與穩定性，其重要性不言而喻，只有重視信息網絡安全建設，重視當前信息網絡安全建設過程中發現的問題，通過科學的規劃，合理的布局，周密的實施，去逐漸改變當前的不利局面，才能確保信息網絡安全建設的科學性、全面性、穩定性與實用性，確保日常信息網絡的平穩運轉，為全行業的快速發展提供穩定強大的信息化助力！

參考文獻：

[1]福建省煙草公司.計算機網絡建設與管理規范[Z].2012.

[2]盧昱，王宇.信息網絡安全控制[M].北京：國防工業出版社，2011.

[3]林幼槐.信息通信網絡建設安全管理概要[M].北京：人民郵電出版社，2012.

[作者簡介]楊標（1985.09-），男，福州人，任職于寧德煙草信息中心，助理工程師，主要研究方向：信息化網絡安全建設