煙草企業網絡系統安全建設

沈磊 張勇

(1.貴州中煙工業有限責任公司畢節卷煙廠,貴州畢節 551700;2.貴州中煙工業有限責任公司,貴州畢節 551700)

0 引言

目前,在大數據環境下,煙草企業網絡安全正面臨著嚴峻的挑戰,提高煙草企業網絡安全防范策略的研究力度勢在必行[1]。基于此,煙草企業網絡系統應勢而生,其安全建設的水平直接影響安全性能高低。在我國,以往針對煙草企業網絡系統安全建設的研究中,主要以上網行為管理、監測等為主,但傳統系統在實際應用中存在安全系數低的問題,由于其系統的安全建設并未落到實處,發揮出其預期的作用[2]。本文設計煙草企業網絡系統,從硬件以及軟件兩方面,進行安全建設,致力于從根本上提高系統的安全系數,為確保煙草企業網絡安全貢獻力量。

1 煙草企業網絡系統硬件設計

1.1 以太網

本文在系統硬件部分優化設計以太網,在傳統的基礎上,采用雙絞線將煙草企業網絡與交換機的連接,通過級聯的方式擴展網絡規模[3]。采用光纖以點到點鏈路的方式,連接所有硬件電纜,形成星型結構,設計KOP20559以太網串口轉換模塊將數據信號轉化為煙草企業網絡信號,構造成完整的系統硬件載體環境。

圖1 防火墻端口設置示意圖Fig.1 Schematic diagram of firewall port setting

1.2 防火墻端口設置

在設計以太網的基礎上,為保證煙草企業網絡安全,設置防火墻端口。本文設置的防火墻端口具有包過濾功能,為煙草企業以太網提供保護屏障。防火墻端口設置示意圖,如圖1所示。

結合圖1所示,本文設置的防火墻端口,能夠阻止外部對煙草企業網絡的攻擊行為,并通過IDS加以記錄。一旦遭受外部攻擊,防火墻端口可以通過判斷CPU負載指數的方式,衡量煙草企業網絡的運行情況。通過此硬件設計,為煙草企業網絡系統安全建設提供第一層屏障。

2 煙草企業網絡系統軟件設計

2.1 轉換煙草企業網絡安全態勢映射

在系統軟件設計中,本文通過轉換煙草企業網絡安全態勢映射的方式,以關聯性為前提,將煙草企業網絡元素轉換為煙草企業網絡安全態勢映射。以此,轉換煙草企業網絡安全態勢映射。轉換煙草企業網絡安全態勢映射流程,如圖2所示。

根據圖2所示,設u為煙草企業網絡系統中所有信息的集合,其中包含若干個煙草企業信息。假定該集合會受到外部的攻擊,而轉換煙草企業網絡安全態勢映射最重要的意義在于,通過煙草企業網絡安全態勢映射能夠提前感應到此攻擊行為。因此,轉換網絡安全態勢映射函數必須建立在提高對系統網絡安全態勢感知敏感性的基礎上,設計轉換目標函數,則其算法,如公式(1)所示。

在公式(1)中,NET-X指的是映射參數;NET-F指的是煙草企業網絡信息權重。通過公式(1),轉換煙草企業網絡安全態勢映射,為下文計算煙草企業網絡安全態勢值提供數據支持。

2.2 計算煙草企業網絡安全態勢值

煙草企業網絡在運行過程中,為防止煙草企業網絡安全遭受破壞,必須運用公式精準計算煙草企業網絡安全態勢值。以此為依據,判斷煙草企業網絡中所蘊含的風險。設j類受到的網絡攻擊表示為aj,則j類煙草企業網絡安全態勢值的計算表達式為ri(t),則其計算公式,如公式(2)所示。

在公式(2)中,β指的是煙草企業網絡覆蓋范圍;n指的是煙草企業網絡信息通道數量,為實數;i指的是煙草企業網絡信息總量;x指的是煙草企業網絡遭受攻擊成功抵抗率。在得出公式(2)的基礎上,設煙草企業網絡系統在t時間段受到j類攻擊的安全態勢值為rij(t),則其計算公式,如公式(3)所示。

圖2 轉換煙草企業網絡安全態勢映射流程Fig.2 Transformation of network security situation mapping process in tobacco enterprises

通過公式(3)可以得出,煙草企業網絡安全態勢值。

2.3 劃分煙草企業網絡安全防護等級

以計算得出的煙草企業網絡安全態勢值為依據,劃分煙草企業網絡安全防護等級。根據煙草企業網絡信息安全等級防護2.0要求,將煙草企業網絡信息安全防護等級按照九級分制劃分,其等級分別為最重要、非常重要、重要、較重要、相等、較不重要、不重要、非常不重要、最不重要,對應的評估值為:10、8、6、4、2、1/4、1/6、1/8、1/10,根據評估矩陣得到煙草企業網絡信息安全防護等級,設煙草企業網絡信息安全防護等級劃分矩陣表達式為Z,則有公式(4)。

公式(4)中,a表示為評價指標,根據以上公式計算,劃分煙草企業網絡安全防護等級。以煙草企業網絡安全防護等級為首要前提,制定煙草企業網絡安全防護策略。

2.4 實現煙草企業網絡安全建設

結合上述研究內容,本文基于OSI參考模型,建立煙草企業網絡OSI安全系統,實現煙草企業網絡安全建設。OSI參考模型,如圖3所示。

結合圖3所示,本文基于OSI參考模型建立煙草企業網絡OSI安全系統。本文只選用其中子網內部協議中的三層進行體系的建立。利用OSI參考模型將體系中復雜的問題進行詳細的劃分,分解為若干個小問題解決,從而減小煙草企業網絡安全防護問題的難度,確保煙草企業網絡各個節點的信息安全。與此同時,OSI參考模型具備數據備份的功能,能夠對煙草企業網絡中的信息加以安全備份,最大限度保證煙草企業網絡中信息的完整性,防止丟失。以此,實現煙草企業網絡安全建設。

圖3 OSI參考模型Fig.3 OSI reference model

表1 煙草企業網絡信息參數Tab.1 Network information parameters of tobacco enterprises

表2 安全系數對比結果Tab.2 Safety factor comparison results

3 實例分析

3.1 實驗準備

實驗以某煙草企業作為實驗對象,假定在該煙草企業的網絡中存在惡意侵犯行為,在此基礎上,針對此惡意侵犯行為建設煙草企業網絡安全系統。煙草企業網絡的基本信息參數,詳見表1。

結合表1所示,首先使用本文設計系統,防護煙草企業網絡信息安全,通過matlab軟件記錄其安全系數,記為實驗組;再使用傳統系統,防護煙草企業網絡信息安全,通過matlab軟件記錄其安全系數,記為對照組。本文實例分析中,選取的對比指標為兩種系統的安全系數,該系統對煙草企業網絡信息防護的安全系數越高,證明其安全防護能力越強,共設置5次攻擊行為,記錄兩種系統下的安全系數。

3.2 實驗結果與分析

整理實驗結果,如表2所示。

通過表2可得出如下的結論,本文設計的系統安全系數明顯高于對照組,具有實際應用價值。

4 結語

本文通過實例分析的方式,證明了設計系統在實際應用中的適用性,以此為依據,證明此次優化設計的必要性。因此,通過本文設計,能夠解決傳統煙草企業網絡系統安全建設中存在的缺陷。但本文同樣存在不足之處,主要表現為未對本次系統安全系數測定結果的精密度與準確度進行檢驗,進一步提高系統安全系數測定結果的可信度。