新技术应用环境下的信息安全管理及保护技术研究

薛绍松

摘要：随着烟草行业的发展，其内部信息系统的安全性存在着很大的问题，这对烟草行业的发展造成了很大的威胁，也是全球热议的一个话题。所以，提高烟草行业的信息安全管理意识，保护内部信息资产，加强信息安全的管理势在必行。在信息安全的管理中，安全基线的建设是重要的一个环节，如果信息安全机制不健全，将无法顺利的进行商业活动。因此，本文先从烟草行业信息安全面临的威胁入手，分析烟草行业信息安全管理的模型与内容，并对新技术应用环境下烟草行业的信息安全管理及保护技术进行探讨，提出解决办法和管理措施，保证烟草行业的信息安全，以有效的推动烟草行业的发展。

关键词：烟草行业；信息安全；管理模型；安全管理；保护技术；管理措施；评价

随着科技的进步，互联网的应用越来越普及化，信息技术发生巨大的改变，企业中充分发挥计算机信息系统的作用迫在眉睫。目前，烟草行业的信息安全性存在很大的隐患，信息的泄露会严重影响烟草行业的发展，为了保证行业内部信息的安全，这就需要企业对信息安全的管理加强力度，有效的控制信息的流通，使得信息的可控性、操作性、完整性得到有效的保护。一个企业要想持续发展下去，都是需要以信息作为支撑的，信息作为一种资产，需要企业妥善管理，否则，就可能出现各种灾难性的打击。由此可见，新技术应用环境下烟草行业信息安全的管理刻不容缓，需要企业针对每个环节严格进行把控，避免各种各样的漏洞和疏忽。计算机信息安全都是依靠安全设备，比如防火墙、VPN、人侵检测系统、防病毒系统等，并结合一些认证关键技术，比如访问控制技术、数字签名技术、身份认证技术等，在这些基础上再制定一些加强信息管理的安全措施，以达到信息的安全保护，保证企业安全健康的发展。

一、烟草行业信息安全面临的威胁

（一）信息系统的脆弱性

目前，烟草行业对于信息的管理工作加入了很多应用系统，比如省局商业系统、国家局的1号工程系统、网上订货系统、科学营销系统、卷烟经营决策系统等，其复杂度越来越高，与这些系统相关的行业或企业也逐步拓宽，如生产和加工、银行、税务单位等，这些往来关系在合作过程中扮演着各种各样的角色，因此，在烟草行业中的信息管理相关用户也越来越复杂，呈现多样性，比如员工、零售商铺、消费者、烟农等。这些系统、相关行业、用户，都随着烟草业务的需求不断的增加，逐步扩大服务范围，使得烟草行业信息系统的接触人员越来越复杂，这样的情况下，信息系统的开发周期变短，系统测试不严谨，出现的疏忽和漏洞在一定程度上扩大了信息系统的脆弱性，使得烟草行业的发展受到威胁。

（二）安全威胁的多样性

随着我国科学技术的发展，便携式移动设备如智能手机、PAD、平板电脑等互联网终端的广泛应用，使得原来的有线网络慢慢遗弃，网络边界没有明显界限，这种不确定性造成了行业中的信息安全受到一定威胁，烟草行业的系统也不例外。烟草行业的数据也通过网络应用存储数据，进行办公，但是烟草行业信息安全工作太过于注重技术，在信息管理上存在很大漏洞，操作性不强，有的信息安全设备并没有充分发挥其功能，参数的设置不合理，监控工作不够严格，没有一套系统的管理制度，员工在实际工作中对账户的管理、应用系统的管理、数据的保密等工作没有彻底落实，给行业的网络信息系统埋下隐患。此外，烟草行业内部的员工在工作中，上网习惯和工作习惯不规范，使用的密码和口令易破解，安全性非常低，对外部邮件、不明网站的警惕性不够高，使得烟草行业内部的信息易泄露，这些都将使得烟草行业信息的安全面临严峻的威胁。

（三）安全威胁的复杂性

信息技术的应用在人类生活中已经随处可见，为人类在日常生活中、工作中提供便利，但也无法避免信息的安全性，行业内外部都存在很多风险。烟草行业有着自己的局域网和信息系统，这些系统相互合作，为企业的发展提供支持的同时，也大大增加了信息安全的风险，比如员工的思想被不良信息所影响，员工岗位职位的频繁变化、信息拦截、垃圾邮件等，这些都会使得行业内部的安全不可控。同时，为了方便员工访问行业内部网站，通过VPN来实现，不可避免会连接其它的存储设备，电脑的维修也需要外部维修人员介入，这样内外网络不停地进行互通，就可能受到病毒、木马、黑客等不良系统的攻击，一旦企业内部的系统受到干扰和威胁，信息系统很有可能中断或者系统瘫痪，这无疑会给企业带来严重的损害。

二、烟草行业信息安全管理模型与内容

烟草行业信息安全管理模型从静态模型转变为动态的模型，静态模型一般是单机系统采用的，无法充分的显示分布的、动态变化的网络信息安全状况，而动态模型的可适应性比较高，如PDR、PPDR、P2OTPDR2 和 WPDRRC 等模型都可以动态的抵制外部网络恶意的破坏和攻击，这些模型并不否定安全风险的存在，但是可以及时发现侵袭行为，尽最大可能的抵制和消灭由于漏洞造成的外部网络的攻击，使得安全风险系数降低。下面我们将典型的两个安全模型进行阐述，第一，P2OTPDR2模型。P2OTPDR2模型中的P2是Policy（策略）和People（人）、O是Operation（操作）、T是Technology（技术）、P是Protection（保護）、D是Detection（检测）、R2是Response（响应）和Restore（恢复），P2OTPDR2 模型分为核心层、中间层、外围层三个层次，核心层就是安全策略，指导着整个安全系统的设计、执行、维护、改进等环节，是系统活动的执行方针。中间层包括三个要素，人、技术、操作，这三个是整个系统的骨架，所有的安全内容都是围绕这三点制定的。外围层包括防护、检测、响应、恢复四个环节，中间层的三个要素在这四个环节中都有渗透，构成完整的信息安全系统；第二，WPDRRC模型。WPDRRC模型中的W是Warning（预警）、P是Protection（防护）、D是Detection（检测）、RR是Response（响应）和Restore（恢复）、C是Counterattack（反击）。该模型是我国863信息安全专家组提出的模型，该模型能够适应中国国情的信息安全保障体系建设，WPDRRC模型在PDRR的基础上加入了预警和反击的功能，构成了六个环节，有一定的动态性，及时预警信息系统的安全，并作出反击行为。三大要素是人、策略和技术，在六大环节中都有渗透，使得安全的策略得以实现。endprint

三、新技术应用环境下的烟草行业信息安全管理及保护技术

（一）关键技术

1.访问控制技术

访问控制技术是保证烟草行业网络信息安全的重要技术之一，访问控制由主体、客体、访问控制策略这三者构成。主体是指发出请求的实体，但它并不一定为行动执行者，它可以是用户、程序等实体，实体又可以是物理设备、文件、内存、进程等；客体是指实体访问的对象，它可以是信息、资料和对象。在网络信息系统中，信息、文件、硬件设备都可以作为客体，且可相互包含；访问控制策略是指主体操作客体约束条件的集合，也就是访问规则集，规则集中的主体对客体的行为与客体对主体的约束进行直接定义，该策略是一种授权行为，对客体与主体之间的行为设置了权限。但是烟草行业系统的访问用户庞杂，呈动态变化，一般都是选用基于角色的访问控制模型，以防止主体直接拥有访问权限。

2.数字签名技术

数字签名技术是烟草行业另一个重要技术。该技术是可以实现认证和非认证的一种方法，数字签名认证技术可以对一个人进行数据和身份的认证，而不是进行否认。该技术是不对称加密算法应用的典型，数字签名技术的实施过程是，发送方将数据用私钥进行数据校验或者对数据有关的变量进行加密，实现数据的“签名”，但是需要发送方向接收方提供公钥，而且要严格对自己的私钥进行保密，数据的接受端通过对方提供的公钥对收到的“数字签名”进行解读，并对解读结果进行检验，实现签名的合法认证。在网络信息系统中，是一个虚拟环境，因此，数字签名技术是确认身份的一项重要技术，可以完全替代现实生活中的亲笔签名的过程，且在技术上、法律上都有一定的保证。

3.身份认证技术

身份认证技术是在虚拟世界里认证操作者身份的一项技术。在网络计算机系统中，用户的身份信息使用特定的数据来表示的，所以，计算机识别的是用户的数字身份信息，以数字身份的授权来实现身份认证。在现实中，我们每个人拥有的是物理身份，且是独一无二的，那么怎样才能保证我们的物理身份与数字身份相一致？身份认证技术的几个常用技术解决了这个问题，比如传统的基于口令的身份认证、基于PKI体制的数字证书认证技术等。基于口令的身份认证是指当需要被认证的对象要进行访问认证方时，就需要被认证方提供口令，认证方接收到口令后，将其口令与网络信息系统中的口令进行对照，确认身份的合法性，此认证技术一般用于较封闭的小型系统，或者对安全性没有高要求的系统。而对于大型网络系统，或是安全性有高要求的系统，企业通常采用基于PKI体制的数字证书认证技术，该技术是将公钥理论的应用和技术的建立作为基础设施，能有效的解决真实性、安全性等安全问题。

（二）管理措施

信息安全的管理，是必须要重视的问题。黑客、木马等不良信息的入侵，会给企业的发展造成重大损失，因此，烟草行业必须采用先进的防火墙技术，保护信息的安全，隔离外部的网络信息，减少攻击条件，加大信息保密的力度。很多烟草行业没有防范意识，对日志和审查制度没有给予高度的重视，使得网络中对日志功能的使用出现纰漏，导致信息泄露，引起严重的信息安全事故，损失也无法估量和挽回，而且一旦出现事故，追究不到责任人，所以，在信息网络这个大环境中，必须安全使用日志功能，对使用和退出网络的成员进行详细登记，确保使用用户的身份合法、操作合法，对拥有极大权限的账号进行实时监测，对多次出现密码错误的现象，做好相应的保护工作，比如，限制登录等措施，防止超级权限用户的泄密，对于所有人员的操作进行跟踪监测，一旦发现可疑人员进入内部网络系统时，要立即采取相应的措施，最大程度的减少企业损失。

四、管理成效与评价

通过对以上模型和安全保护技术的分析，我们可以看出，烟草行业使用P2OTPDR2 模型得较少，缺乏预警和反击功能，使得烟草行业的系统安全受到一定威胁，信息安全得不到保障。如果使用WPDRRC模型，又缺乏安全策略，无法落实到“以人为本”的理念，管理制度出现空子。我们需要将信息安全管理问题落实到人、技术和操作上，完善企业内部的各项管理制度，保障信息安全，在企业内设立专业的管理小组，对系统的维护、技术的规划、用户使用规范的培训等项目进行分组管理，主负责人要将业务能力的提高落实到每个组员的身上去。企业也通过成立顾问团队，第一时间获得了业界的动态，与外界合作商、服务商等部门进行沟通，交流信息保护的经验，增强业务知识，并根据实际情况邀请专业的专家组进行现场授课和培训。此外，通过对企业的运作情况进行阶段性的总结，效果的反映，会议记录，工作方法等事项的整理，为下一期的工作提供了科学的指导作用，使得烟草企业的信息安全在管理上取得了明显效果和效率。目前，信息安全策略的有效实施，使得网络使用用户的不规范行为得到遏制，保护了用户终端的安全，减少了PC的维护工作量。

结语

总而言之，信息的安全问题是每个企业长久发展不容忽视的关键问题，要想保证烟草行业顺利的发展，在充分利用网络带来的种种便利下，加强杜绝网络侵害现象的发生，重视烟草行业信息的安全防控，同时要建立一套长效的安全机制，以保证商业活动的顺利开展。在新技术的应用环境下，烟草行业信息安全管理的工作要想得到有效的实施，就要从烟草行业信息安全所面临的威胁方面入手。本文通过对网络安全的各項技术进行深入研究，分析了烟草行业信息系统的脆弱性，信息安全威胁的多样性和复杂性，并以烟草行业信息安全的管理模型作为理论指导，进一步实现安全防护工作，并对一些信息安全管理的关键技术加以应用，结合实际的工作经验，全程保障网络信息用户的合法登录和操作，保证烟草行业信息的安全，为烟草行业的顺利发展提供安全的运作环境。

参考文献：

[1]李益文.湖南省烟草商业系统信息安全运维管理体系建设的思考[J].湖南烟草，2009，（S1）.

[2]沈昌祥.关于强化信息安全保障体系的思考.北京：信息安全与通信保密，2003（6）：15-17.

[3]杨欣.烟草行业信息安全应对策略探讨[J].中小企业管理与科技，2013，5.

[4]陈宇明.烟草行业信息安全管理的研究与探索[J].计算机安全，2011，9.

[5]肖峰.烟草信息安全风险分析及策略控制[J].现代商业，2015（23）：53-54.

[6]吴辉.浅谈企业信息安全管理方案[J].科技情报开发与经济，2010（25）：109-111.endprint