烟草企业网络系统安全建设

沈磊 张勇

(1.贵州中烟工业有限责任公司毕节卷烟厂,贵州毕节 551700;2.贵州中烟工业有限责任公司,贵州毕节 551700)

0 引言

目前,在大数据环境下,烟草企业网络安全正面临着严峻的挑战,提高烟草企业网络安全防范策略的研究力度势在必行[1]。基于此,烟草企业网络系统应势而生,其安全建设的水平直接影响安全性能高低。在我国,以往针对烟草企业网络系统安全建设的研究中,主要以上网行为管理、监测等为主,但传统系统在实际应用中存在安全系数低的问题,由于其系统的安全建设并未落到实处,发挥出其预期的作用[2]。本文设计烟草企业网络系统,从硬件以及软件两方面,进行安全建设,致力于从根本上提高系统的安全系数,为确保烟草企业网络安全贡献力量。

1 烟草企业网络系统硬件设计

1.1 以太网

本文在系统硬件部分优化设计以太网,在传统的基础上,采用双绞线将烟草企业网络与交换机的连接,通过级联的方式扩展网络规模[3]。采用光纤以点到点链路的方式,连接所有硬件电缆,形成星型结构,设计KOP20559以太网串口转换模块将数据信号转化为烟草企业网络信号,构造成完整的系统硬件载体环境。

图1 防火墙端口设置示意图Fig.1 Schematic diagram of firewall port setting

1.2 防火墙端口设置

在设计以太网的基础上,为保证烟草企业网络安全,设置防火墙端口。本文设置的防火墙端口具有包过滤功能,为烟草企业以太网提供保护屏障。防火墙端口设置示意图,如图1所示。

结合图1所示,本文设置的防火墙端口,能够阻止外部对烟草企业网络的攻击行为,并通过IDS加以记录。一旦遭受外部攻击,防火墙端口可以通过判断CPU负载指数的方式,衡量烟草企业网络的运行情况。通过此硬件设计,为烟草企业网络系统安全建设提供第一层屏障。

2 烟草企业网络系统软件设计

2.1 转换烟草企业网络安全态势映射

在系统软件设计中,本文通过转换烟草企业网络安全态势映射的方式,以关联性为前提,将烟草企业网络元素转换为烟草企业网络安全态势映射。以此,转换烟草企业网络安全态势映射。转换烟草企业网络安全态势映射流程,如图2所示。

根据图2所示,设u为烟草企业网络系统中所有信息的集合,其中包含若干个烟草企业信息。假定该集合会受到外部的攻击,而转换烟草企业网络安全态势映射最重要的意义在于,通过烟草企业网络安全态势映射能够提前感应到此攻击行为。因此,转换网络安全态势映射函数必须建立在提高对系统网络安全态势感知敏感性的基础上,设计转换目标函数,则其算法,如公式(1)所示。

在公式(1)中,NET-X指的是映射参数;NET-F指的是烟草企业网络信息权重。通过公式(1),转换烟草企业网络安全态势映射,为下文计算烟草企业网络安全态势值提供数据支持。

2.2 计算烟草企业网络安全态势值

烟草企业网络在运行过程中,为防止烟草企业网络安全遭受破坏,必须运用公式精准计算烟草企业网络安全态势值。以此为依据,判断烟草企业网络中所蕴含的风险。设j类受到的网络攻击表示为aj,则j类烟草企业网络安全态势值的计算表达式为ri(t),则其计算公式,如公式(2)所示。

在公式(2)中,β指的是烟草企业网络覆盖范围;n指的是烟草企业网络信息通道数量,为实数;i指的是烟草企业网络信息总量;x指的是烟草企业网络遭受攻击成功抵抗率。在得出公式(2)的基础上,设烟草企业网络系统在t时间段受到j类攻击的安全态势值为rij(t),则其计算公式,如公式(3)所示。

图2 转换烟草企业网络安全态势映射流程Fig.2 Transformation of network security situation mapping process in tobacco enterprises

通过公式(3)可以得出,烟草企业网络安全态势值。

2.3 划分烟草企业网络安全防护等级

以计算得出的烟草企业网络安全态势值为依据,划分烟草企业网络安全防护等级。根据烟草企业网络信息安全等级防护2.0要求,将烟草企业网络信息安全防护等级按照九级分制划分,其等级分别为最重要、非常重要、重要、较重要、相等、较不重要、不重要、非常不重要、最不重要,对应的评估值为:10、8、6、4、2、1/4、1/6、1/8、1/10,根据评估矩阵得到烟草企业网络信息安全防护等级,设烟草企业网络信息安全防护等级划分矩阵表达式为Z,则有公式(4)。

公式(4)中,a表示为评价指标,根据以上公式计算,划分烟草企业网络安全防护等级。以烟草企业网络安全防护等级为首要前提,制定烟草企业网络安全防护策略。

2.4 实现烟草企业网络安全建设

结合上述研究内容,本文基于OSI参考模型,建立烟草企业网络OSI安全系统,实现烟草企业网络安全建设。OSI参考模型,如图3所示。

结合图3所示,本文基于OSI参考模型建立烟草企业网络OSI安全系统。本文只选用其中子网内部协议中的三层进行体系的建立。利用OSI参考模型将体系中复杂的问题进行详细的划分,分解为若干个小问题解决,从而减小烟草企业网络安全防护问题的难度,确保烟草企业网络各个节点的信息安全。与此同时,OSI参考模型具备数据备份的功能,能够对烟草企业网络中的信息加以安全备份,最大限度保证烟草企业网络中信息的完整性,防止丢失。以此,实现烟草企业网络安全建设。

图3 OSI参考模型Fig.3 OSI reference model

表1 烟草企业网络信息参数Tab.1 Network information parameters of tobacco enterprises

表2 安全系数对比结果Tab.2 Safety factor comparison results

3 实例分析

3.1 实验准备

实验以某烟草企业作为实验对象,假定在该烟草企业的网络中存在恶意侵犯行为,在此基础上,针对此恶意侵犯行为建设烟草企业网络安全系统。烟草企业网络的基本信息参数,详见表1。

结合表1所示,首先使用本文设计系统,防护烟草企业网络信息安全,通过matlab软件记录其安全系数,记为实验组;再使用传统系统,防护烟草企业网络信息安全,通过matlab软件记录其安全系数,记为对照组。本文实例分析中,选取的对比指标为两种系统的安全系数,该系统对烟草企业网络信息防护的安全系数越高,证明其安全防护能力越强,共设置5次攻击行为,记录两种系统下的安全系数。

3.2 实验结果与分析

整理实验结果,如表2所示。

通过表2可得出如下的结论,本文设计的系统安全系数明显高于对照组,具有实际应用价值。

4 结语

本文通过实例分析的方式,证明了设计系统在实际应用中的适用性,以此为依据,证明此次优化设计的必要性。因此,通过本文设计,能够解决传统烟草企业网络系统安全建设中存在的缺陷。但本文同样存在不足之处,主要表现为未对本次系统安全系数测定结果的精密度与准确度进行检验,进一步提高系统安全系数测定结果的可信度。