大数据背景下的烟草工业企业网络安全的探究
2019-05-13汪小毅
汪小毅
摘 要: 随着大数据技术在烟草工业企业中逐步推广,网络安全问题日益成为企业关注的焦点。文章检查了烟草工业企业中存在的主要网络安全问题,分析其原因,对烟草工业企业在访问控制、入侵检测、病毒防治、日志审计、数字加密、管理制度等方面的策略进行了分析和探究,从技术角度、管理角度提出了针对性的对策。研究表明,这些对策的综合应用,能够有效提高烟草工业企业网络安全防护水平。
关键词: 大数据; 烟草工业; 网络安全; 防护技术
中图分类号:TP393.1;TP393.4 文献标志码:A 文章编号:1006-8228(2019)03-19-04
Research on network security of tobacco industry enterprises
in the background of big data
Wang Xiaoyi
(Information Center, China Tobacco Anhui Industrial Co. Ltd., Hefei, Anhui 230000, China)
Abstract: With the gradual promotion of big data technology in tobacco industry enterprises, network security has increasingly become the focus of attention. This paper investigates the main network security problems existing in the tobacco industry enterprises, analyzes the reasons. Some corresponding countermeasures are put forward from the perspective of technology and management angle, including access control, intrusion detection, virus prevention, log audit, digital encryption, and the strategy of management system and so on. The research shows that the comprehensive application of these countermeasures can effectively improve the level of network security protection of tobacco industry enterprises.
Key words: big data; tobacco industry; network security; protection technology
0 引言
如今大数据已被广泛应用于社会各个行业和领域,产生了巨大的影响。通过对大数据的分析和挖掘,能够有效地为政府和企业的业务决策提供支持,让服务可以更好地满足各种需求。但是,在大数据背景下网络信息高度动态共享的管理模式,使其在存储、传输、处理、销毁等过程中均面临着突出的安全威胁[1],全国诸多行业相继出现了因网络信息保护不力而导致的信息泄露、网络诈骗、网络监听等事件。烟草工业企业本身已经部署了众多应用,具备大数据应用的特征,在信息集成过程中又形成了复杂的网络拓扑结构[2],在信息的生成、传输、存储与处理中遇到了各种新问题,一些网络安全事件的发生给烟草工业企业的网络安全防护工作敲响了警钟。因此,研究和制定一系列合理、有效的网络安全防护策略和措施,显得格外重要。
1 大数据时代的烟草工业企业网络安全问题的现状
自2017年《网络安全法》实施以来,政府以及各行各业对网络安全工作的重视都达到了空前的高度,烟草工业企业更是如此,当然,这与国家烟草专卖局对烟草工业企业的高标准严要求是密切相关的[3]。
2018年是烟草工业企业网络安全工作元年,网络安全工作有了新的定位,网络安全的责任主体发生了变化,网络安全工作有了更高的要求。现阶段烟草工业企业网络安全防护不力的现象普遍存在。一方面网络安全防护意识淡薄,网络安全防护资金难以保证,重口头,轻落实;另一方面网络安全技术人员匮乏,以编制为托词,网络安全专职人员很难到位,即使到位,技术力量也比较薄弱。总之,大數据背景下的烟草工业企业网络安全工作依然严峻,网络安全漏洞攻击、网络信息泄漏、员工信息、消费者信息泄露等情况随时可能出现。考察当前烟草工业企业的网络安全问题,主要从以下几个方面。
1.1 个人及消费者隐私信息的泄露
烟草工业企业品牌及业务信息多,工商零数据库、消费者数据库、中间数据库信息量巨大。除了这些静态数据外,企业各业务系统都会产生大量的移动消费者信息数据和逐日动态数据,其中难免会涉及到个人重要信息。烟草工业企业对外发布信息时,假如对涉及个人隐私的身份证号码、手机号码、微信号码、QQ号等关键信息没有做脱敏处理,就存在消费者个人信息泄露的风险;一些内网数据库本身存在安全漏洞,一旦遭受网络攻击,极易造成批量的用户信息数据被窃取、破坏等,造成不可估量的后果[4]。
1.2 网络安全管理操作不够规范
人们常说,三分技术,七分管理,网络安全工作更是如此,网络安全工作的关键在于员工的安全意识和规范操作,其中人的因素至关重要。在烟草工业企业网络安全管理中可能存在不规范的操作。①对企业网中核心网络设备、主机的日常运维工作没有严格按照规定执行,导致网络中存在系统漏洞和木马病毒等问题。②对信息系统和设备的密码管理不到位,信息系统的“默认密码”和“弱密码”现象仍然存在,操作人员密码管理意识不强,对密码的定期更新不够重视,潜在增加了网络的安全隐患。③企业网内部员工违规转借账号及密码。④企业内信息系统没有按照网络安全要求进行双因子方式身份认证。⑤对网络中重要数据的文档安全保护意识不强,时常利用QQ、微信等网络通信工具传输包含本企个人及消费者个人的重要信息、信息系统账号密码等关键信息数据。这些不规范的操作都大大增加了信息数据泄露的风险。
1.3 网络黑客的攻击
互联网是自由的,其接入方式呈现层次增多、方式多样化的趋势,只能依赖各个接入点来进行安全控制,无线WIFI等接入方式也带来较大的安全风险。在大数据背景下,烟草工业企业的网络中包含结构化和非结构化的大量数据,网络设备、主机及网内计算机等都可能存在一定的系统漏洞,而漏洞一旦被网络黑客掌握和利用,企业网就极有可能受到网络攻击。攻击有口令入侵、特洛伊木马、WWW欺骗、电子邮件、节点攻击、网络监听、黑客软件、安全漏洞、端口扫描等方式。一种是篡改信息数据的主动攻击,是攻击者访问所需要信息的故意行为。另一种是窃取和监控网络数据的被动攻击,主要是收集信息而不访问,数据的合法用户对这种活动很难察觉。无论是主动攻击还是被动攻击,黑客攻击的行为会造成网络瘫痪,网络信息数据泄露、网络阻塞崩溃、拒绝网络服务或网络服务性能下降。
2 大数据时代的烟草工业企业的网络安全防护对策
在当前大数据背景下,要做好烟草工业企业网络安全防护工作,务必要从技术、管理两手抓。网络安全技术是基础,通过身份认证、访问控制、部署防火墙、日志审计备份和数据加密等技术手段主动对网络进行安全加固[5];网络安全管理是关键,责任主体烟草工业企业党组(党委),签订网络安全责任书,下级对上级负责,加强网络安全策略研究、建立健全网络安全管理制度、建立安全管理平台、开展全员网络安全意识培训等。遵循《网络安全法》和相关管理制度,信息系统上线运行前实施安全评估,同时做好信息系统安全运维和管理工作。网络安全技术上有支撑,管理上有保证,烟草工业企业的网络安全防护工作逐步改进,越来越好,才能有效保障烟草工业企业网的信息数据和个人消费者的信息安全。
2.1 访问控制
针对烟草工业企业网络安全工作,为了有效防御病毒侵入和黑客的攻击,必须设置合规的用户访问控制的策略,确保访问烟草工业企业网资源用户身份的合法性,并依据其岗位分配合适的资源访问权限,用户访问控制主要有以下几种方式:
2.1.1 堡垒机接入
在烟草工业企业特征网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,对设备或信息系统进行运维时,必须通过堡垒机分配的特定账号进行登录,并对管理员的操作过程进行审计和记录,目的是从内部防范网络安全事件的发生。
2.1.2 VPN接入
VPN方案主要由两大部分组成,一为接入系统,二为认证系统。烟草工业企业的用户处于外网的环境下,可以采用VPN接入的方式保证通过身份验证的合法用户正常访问企业内部网的资源,隔绝了外部非法用户的网络攻击。
2.1.3 访问控制列表
ACL(Access Control List,访问控制列表)适用于所有的被路由协议,是路由器和交换机接口的指令列表,用来控制端口进出的数据包。通过设置ACL的策略,在防火墙出口设置特定的ACL策略,可以限定合法的用户或IP地址被允许访问的网络资源,完全能够实现有高危风险的网络共享端口的禁止访问,有效降低外网用户攻击企业网的风险,同时,可以限制网络流量提高网络性能,提供对通信流量的控制手段,是提供网络安全访问的基本手段。可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
2.2 IPS入侵检测
入侵防御系统(IPS,Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件和防火墙的解释。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
入侵检测技术可以将病毒放入防火墙之内,但是可以识别它是否恶意访问。对匹配IT资源、攻击类型、协议等攻击报文采取不同程度防护动作。如警告、阻断等,IPS通常使用试探性扫描,内容检查,状态和行为分析等技术手段实现内外网攻击的实时动态监测,有效防护网络攻击。
2.3 病毒防治
电脑病毒无孔不入,网络计算机首先要安装防病毒软件,进行病毒扫描查杀,加强网络安全意识,统一安装正版操作系统,不明链接和邮件不允打开,及时修复系统的所有漏洞,日常做好网络设备和信息系统运维工作,能够做好有效防治病毒工作。
2.4 网络防火墙
在大数据时代的背景下,部署防火墙是网络防护手段之一。一般可以在企业网的出口和数据中心的前端分别部署一台防火墙。出口防火墙可以实现出入流量的控制,WAF(Web Application Firewall, Web應用防护系统)防火墙可以实现服务群上Web应用的安全防护。由于一条流量可由源IP、目的IP、源端口、目的端口、协议、用户和应用的七元组标记。所以防火墙通过匹配安全策略可以实现网络流量的精准过滤,从而有效保护企业网免受非法用户的侵入。它是一种位于内部网络与外部网络之间的网络安全系统,按特定的规则,允许或限制传输的数据通过。
2.5 网络日志审计
网络日志的审计备份是网络安全管理的一个重要环节,即对用户上网行为的一些关键信息进行审计,当网络中发生攻击特别是安全事件时,能够通过分析网络审计日志实现对网络攻击者的行为溯源,对用户上网行为做到有据可查[6]。大数据分析技术可以应用到企业所有信息处理所生成安全数据的审计中,包括系统日志、操作日志、安全警告等,一方面通过历史数据对比,发现不良趋势和可疑迹象,另一方面通过实时分析产生预警信号。两者结合,对外部入侵、内部违规等行为进行审计分析,找到网络安全的薄弱环节,提高企业网络安全水平。
2.6 数据加密控制
数据加密控制主要用于保障信息数据在网络中的传输安全,可通过加密算法和密钥技术等手段实现对数据的加密。目前流行的加密算法有DES、RSA、AES、MD5和SHA1等,密钥技术包括对称密钥和非对称密钥。对称密钥是指加密和解密过程使用相同的密钥;非对称密钥和解密过程中使用了不同的密钥。在实际应用中我们通常会把对称密钥和非对称密钥结合使用。一般使用对称密钥对信息数据进行加密,同时对加密数据的对称密钥使用非对称密钥中的公钥进行加密,这样即使攻击者截获到了加密数据的对称密钥,也无法将数据解密成明文,真正保证用户信息的安全。
2.7 网络安全管理制度进一步完善
在大数据时代,网络安全管理显得特别重要,应制定并完善安全管理制度并严格执行。一是完善管理制度,包括机房管理、网络管理、传输和存储个人敏感信息保护制度、信息数据管理和应急处理管理等,并严格落实安全事件追责制度。二是技术人员作为网络管理工作中的主体必须不断加强网络安全意识,主动学习和提升网络安全技能;三是加强日常网络和信息化设备的运维管理,定期更新网络设备和系统的访问密码,及时做好计算机系统漏洞的修复工作;四是制定网络安全事件应急预案,定期开展应急演练;五是按照《网络安全法》收集、存储和使用个人信息,传输和存储个人敏感信息时须采用加密以及设置信息数据复制、下载、打印限制功能等安全措施。从烟草工业企业网络安全工作的实际出发,在实践中总结经验,切实提高自身的网络安全管理水平。
3 结束语
对于烟草工业企业来说,在大数据背景下,我们迎来了推进数字信息化和建设智慧企业的黄金时期,同时新时期的网络安全要求给烟草工业企业网络和信息系统的安全防护工作提出了巨大挑战。本文针对新形势下的烟草工业企业特有的网络安全问题,提出有针对性的方法和对策,部分方法已经在企业中得到应用,结果表明,网络安全防护水平得到了较大提高。
网络安全是当前各烟草工业企业信息化建设中一个不容忽视的问题,我们将进一步调整安全防御对策,合理配置安全防范措施,科学整合现有网络安全设备和技术,不断对网络进行安全加固,同時配合以规范的安全管理制度,烟草工业企业的网络安全防护工作就一定能够逐渐取得进步,切实保证烟草工业企业的信息数据的安全。
参考文献(References):
[1] 陈火全.大数据背景下数据治理的网络安全策略[J].宏观经
济研究,2015.8:76-84
[2] 陈宇明.烟草行业信息安全管理的研究与探索[J]. 计算机安
全,2011.9:59-63
[3] 耿欣.烟草企业工业控制系统安全保障体系研究[J].信息网
络安全,2017.9:34-37
[4] 尚进,谢军,蒋东毅,陈怀临.现代网络安全架构异常行为分析
模型研究[J].信息网络安全,2015.9:15-19
[5] 陈兴军,王健.企业数据中心安全云防护技术应用研究[J].计
算机时代,2017.11:43-45
[6] 董梦林.大数据背景下网络信息安全控制机制与评价研究[D].
吉林大学硕士学位论文,2016.5.