杨斯可 张中宝 杨洋 宋景民

（1.湖北省烟草专卖局（公司）信息中心，湖北武汉 430030；2.武汉市烟草专卖局（公司）科技信息中心，湖北武汉 430030；3.“互联网+烟草”融合创新实验室，武汉楚烟信息技术有限公司，湖北武汉 430030）

0.引言

烟草行业作为国民经济的重要组成部分，是影响国家经济发展、社会稳定的重要因素。近年来，随着烟草行业网络安全工作的开展不断深入，网络安全管理能力不断提升，以边界防护为主的传统网络安全防护措施日渐趋于完善，态势感知、情报威胁等网络安全新技术不断开展探索应用，为烟草行业高质量发展提供了坚实的网络安全保障。在行业数字化转型的新形势下，随着新一代信息技术的广泛应用，行业信息化架构从传统IT架构（简称：传统架构）向“云平台+中台+微服务”架构（简称：新架构）转型，也带来了更多、更大、更严重的网络安全风险挑战。为有效应对数字化转型的新风险、新挑战，我们迫切需要构建更加完善的烟草行业网络安全防控体系，进一步筑牢网络安全防线。

1.烟草行业数字化转型中面临的网络安全挑战

在数字化转型背景下，网络安全已经成为数字化转型的前提、基础和驱动要素。在烟草行业数字化转型机遇到来的同时，网络安全工作存在如下挑战：

1.1 安全监管新要求

《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国密码法》等一系列国家法律法规的颁布，从顶层设计上对网络安全工作提出更加明确的要求，涉及关键信息基础设施防护、公民信息数据保护、物联网、云端安全、供应链安全等方面。网络安全工作的要求更高、专业性更强、颗粒度更细，国家相关部门通过实战化攻防演习来检验行业单位安全保障能力也成为新常态，能否对标新要求、新常态，落实好网络安全主体责任，在满足国家法律法规要求的同时，经受住实战的考验，是烟草行业在数字化转型过程中必须履行的义务和应具备的必要条件。

1.2 技术应用新风险

新一代信息技术与烟草产业的深度融合，给烟草行业数字化转型赋予了新动能，新技术的运用也带来新的网络安全风险。（1）在云计算方面，大量的传统架构应用“上云”，而市面大多云厂商的云环境是在开源项目基础上构建，如Hadoop、Hbase等。一旦黑客挖掘出这些开源项目的新漏洞，就意味着掌握了攻击云环境的“核武器”。（2）在大数据方面，零售户、消费者、烟农的个人身份信息以及海量行业生产经营数据高度集约化、集中化，一旦发生数据泄漏事件，将产生难以估量的损失。（3）在物联网方面，5G技术的普及和广泛应用于专卖执法、卷烟配送、烟叶种植等方面，泛终端的接入更加便捷高效，大量终端接入到行业内网，使得终端风险点剧增。（4）在移动互联网方面，各类App、小程序的广泛应用不断扩大网络安全的暴露面，给网络上的不法分子提供了更多机会。（5）人工智能、卷烟智能制造等方面的广泛应用，也势必会给卷烟制造等工业控制系统带来新的潜在隐患。

1.3 安全攻击新手段

新一代信息技术高速发展的同时，也给网络上的不法分子提供了滋生的土壤。网络上泛滥的黑客工具和低廉的计算资源，让不法分子可以用极低的成本和资源快速搭建高性能的攻击平台。近年来，越来越多地发现利用APT、勒索病毒攻击、社会工程学等新型手段对烟草行业发起的恶意攻击行为，这些行为和手段危害性大、隐蔽性强，基于传统边界的防护方法已经难以起到作用，需要采用更加专业的手段和措施加以应对[1]。

1.4 人才队伍新能力

网络安全的较量是攻防两端能力的较量，究其根本是人与人之间的较量。在利益驱动的背后，网络黑客呈现出规模化、组织化、专业化等特点。烟草行业网信人才队伍，由于长期从事网络安全管理工作，对于网络安全技术还停留在面上，掌握技术的深度和广度还不够，团队知识结构相对单一，对业务工作理解不深。尤其是在数字化转型背景下，大量的数据采集点、泛终端接入点、隐私信息处理使得各类威胁日志信息，成几何级上升，令我方在对抗过程中更加显得捉襟见肘，迫切需要加大烟草行业网信队伍综合能力建设。

2.以大安全为核心的网络安全理念

以大安全为核心理念，建立健全以“可识别、可防范、可恢复”为主要特征的烟草行业网络安全防控体系，推动安全理念从重边界防护向保障整体安全延伸，工作模式从局部安全加固向体系化整体建设推进，保护对象从网络安全向网络、系统和数据安全并重转变，构建大安全格局、切实筑牢大安全屏障。

3.烟草行业网络安全防控体系设计

为有效应对烟草行业数字化转型过程中面临的网络安全风险，利用大安全理念构建网络安全防控体系是一种有效实现方法。

3.1 总体设计

基于大安全理念的网络安全防护体系建设就是要将安全管理的全要素和新技术带来的风险点，通过颗粒化、条理化、体系化的分析和梳理，达到网络安全“点”的标准、“面”的集成、“线”的协同、“体”的整合，最终建立科学一体的烟草行业网络安全防控体系，如图1所示。

图1 烟草行业网络安全防控体系整体架构图

烟草行业网络安全防控体系主要由5个子体系构成，包括安全检查体系、安全管理体系、安全技术体系、安全监管体系和安全运营体系，分别从技术和管理2个方面涵盖烟草行业网络安全的相关要求。

3.2 安全检查体系

建立网络安全检查体系形成安全风险闭环管理，是有效开展网络安全工作的基础。网络安全威胁不是一成不变的，伴随着技术的发展和应用，网络安全风险总是在动态地发生变化。安全检查体系的设计主要是基于主管部门发起的网络安全检查和烟草行业自身需要开展的网络安全自查，检查内容包括但不限于公安机关网络安全执法检查、保密主管部门安全保密检查、密码主管部门发起的密码检查以及烟草行业内部发起的应用安全检查等。针对安全检查体系的设计：（1）建立标准。以信息安全等级保护标准为检查依据，结合烟草行业网络安全工作特点形成具有烟草行业特点的网络安全风险源和风险点清单，有针对性地开展网络安全检查。（2）定期巡检。定期开展网络安全专项检查，检查内容包括但不限于应用检查、保密检查、密码检查、内容治理等。（3）整改加固。对检查出来的安全隐患，采取“挂牌销号”方式进行整改加固。

3.3 安全管理体系

网络安全管理体系是烟草行业网络安全管理要素的系列合集，主要用于指导烟草行业网络安全管理人员开展网络安全工作。目前，烟草行业网络安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训4个方面的内容，经过多年的建设，已基本趋于完善。基于数字化转型面临的新要求、新风险，还需要从3个方面进行完善提升：（1）在组织机构方面，探索成立烟草行业网络安全专家委员会，为网络安全建设提供咨询服务和技术支撑。（2）在规章制度方面，对现行烟草行业网络安全管理制度进行查缺补漏，主要建立健全新技术应用安全管理、数据安全管理、工控安全管理等方面管理制度，出台烟草行业网络安全考核制度，通过网络安全指标考核具体工作的落实情况。（3）在教育培训方面，建立“以战促训”的培养模式，将以往传统网络安全教育为主的模式转变为实战性对抗培养，组建烟草行业网络攻防队伍，通过采取红蓝队对抗、定期组织攻防对抗比赛等方式，达到提升专业技能的目的。

3.4 安全技术体系

数字化转型由传统架构向新架构的演进，以边界防护为手段的安全架构已经难以满足烟草行业网络安全防护新需求，通过在烟草行业引入软件定义边界Software Defined Perimeter（SDP）网络安全解决方案，构建基于零信任的网络安全架构是有效应对数字化转型网络安全的技术支撑。SDP的核心在于能够最小化地设置安全边界，将应用服务原子化在网络中隔离开来。同时，采取“网络隐身”技术将各类暴露在互联网的应用端口关闭，对终端实行先验证、后访问的机制，通过尽量减少烟草行业互联网暴露面，最大限度地减少来自互联网的各种安全威胁。

3.5 安全监管体系

《网络安全审查办法》是国家建立网络安全审查和监管的制度和机制，为我国开展网络安全审查工作提供了重要的制度保障。建立烟草行业网络安全监管体系，由烟草行业网络安全主管部门对下级单位开展网络安全审查和监管工作，是保障烟草行业关键信息基础设施的安全稳定运行，落实国家网络安全审查和监管机制的重要举措。烟草行业网络安全监管体系应主要侧重于对可能严重影响国家安全、社会稳定、生产经营的网络产品和服务进行监管，监管内容包括但不限于产品和服务使用后带来的风险、产品和服务中断对业务连续性的危害、产品和服务的提供者是否违法失信、产品和服务的供应链风险等。搭建烟草行业网络安全监管平台，对监管对象、监管内容、监管结果等内容及时进行分析，掌握烟草行业关键信息基础设施的安全运行情况，实现网络安全监管数字化、可视化管理。

3.2.2 加强信息流动与沟通。单位内部之间加强联系，避免重复工作或者没有一个部门完成该项工作的现象，高效利用信息，实现各部门之间的完美配合。

3.6 安全运营体系

由合规性运维管理向实战化运营管理转化，是赋能烟草行业数字化转型的最佳实践。随着外部环境的变化，业务连续性不再是考量安全运维的唯一指标，要通过实战化安全运营体系的建设，为烟草行业数字化转型提供价值。安全运营体系设计的主要理念是由合规性管理向网络实战对抗进行转变，防守模式由静态防护向积极预防转变，平台建设由局部建设向规模化转变。针对上述变化：（1）要完善组织架构。以国家局、省级工商企业、市级局（卷烟厂）为主体，组建形成网络安全三级运营团队，并区别划分为红队、蓝队。红队的主要职责是安全脆弱性管理，定期组织对行业关键基础信息设施进行脆弱性分析，包括利用工具进行扫描、开展渗透测试等，蓝队的主要职责是对网络安全威胁进行实时监测，进行威胁分析与处置。（2）要建立运营流程。围绕主动防御这条主线，将各类巡检、告警等流程关口前移，增加事件运营、漏洞运营等流程，变巡检为监测、变告警为预警，实现闭环管理。（3）搭建运营平台。利用态势感知、威胁情报、大数据分析等技术搭建安全管理平台，进一步提升对网络安全事件的掌控能力和感知能力。

4.烟草行业网络安全技术架构设计

4.1 烟草行业信息化架构分析

网络安全的本质在对抗，不论采取何种架构，最终目的都是为了保障生产经营稳定运行。基于传统架构和新架构实现方式的不同，在网络安全防护体系的建设上，两者也存在较大的差异，具体如下：

4.1.1 传统架构网络安全特点

传统架构也叫单体架构，是指将业务应用的用户界面层、业务逻辑层、数据访问层等所有功能部署在一系列物理服务器、磁盘阵列上。从管理角度看，传统架构具有网络边界清晰、保护对象明确、安全策略易配置等特点。从防护措施看，通常采用基于边界防护的防火墙、入侵检测、入侵防御、主机防护等传统安全产品。从治理角度看，主要采取打补丁、查杀病毒等被动防护方式为主[2]。

4.1.2 新架构网络安全特点

新架构也叫微服务架构，是将传统的单体架构的部署模式拆分成一个服务一个容器的单服务部署模式。从管理角度看，新架构中的容器化技术实现隔离运行在相同主机上不同进程，网络边界模糊、保护对象不可见、东西向流量安全策略难以配置。从防护措施看，除了传统架构下的安全防护措施外还要关注容器自身安全，包括容器隔离问题、容器逃逸攻击等。从治理角度看，要加强对东西向流量的审计，采取加密方式传输数据等。

4.2 零信任SDP安全原理

软件定义边界Software Defined Perimeter（SDP）是一种具有创新性的网络安全解决方案，它是由国际云安全联盟CSA推出的一种安全模型[3]。它基于接入网络的用户身份、设备信息、环境信息等进行综合评估，对评估结果符合安全策略的终端进行授权访问并持续进行授权验证。利用可信代理对流量进行加密传输、对应用进行隐身，最大限度地减小应用的暴露面。利用软件定义边界SDP可以有效应对信息化传统架构向新架构转换过程中带来的安全隐患。

SDP的安全架构通过SDP客户端、SDP认证服务器、SDP网关组成，如图2所示。

图2 SDP工作原理

在SDP架构中，SDP客户端利用SPA敲门技术向SDP控制器发送访问请求，SDP控制器对访问请求进行验证和授权，SDP网关接受SDP控制器下发的安全策略，验证SDP客户端访问请求，建立加密链接。在链接过程中，SDP控制器实时对连接进行监控，一旦发现不符合安全策略的连接，立即中断连接。

4.3 基于零信任SDP的安全的架构设计

利用零信任SDP技术构建烟草行业网络安全技术架构如图3所示。

图3 烟草行业网络安全技术架构

4.3.1 访问主体

烟草行业根据用户身份、设备类型等，可将接入类型分为3类：第一类为外部用户，主要包括2个方面：（1）通过互联网访问烟草业务应用的零售户、烟农、消费者等角色，接入包括台式机、手机、平板等智能终端。（2）与烟草业务应用进行数据交互、服务调用的外部应用系统。第二类为内部用户，主要包括烟草职工访问办公业务系统等。第三类为物联网设备等泛终端，主要通过网络实现物物相连的场景。将这3类终端通过安装SDP客户端程序、SDP插件等方式统一进行身份验证和网络接入。

4.3.2 零信任安全区域

搭建烟草行业零信任控制中心和前置数据中心。可根据不同类别接入分类建设，也可进行统一建设。（1）零信任控制中心，在烟草行业DMZ区域前端进行部署，功能包括安全策略配置、安全评估、动态授权管理、访问控制等。（2）零信任前置数据中心，主要实现接入主体和内部数据中心的安全联通功能。该区域传输都经过安全代理进行访问，数据交换带有密钥加密，防止被监听、篡改，保证数据安全传输。

4.3.3 安全运营中心

安全运营中心采用系统集成和自主开发方式进行搭建，系统集成主要是将具有态势感知、环境感知、流量分析、数据分析、安全运维、安全审计等能力产品和设备集成到安全运营中心平台。自主开发主要是根据安全运营业务流程的变化和配套将日常安全运营工作流程电子化，痕迹化、智能化。从而提升对烟草行业网络安全态势感知能力和威胁分析能力。

5.总结

在烟草行业数字化转型的时代浪潮中，通过利用大安全理念构建烟草行业网络安全防控体系，从技术和管理2个层面，安全检查、安全管理、安全技术、安全监管和安全运营5个维度提出了烟草行业网络安全技术架构设计的总体思路，探索提供了一种解决行业数字化转型中网络安全问题的新方法，顺应了烟草行业网络安全工作提出的新要求。在日常工作中，还需要进一步开展深入探索，不断推动将构建基于大安全理念的烟草行业网络安全防控体系与行业数字化转型的工作思路和关键举措相结合，与行业高质量发展大局相结合，为行业数字化转型奠定坚实的网络安全保障。