随着烟草行业计算机信息网络建设的不断发展、各类应用的不断深入，烟草行业的经营模式已经由传统模式逐渐向网络经济的模式转变。网络的开放性、互连性和共享性，以及随着网络上电子商务、网络电子银行等新兴业务的兴起，使得网络安全问题变得越来越重要。本文以浙江省烟草商业系统为例，通过对现有计算机网络结构及安全需求的分析，提出了烟草行业地市级公司计算机信息与网络安全体系的构建策略。

 

    信息网络安全概述

 

    根据烟草行业计算机信息网络建设规划，浙江省各地市级烟草公司已建立起一个上接省局（公司）、下联各县局（公司）的互联互通、信息共享的信息网络，整体结构是一个通过DDN连接的多级网络，并建有internet出口。在网络每一级的节点上各有一个局域网，在多级网络上运行着综合业务系统、专卖系统、办公系统等，由于网络结构和应用系统的复杂化，网络安全体系的建立和制订网络安全的全面解决方案已经显得十分重要。

 

    地市级烟草公司计算机信息网络的安全规范包括以下几个主要方面：计算机网络的实体安全、计算网络系统和各个应用系统的运行安全、计算网络的信息安全、各种应用的认证体系安全。

 

    以上几个方面均有不同的安全需求，其中：实体安全是指保护计算机设备、网络设施等免遭地震、水灾、火灾、有害气体和其他事故破坏的措施和过程；运行安全是指为保障系统功能的安全，提供一套安全措施，来保护信息处理过程的安全；信息安全是指防止信息财产被故意地或偶然地非授权泄露、更改、破坏或使信息被非法的系统辨识、控制。

 

    计算机信息网络结构分析及安全需求

 

    1.计算机信息网络整体结构分析

 

    内部网络结构包括省局（公司）计算机信息网络、地市级烟草公司计算机信息网络、县级公司计算机信息网络。整个内部网络为一个树形结构，每个层次上都由相对独立的网络组成，其中省局（公司）计算机信息网络为根节点。在每个层次的节点上，都建有局域网，局域网采用100M或1000M交换式以太网。

 

    为了进行烟草行业业务的宣传和网上业务的开拓，浙江省烟草行业计算机信息网络都已经建立与Internet及其他有关合作方网络的连接。连接丰富了烟草行业的业务，但导致了新的安全问题。这些外部连接的安全防范成为各级烟草公司网络安全的重要方面。

 

    对来自外部网络的安全威胁，应该对网络通讯进行有效的过滤，使必要的服务请求到达主机，对不必要的访问请求加以拒绝。对来自内部网络的安全威胁，需要使用有效的网管工具，及时发现网络结构的变化，纠正错误，调整网络安全策略。

 

    2.系统安全目标

 

    基于以上分析，浙江省烟草行业计算机信息网络安全应该实现以下目标：建立一套完备可行的网络安全和网络管理策略；对合法用户访问加强认证，同时将用户的访问权限控制在最低限度；全面监视对主机的访问，及时发现和拒绝不安全的操作和黑客攻击行为；进行网络安全扫描，及时发现网络安全漏洞；建立完整的系统防病毒体系，防止病毒的侵害；运用网络监控和维护工具，了解网络结构和运行状况。

 

    计算机信息与网络安全体系构建策略

 

    在解决地市级烟草公司计算机信息网络的安全问题时，首先，要采取必要的措施，以保证信息与网络物理实体的安全。其次，应用防火墙、VLAN（虚拟局域网）和VPN（虚拟专用网）、防病毒、备份与恢复、入侵检测、漏洞扫描安全评估、网络故障分析等技术，加强计算机信息网络的安全。

 

    基于防火墙的网络访问控制的实现

    为了实现网络访问控制，在内部网络和外部网络之间设置一个NETSCREEN或Cisco PIX防火墙。防火墙的一块网卡连接在内部交换机上，另一块连接在路由器上。通过防火墙，可以对外网用户进行访问控制，对非法访问加以拒绝。

 

    基于VLAN和VPN的敏感资源的保护和通讯的保密

    为保护敏感资源和控制广播风暴，在有三层路由交换机的集中式网络环境下，应将网络中的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而可避免IP地址的冲突、各站点广播风暴对主机系统的影响，从而较好地保护敏感的主机资源。

 

    网络病毒的防范

    为了保护服务器和整个网络中的工作站免受计算机病毒的侵害，同时也是为了建立一个集中有效的防病毒控制机制，需要应用基于网络的防病毒技术。基于网络的防病毒技术可以在网络的各个环节上实现对计算机病毒的防范。

 

     备份与恢复

    考虑到地市级烟草公司信息系统的具体情况，需要对数据库服务器及WEB服务器进行每日完全备份，并在备份之后进行一致性检查。对系统做完全备份是出于对系统安全和操作方便的考虑。

 

    应用入侵检测技术进行网络实时检测

    入侵检测系统是近年出现的新型网络安全技术，它能识别出对计算机的非法访问行为，并对其进行隔离。入侵检测系统能发现其他安全措施无法发现的攻击行为，并能收集可以用来诉讼的犯罪证据。因此，应该在网络上配备入侵监测系统来进一步保护网络的安全。

 

    应用漏洞扫描技术进行系统安全评估

    应用漏洞扫描安全评估技术，系统管理者可以及时发现网络中存在的安全隐患，并加以修补，从而减小网络被攻击的可能。

 

    应用网络故障分析技术分析网络故障

    网络故障分析技术是对保障信息网络安全的一个必要的补充，是当网络出现不正常现象时管理员进行错误分析和判断的有力手段，可以有效防止类似于重复IP地址等造成的网络不正常现象。