煙草在線專稿　　引：隨著信息化技術的不斷發展，信息網絡技術在煙草行業的應用不斷深入，信息安全問題日益嚴峻。探討煙草行業的網絡信息安全技術對于煙草行業的發展至關重要。目前，行業信息網絡安全存在員工信息安全意識薄弱、企業信息安全技術和設施落后、計算機網絡安全防護能力較弱等隱患。單個的安全技術的功能和性能都有其局限性，如何有效的管理網絡以及系統中的安全產品和安全技術成為網絡和信息安全的一個重要研究內容。

　　什么是網絡安全呢？網絡安全的定義為：計算機系統的硬件、軟件、數據受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統能連續正常運行。”因此，所謂網絡安全就是指基于網絡的互聯互通和運作而涉及的物理線路和連接的安全，網絡系統的安全，操作系統的安全，應用服務的安全和人員管理的安全等幾個方面。但總的說來，計算機網絡的安全性是由數據的安全性、通信的安全性和管理人員的安全意識三部分組成。

　　一、產生網絡安全的問題的幾個因素

　　1、信息網絡安全技術的發展滯后于信息網絡技術

　　網絡技術的發展可以說是日新月異，新技術、新產品層出不窮，但是這些投入對產品本身的安全性來說，進展不大，有的還在延續第一代產品的安全技術，以Cisco的路由器為例，其低端路由產品從Cisco2500系列到7500系列，其密碼加密算法基本一致，僅僅是將數據吞吐能力及數據交換速率提高數倍。還有IPS防御系統等，考慮到經濟預算、實際要求等并未采用安全性能最好的產品，從而在硬件條件上落后于網絡黑客技術的更新。

　　2、操作系統及IT業務系統本身的安全性，來自Internet的郵件夾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件

　　目前流行的許多操作系統均存在網絡安全漏洞，還有許多數據庫軟件、office辦公軟件等都存在系統漏洞，這些漏洞都能為黑客侵入系統所用。而來自外部網絡的病毒郵件及web惡意插件主要是是偽裝官方郵件或者網站，從而達到利用計算機網絡作為自己繁殖和傳播的載體及工具。企業很多計算機用戶并不太懂電腦的安全使用，安全意識缺乏，計算機系統漏洞不及時修復，計算機密碼不經常修改且未符合策略要求，下班后未關閉計算機，這都為網絡安全留下了隱患。

　　3、來自內部網用戶的安全威脅以及物理環境安全威脅

　　來自內部用戶的安全威脅遠大于外部網用戶的安全威脅，特別是一些安裝了防火墻的網絡系統，對內部網用戶來說一點作用也沒有。再強大的入侵防御系統對于自然災害、人為破壞都是無可奈何的。

　　4、缺乏有效的手段監視、評估網絡系統的安全性

　　完整準確的安全評估是網絡安全防范體系的基礎。它對現有或將要構建的整個網絡的安全防護性能作出科學、準確的分析評估，并保障將要實施的安全策略技術上的可實現性、經濟上的可行性和組織上的可執行性。網絡安全評估分析就是對網絡進行檢查，查找其中是否有系統漏洞，對系統安全狀況進行評估、分析，并對發現的問題提出建議從而提高網絡系統安全性能的過程。如今正在進行的系統劃級等保工作，就是對單位內使用的應用系統進行評估預測并作出相對應的防御措施。

　　5、使用者缺乏安全意識，許多應用服務系統在訪問控制及安全通信方面考慮較少，并且如果系統設置錯誤，很容易造成損失。

　　在一個安全設計充分的網絡中，人為因素造成的安全漏洞無疑是整個網絡安全性的最大隱患。網絡管理員或網絡用戶都擁有相應的權限，利用這些權限破壞網絡安全的隱患也是存在的。如操作口令的泄漏，磁盤上的機密文件被人利用，臨時文件未及時刪除而被竊取，內部人員有意無意的泄漏給網絡攻擊帶來可乘之機等，都可能使網絡安全機制形同虛設。

　　那么針對以上越來越多的網絡漏洞、網絡攻擊、信息泄密，我們應該如何著手信息安全工作呢？以下將圍繞如何保障企業網絡安全環境進行研究，主要從硬件安全、人員管理安全、安全防御系統部署等幾個方面進行闡述。

　　二、網絡安全的幾點做法和管理方法

　　1、硬件安全

　　網絡安全的防護中，硬件安全是最基礎的也是最簡單的。定時檢查網絡安全以防鏈路的老化，人為破壞，被動物咬斷。及時修復網絡設備自身故障。常見的硬件安全保障措施主要有使用UPS電源，以確保網絡能夠以持續的電壓運行；防雷、防水、防火、防盜、防電磁干擾及對存儲媒體的安全防護。

　　2、系統安全

　　網絡設備應使用大小寫字母和數字以及特殊符號混合的密碼，且安裝防病毒軟件并及時對系統補丁進行更新，對于不必要的服務及權限盡可能的關閉，對于外來的存儲介質一定要先進行病毒查殺后再使用，對于已中病毒或者木馬的計算機應該迅速切斷網絡并進行病毒查殺，必要時重新安裝操作系統。

　　3、防御系統及備份恢復系統

　　防火墻是網絡安全領域首要的、基礎的設備，它對維護內部網絡的安全起著重要的作用。利用防火墻可以有效地劃分網絡不同安全級別區域間的邊界，并在邊界上對不同區域間的訪問實施訪問控制、身份鑒別和審計等安全功能。入侵檢測是防火墻的合理補充，能幫助系統對付網絡攻擊，提高了信息安全基礎結構的完整性。入侵檢測系統（IPS）是一種主動保護網絡資源的網絡安全系統，它從計算機網絡中的關鍵點收集信息，并進行分析，查看網絡中是否有違反安全策略的行為和受到攻擊的跡象。建立網絡監控和恢復系統能夠在系統受到攻擊時具備繼續完成既定任務的能力，可及時發現入侵行為并做出快速、準確的響應，預防同類事件的再發生。在災難發生后，使用完善的備份機制確保內容的可恢復性，將損失降至最低。　　

　　4、安全審計與系統運維

　　安全審計平臺及運維系統是彌補防火墻及IPS不能監控網絡內容和已經授權的正常內部網絡訪問行為，對正常網絡訪問行為導致的信息泄密事件、網絡資源濫用行為（即時通訊、論壇、在線視頻、P2P下載、網絡游戲等）無能為力的補充，它可以實時了解網內各客戶機及服務器出現的情況，存在的異常進程及硬件的改變，系統漏洞補丁的修復情況等等，從而達到起到實時提醒，安全使用計算機。

　　5、人員管理與制度安全

　　加強計算機人員安全防范意識，提高人員的安全素質以及健全的規章制度和有效、易于操作的網絡安全管理平臺是做好網絡安全工作的重要條件。行業部分員工缺乏互聯網安全意識，對不明來源的軟件、網頁和郵件等缺乏警惕意識，這些都給網絡安全帶來了危機。人是信息系統的操作者與管理者，而人又極易受到外部環境的影響，可能因為操作失誤等原因造成安全威脅。為此，“防外”應先“安內”，即對行業內部涉密人員加強管理。在人員發生工作調動、提升、免職、退休等時，要做好涉密信息及操作權限的交接工作，加強涉密人員的思想教育和安全業務培訓。目前，網絡技術飛速發展，企業要不斷加強對企業網絡管理員和系統管理員的培訓，引領他們順應新形勢，學習新技術，提高自身技能。

　　三、結束語

　　網絡安全與網絡的發展戚戚相關。網絡系統是一個人機系統，安全保護的對象是網絡設備，而安全保護的主體則是人，應重視對計算機網絡安全硬件產品的保護，也應注重樹立人的網絡安全意識，才可能防微杜漸，把可能出現的損失降低到最低點。總之，網絡安全是一個系統工程，不能僅僅依靠防火墻等單個的系統，而需要仔細考慮系統的安全需求，并將各種安全技術結合在一起，與科學的網絡管理結合在一起，才能生成一個高效、通用、安全的網絡系統。