煙草在線專(zhuān)稿 引:煙草行業(yè)隨著電子營(yíng)銷(xiāo)和辦公自動(dòng)化的運(yùn)行,由計(jì)算機(jī)處理日常業(yè)務(wù)逐漸替代了以往的工作方式,使工作效率大為提高的同時(shí),涉密信息的安全風(fēng)險(xiǎn)日益突出�����。本文試從涉密信息風(fēng)險(xiǎn)原理來(lái)分析煙草行業(yè)涉密信息系統(tǒng)的安全隱患,進(jìn)而提出相應(yīng)的防范和對(duì)策建議�����。
近些年來(lái),隨著互聯(lián)網(wǎng)的迅猛發(fā)展,煙草行業(yè)不斷加大了在電子營(yíng)銷(xiāo)和電子政務(wù)等方面的信息化建設(shè)?����?旖?����、高效的電子信息技術(shù)不斷增強(qiáng)了行業(yè)的經(jīng)營(yíng)、管理�����、控制、決策等方面的運(yùn)行能力。然而隨著網(wǎng)絡(luò)開(kāi)放性、互連性�����、共享性程度不斷擴(kuò)大,網(wǎng)絡(luò)的安全問(wèn)題變得越來(lái)越重要,計(jì)算機(jī)信息系統(tǒng)的安全問(wèn)題也日益突出,尤其是涉密信息的安全問(wèn)題引發(fā)的風(fēng)險(xiǎn),已成為影響行業(yè)信息穩(wěn)定安全的重要因素。如何構(gòu)建一個(gè)安全�����、高效的涉密計(jì)算機(jī)信息系統(tǒng)應(yīng)用環(huán)境,已經(jīng)成為當(dāng)前行業(yè)信息化的關(guān)鍵問(wèn)題�����。
一�����、國(guó)內(nèi)計(jì)算機(jī)信息系統(tǒng)的主要安全隱患及其原因
當(dāng)前國(guó)內(nèi)對(duì)于信息涉密方面的安全問(wèn)題,重點(diǎn)是指信息安全事件發(fā)生后對(duì)數(shù)據(jù)安全性和服務(wù)連續(xù)性造成的后果。在實(shí)體防護(hù)上的后果又可具體分為如下三類(lèi):數(shù)據(jù)篡改、系統(tǒng)入侵與網(wǎng)絡(luò)攻擊、信息泄露。
(一)數(shù)據(jù)篡改導(dǎo)致數(shù)據(jù)篡改的安全事件主要有針對(duì)靜態(tài)網(wǎng)頁(yè)的數(shù)據(jù)篡改�����、針對(duì)動(dòng)態(tài)網(wǎng)頁(yè)和網(wǎng)站數(shù)據(jù)庫(kù)的篡改�����、內(nèi)部人員篡改數(shù)據(jù)以及軟件產(chǎn)品漏洞后門(mén)等四種。造成數(shù)據(jù)篡改的原因主要是網(wǎng)站的后臺(tái)管理系統(tǒng)對(duì)互聯(lián)網(wǎng)開(kāi)放,網(wǎng)頁(yè)程序存在漏洞�����、配置不合理,內(nèi)部人員安全保密意識(shí)淡薄�����、措施不到位以及軟件代碼缺乏安全等�����。
(二)系統(tǒng)入侵與網(wǎng)絡(luò)攻擊導(dǎo)致系統(tǒng)入侵與網(wǎng)絡(luò)攻擊的安全事件主要有針對(duì)系統(tǒng)的遠(yuǎn)程節(jié)點(diǎn)的入侵、域名劫持�����、ddos攻擊等三種。針對(duì)系統(tǒng)的遠(yuǎn)程節(jié)點(diǎn)的入侵一般是由于使用明文傳輸?shù)倪h(yuǎn)程登錄軟件或沒(méi)有設(shè)置安全的遠(yuǎn)程登錄控制策略�����。域名劫持一般是由于保護(hù)措施不到位造成的�����。ddos攻擊方式一般是攻擊者利用被病毒感染的“肉雞”,連續(xù)不斷地向目標(biāo)主機(jī)發(fā)送數(shù)據(jù),造成網(wǎng)絡(luò)擁塞、系統(tǒng)癱瘓�����。造成系統(tǒng)入侵與網(wǎng)絡(luò)攻擊的原因主要是技術(shù)手段落后�����、保護(hù)措施不到位以及抗ddos攻擊的安全措施不到位�����。
(三)信息泄露導(dǎo)致信息泄露的安全事件主要有內(nèi)部郵件信息泄露和內(nèi)部文件信息泄露等兩種�����。信息泄露的方式主要有兩種,一是被竊聽(tīng),信息在網(wǎng)絡(luò)傳送過(guò)程中,攻擊者可在傳輸信道上對(duì)數(shù)據(jù)進(jìn)行非法截獲、監(jiān)聽(tīng),獲取通信中的敏感信息,造成信息泄露�����。二是利用系統(tǒng)安全漏洞,通過(guò)攻擊數(shù)據(jù)庫(kù)服務(wù)器,直接獲取信息�����。造成信息泄露的原因主要是軟件或安全漏洞和終端安全問(wèn)題。
二、煙草行業(yè)涉密信息系統(tǒng)可能面臨的
安全威脅行業(yè)電子政務(wù)系統(tǒng)中需重點(diǎn)防護(hù)的是辦公類(lèi)涉密信息系統(tǒng),主要包括電子公文信息系統(tǒng)�����、公文傳輸系統(tǒng)等,從以上對(duì)一般信息系統(tǒng)發(fā)生安全事件對(duì)信息系統(tǒng)造成的后果及其發(fā)生原因,我們可以羅列出目前這些涉密信息系統(tǒng)可能面臨的安全威脅。
(一)應(yīng)用軟件安全問(wèn)題不容忽視。目前,涉密信息系統(tǒng)所大量使用的應(yīng)用軟件,包括操作系統(tǒng)軟件,如windows�����、unix等,數(shù)據(jù)庫(kù)管理軟件,如db2、sybase等,應(yīng)用軟件,包括辦公軟件�����、郵件系統(tǒng)軟件等,基本是外部采購(gòu),這些軟件由于國(guó)外廠商一般不愿意提供軟件源代碼的原因,就有可能暗含漏洞或隱藏后門(mén),這些漏洞和后門(mén)平時(shí)處于休眠狀態(tài),如果國(guó)外敵對(duì)勢(shì)力在戰(zhàn)爭(zhēng)時(shí)利用這些漏洞或激活這些“后門(mén)”,將致使行業(yè)行政資源調(diào)度系統(tǒng)癱瘓,將直接威脅到行業(yè)的穩(wěn)定及安全�����。
(二)基礎(chǔ)網(wǎng)絡(luò)功能集合程度高的問(wèn)題亟待解決。煙草行業(yè)網(wǎng)絡(luò)系統(tǒng)承載著業(yè)務(wù)處理、電子郵件�����、公文傳輸�����、電視會(huì)議等業(yè)務(wù)�����、政務(wù)信息。同時(shí),為提高網(wǎng)絡(luò)加密保密能力,經(jīng)過(guò)多年的建設(shè),也采取了網(wǎng)絡(luò)鏈路層加密�����、防火墻�����、入侵檢測(cè)等多種安全措施,配置加密設(shè)備,保障了電子郵件、公文傳輸系統(tǒng)等核心業(yè)務(wù)的傳輸安全,初步構(gòu)成了網(wǎng)絡(luò)系統(tǒng)的安全保障體系�����。但是,我們認(rèn)為內(nèi)部網(wǎng)絡(luò)對(duì)涉密信息的保障仍然存在隱患,原因有二:一是由于內(nèi)部網(wǎng)絡(luò)是統(tǒng)一的業(yè)務(wù)處理平臺(tái)和政務(wù)信息平臺(tái),各級(jí)別涉密信息和大量的非涉密信息充斥其中,加大了對(duì)涉密信息管理的難度,較難實(shí)現(xiàn)對(duì)涉密信息的分級(jí)保護(hù)�����。二是由于內(nèi)部網(wǎng)絡(luò)是一個(gè)與行業(yè)各部門(mén)互聯(lián)互通的信息交互平臺(tái),盡管采取了網(wǎng)絡(luò)鏈路層加密、密押�����、防火墻�����、入侵檢測(cè)等多種安全措施,配置了加密設(shè)備,但是任何技術(shù)設(shè)備都有它的脆弱性,隨時(shí)都有可能成為系統(tǒng)入侵和網(wǎng)絡(luò)攻擊的漏洞。
(三)解決病毒帶來(lái)的信息泄露問(wèn)題刻不容緩�����。計(jì)算機(jī)病毒具有隱蔽性強(qiáng)的特點(diǎn),它們通常附著在正常程序中或磁盤(pán)較為隱蔽的地方,悄無(wú)聲息地竊取用戶(hù)隱私�����、機(jī)密文件�����、賬號(hào)信息等,造成信息泄露�����。病毒基本上有兩個(gè)來(lái)源,一是網(wǎng)絡(luò)傳播�����。由于內(nèi)部網(wǎng)絡(luò)連接起了所有的行業(yè)部門(mén),是一個(gè)統(tǒng)一的業(yè)務(wù)處理平臺(tái),這就不可避免地要受到跨網(wǎng)的病毒傳播危害�����。二是存儲(chǔ)介質(zhì)傳播�����。地方行業(yè)部門(mén)由于業(yè)務(wù)工作的要求,需要從地方政府部門(mén)或機(jī)構(gòu)接收電子信息數(shù)據(jù),或?qū)⒁恍﹫?bào)表、情況反映等報(bào)送給政府部門(mén),這樣的信息交換一般都是通過(guò)存儲(chǔ)介質(zhì)交換完成的�����。有時(shí)會(huì)因?yàn)楣芾碇贫嚷鋵?shí)不到位�����、操作人員安全保密意識(shí)淡薄等原因,將攜有病毒的文件通過(guò)數(shù)據(jù)交換帶入了內(nèi)部網(wǎng)絡(luò),造成了病毒在內(nèi)部網(wǎng)絡(luò)上的傳播,給網(wǎng)絡(luò)和信息的安全保密造成了隱患。
三、當(dāng)前行業(yè)在涉密信息安全工作中的現(xiàn)狀
(一)行業(yè)涉密方面的內(nèi)容
煙草行業(yè)工作中的涉密范圍包括國(guó)家秘密和行業(yè)敏感信息兩方面�����。
1�����、國(guó)家秘密是指關(guān)系國(guó)家的安全和利益,依照法定程序確定,在一定時(shí)間內(nèi)只限一定范圍的人員知悉的事項(xiàng)。煙草行業(yè)工作中國(guó)家秘密及其密級(jí)范圍的具體范圍是:
(1)機(jī)密級(jí)事項(xiàng),包括對(duì)外談判中內(nèi)部掌握的價(jià)格和標(biāo)底,進(jìn)口配額,國(guó)別和客戶(hù)政策。
(2)涉及煙草行業(yè)產(chǎn)品(卷煙、煙機(jī)�����、醋酸絲束)的關(guān)鍵技術(shù)資料、樣品及其來(lái)源。
(3)煙草行業(yè)工作中涉及其他部門(mén)的國(guó)家秘密事項(xiàng),其密級(jí)按國(guó)家有關(guān)主管部門(mén)的保密范圍確定。
2�����、行業(yè)敏感信息是指煙草行業(yè)工作中涉及一些不宜公開(kāi)的資料和事項(xiàng),或在一定時(shí)間內(nèi)只限行業(yè)內(nèi)一定范圍的人員知悉的資料和事項(xiàng)。其范圍如下:
(1)煙草商業(yè)系統(tǒng)中長(zhǎng)期發(fā)展規(guī)劃、科技發(fā)展規(guī)劃以及核心技術(shù)科研項(xiàng)目資料。
(2)煙草商業(yè)系統(tǒng)對(duì)外合作意向,進(jìn)出口卷煙計(jì)劃及有關(guān)調(diào)整計(jì)劃�����。
(3)煙草專(zhuān)賣(mài)打假行動(dòng)方案和舉報(bào)線索�����。
(4)基建工程項(xiàng)目招�����、投標(biāo)有關(guān)文件及資料。
(5)煙草及煙草制品與相關(guān)煙草專(zhuān)賣(mài)品生產(chǎn)專(zhuān)有技術(shù)的核心內(nèi)容。
(6)干部考察階段的材料以及紀(jì)檢監(jiān)察案件舉報(bào)�����、調(diào)查材料。
(7)“兩煙”產(chǎn)供銷(xiāo)計(jì)劃有關(guān)調(diào)整計(jì)劃�����。
(8)領(lǐng)導(dǎo)在重要會(huì)議召開(kāi)前的相關(guān)講話草稿及不擬公開(kāi)的定稿�����。
(9)行業(yè)內(nèi)部財(cái)務(wù)收支審計(jì)�����、經(jīng)濟(jì)責(zé)任審計(jì)�����、基建審計(jì)等在審計(jì)報(bào)告公布之前的相關(guān)文件資料。
(10)與其它單位簽訂的各種產(chǎn)品�����、服務(wù)合同和協(xié)議�����。
(11)機(jī)關(guān)內(nèi)部的經(jīng)濟(jì)運(yùn)行通報(bào)及相關(guān)報(bào)表匯編�����、經(jīng)營(yíng)情況統(tǒng)計(jì)快報(bào)、財(cái)務(wù)快報(bào)�����、會(huì)計(jì)報(bào)表。
(12)其他需要設(shè)定行業(yè)敏感信息的資料和事項(xiàng)�����。
(二)行業(yè)信息安全管理方面的規(guī)定
煙草行業(yè)作為國(guó)有重點(diǎn)經(jīng)營(yíng)性部門(mén),為加強(qiáng)行業(yè)信息系統(tǒng)安全保密管理,重點(diǎn)做好網(wǎng)絡(luò)信息安全工作,國(guó)家局(公司)成立了以副局長(zhǎng)為組長(zhǎng),國(guó)家局機(jī)關(guān)各部門(mén)�����、各單位主要負(fù)責(zé)人為成員的煙草行業(yè)信息安全工作領(lǐng)導(dǎo)小組。近些年來(lái)國(guó)家局(公司)先后下發(fā)了《關(guān)于進(jìn)一步加強(qiáng)行業(yè)信息安全工作有關(guān)事項(xiàng)的通知》�����、《加強(qiáng)煙草行業(yè)辦公計(jì)算機(jī)安全和保密管理的若干規(guī)定》�����、《煙草行業(yè)CA認(rèn)證體系建設(shè)方案》�����、《煙草行業(yè)信息安全保障體系建設(shè)指南》,轉(zhuǎn)發(fā)了國(guó)家保密局和國(guó)務(wù)院信息化工作辦公室《關(guān)于印發(fā)加強(qiáng)黨政機(jī)關(guān)計(jì)算機(jī)信息系統(tǒng)安全和保密管理若干規(guī)定通知的通知》等一系列關(guān)于加強(qiáng)信息安全和保密管理的制度及方案�����。各省、市局(公司)也相應(yīng)出臺(tái)了一系列關(guān)于加強(qiáng)信息管理保障涉密安全的具體執(zhí)行辦法和規(guī)章制度�����。
(三)行業(yè)目前信息安全中面臨的問(wèn)題
通過(guò)對(duì)當(dāng)前行業(yè)內(nèi)一些市�����、縣級(jí)局(公司)在涉密信息使用及管理方面的現(xiàn)狀調(diào)研,客觀地說(shuō)普遍存在著重業(yè)務(wù)輕安全的現(xiàn)象�����。表現(xiàn)在網(wǎng)絡(luò)安全防護(hù)方面投入嚴(yán)重不足,網(wǎng)絡(luò)安全產(chǎn)品在數(shù)量上�����、功能上均不能滿足需要,信息系統(tǒng)極可能遭受網(wǎng)絡(luò)攻擊,造成網(wǎng)絡(luò)癱瘓�����、重要信息泄密情況發(fā)生,這些都將對(duì)行業(yè)利益造成不可估量的損失。計(jì)算機(jī)安全保密在管理和使用上普遍存在著要求不嚴(yán)、防范能力不強(qiáng)等因素,其主要表現(xiàn)在:
1�����、部分涉密計(jì)算機(jī)操作員未按照計(jì)算機(jī)安全管理規(guī)定,建立健全相應(yīng)的安全操作規(guī)程和制度,未設(shè)置計(jì)算機(jī)系統(tǒng)運(yùn)行情況登記簿�����。
2�����、有的涉密計(jì)算機(jī)操作員在使用時(shí)未設(shè)置開(kāi)機(jī)口令和進(jìn)入網(wǎng)絡(luò)密碼口令;有的雖然設(shè)置了口令,但設(shè)置的口令密碼有4位,不符合口令密碼安全管理要求;還有的操作員長(zhǎng)期使用同一個(gè)口令密碼,沒(méi)有在規(guī)定的時(shí)限內(nèi)進(jìn)行定期更換,甚至有的應(yīng)用系統(tǒng)
