烟草在线专稿 引:烟草行业随着电子营销和办公自动化的运行,由计算机处理日常业务逐渐替代了以往的工作方式,使工作效率大为提高的同时,涉密信息的安全风险日益突出。本文试从涉密信息风险原理来分析烟草行业涉密信息系统的安全隐患,进而提出相应的防范和对策建议。
近些年来,随着互联网的迅猛发展,烟草行业不断加大了在电子营销和电子政务等方面的信息化建设。快捷、高效的电子信息技术不断增强了行业的经营、管理、控制、决策等方面的运行能力。然而随着网络开放性、互连性、共享性程度不断扩大,网络的安全问题变得越来越重要,计算机信息系统的安全问题也日益突出,尤其是涉密信息的安全问题引发的风险,已成为影响行业信息稳定安全的重要因素。如何构建一个安全、高效的涉密计算机信息系统应用环境,已经成为当前行业信息化的关键问题。
一、国内计算机信息系统的主要安全隐患及其原因
当前国内对于信息涉密方面的安全问题,重点是指信息安全事件发生后对数据安全性和服务连续性造成的后果。在实体防护上的后果又可具体分为如下三类:数据篡改、系统入侵与网络攻击、信息泄露。
(一)数据篡改导致数据篡改的安全事件主要有针对静态网页的数据篡改、针对动态网页和网站数据库的篡改、内部人员篡改数据以及软件产品漏洞后门等四种。造成数据篡改的原因主要是网站的后台管理系统对互联网开放,网页程序存在漏洞、配置不合理,内部人员安全保密意识淡薄、措施不到位以及软件代码缺乏安全等。
(二)系统入侵与网络攻击导致系统入侵与网络攻击的安全事件主要有针对系统的远程节点的入侵、域名劫持、ddos攻击等三种。针对系统的远程节点的入侵一般是由于使用明文传输的远程登录软件或没有设置安全的远程登录控制策略。域名劫持一般是由于保护措施不到位造成的。ddos攻击方式一般是攻击者利用被病毒感染的“肉鸡”,连续不断地向目标主机发送数据,造成网络拥塞、系统瘫痪。造成系统入侵与网络攻击的原因主要是技术手段落后、保护措施不到位以及抗ddos攻击的安全措施不到位。
(三)信息泄露导致信息泄露的安全事件主要有内部邮件信息泄露和内部文件信息泄露等两种。信息泄露的方式主要有两种,一是被窃听,信息在网络传送过程中,攻击者可在传输信道上对数据进行非法截获、监听,获取通信中的敏感信息,造成信息泄露。二是利用系统安全漏洞,通过攻击数据库服务器,直接获取信息。造成信息泄露的原因主要是软件或安全漏洞和终端安全问题。
二、烟草行业涉密信息系统可能面临的
安全威胁行业电子政务系统中需重点防护的是办公类涉密信息系统,主要包括电子公文信息系统、公文传输系统等,从以上对一般信息系统发生安全事件对信息系统造成的后果及其发生原因,我们可以罗列出目前这些涉密信息系统可能面临的安全威胁。
(一)应用软件安全问题不容忽视。目前,涉密信息系统所大量使用的应用软件,包括操作系统软件,如windows、unix等,数据库管理软件,如db2、sybase等,应用软件,包括办公软件、邮件系统软件等,基本是外部采购,这些软件由于国外厂商一般不愿意提供软件源代码的原因,就有可能暗含漏洞或隐藏后门,这些漏洞和后门平时处于休眠状态,如果国外敌对势力在战争时利用这些漏洞或激活这些“后门”,将致使行业行政资源调度系统瘫痪,将直接威胁到行业的稳定及安全。
(二)基础网络功能集合程度高的问题亟待解决。烟草行业网络系统承载着业务处理、电子邮件、公文传输、电视会议等业务、政务信息。同时,为提高网络加密保密能力,经过多年的建设,也采取了网络链路层加密、防火墙、入侵检测等多种安全措施,配置加密设备,保障了电子邮件、公文传输系统等核心业务的传输安全,初步构成了网络系统的安全保障体系。但是,我们认为内部网络对涉密信息的保障仍然存在隐患,原因有二:一是由于内部网络是统一的业务处理平台和政务信息平台,各级别涉密信息和大量的非涉密信息充斥其中,加大了对涉密信息管理的难度,较难实现对涉密信息的分级保护。二是由于内部网络是一个与行业各部门互联互通的信息交互平台,尽管采取了网络链路层加密、密押、防火墙、入侵检测等多种安全措施,配置了加密设备,但是任何技术设备都有它的脆弱性,随时都有可能成为系统入侵和网络攻击的漏洞。
(三)解决病毒带来的信息泄露问题刻不容缓。计算机病毒具有隐蔽性强的特点,它们通常附着在正常程序中或磁盘较为隐蔽的地方,悄无声息地窃取用户隐私、机密文件、账号信息等,造成信息泄露。病毒基本上有两个来源,一是网络传播。由于内部网络连接起了所有的行业部门,是一个统一的业务处理平台,这就不可避免地要受到跨网的病毒传播危害。二是存储介质传播。地方行业部门由于业务工作的要求,需要从地方政府部门或机构接收电子信息数据,或将一些报表、情况反映等报送给政府部门,这样的信息交换一般都是通过存储介质交换完成的。有时会因为管理制度落实不到位、操作人员安全保密意识淡薄等原因,将携有病毒的文件通过数据交换带入了内部网络,造成了病毒在内部网络上的传播,给网络和信息的安全保密造成了隐患。
三、当前行业在涉密信息安全工作中的现状
(一)行业涉密方面的内容
烟草行业工作中的涉密范围包括国家秘密和行业敏感信息两方面。
1、国家秘密是指关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。烟草行业工作中国家秘密及其密级范围的具体范围是:
(1)机密级事项,包括对外谈判中内部掌握的价格和标底,进口配额,国别和客户政策。
(2)涉及烟草行业产品(卷烟、烟机、醋酸丝束)的关键技术资料、样品及其来源。
(3)烟草行业工作中涉及其他部门的国家秘密事项,其密级按国家有关主管部门的保密范围确定。
2、行业敏感信息是指烟草行业工作中涉及一些不宜公开的资料和事项,或在一定时间内只限行业内一定范围的人员知悉的资料和事项。其范围如下:
(1)烟草商业系统中长期发展规划、科技发展规划以及核心技术科研项目资料。
(2)烟草商业系统对外合作意向,进出口卷烟计划及有关调整计划。
(3)烟草专卖打假行动方案和举报线索。
(4)基建工程项目招、投标有关文件及资料。
(5)烟草及烟草制品与相关烟草专卖品生产专有技术的核心内容。
(6)干部考察阶段的材料以及纪检监察案件举报、调查材料。
(7)“两烟”产供销计划有关调整计划。
(8)领导在重要会议召开前的相关讲话草稿及不拟公开的定稿。
(9)行业内部财务收支审计、经济责任审计、基建审计等在审计报告公布之前的相关文件资料。
(10)与其它单位签订的各种产品、服务合同和协议。
(11)机关内部的经济运行通报及相关报表汇编、经营情况统计快报、财务快报、会计报表。
(12)其他需要设定行业敏感信息的资料和事项。
(二)行业信息安全管理方面的规定
烟草行业作为国有重点经营性部门,为加强行业信息系统安全保密管理,重点做好网络信息安全工作,国家局(公司)成立了以副局长为组长,国家局机关各部门、各单位主要负责人为成员的烟草行业信息安全工作领导小组。近些年来国家局(公司)先后下发了《关于进一步加强行业信息安全工作有关事项的通知》、《加强烟草行业办公计算机安全和保密管理的若干规定》、《烟草行业CA认证体系建设方案》、《烟草行业信息安全保障体系建设指南》,转发了国家保密局和国务院信息化工作办公室《关于印发加强党政机关计算机信息系统安全和保密管理若干规定通知的通知》等一系列关于加强信息安全和保密管理的制度及方案。各省、市局(公司)也相应出台了一系列关于加强信息管理保障涉密安全的具体执行办法和规章制度。
(三)行业目前信息安全中面临的问题
通过对当前行业内一些市、县级局(公司)在涉密信息使用及管理方面的现状调研,客观地说普遍存在着重业务轻安全的现象。表现在网络安全防护方面投入严重不足,网络安全产品在数量上、功能上均不能满足需要,信息系统极可能遭受网络攻击,造成网络瘫痪、重要信息泄密情况发生,这些都将对行业利益造成不可估量的损失。计算机安全保密在管理和使用上普遍存在着要求不严、防范能力不强等因素,其主要表现在:
1、部分涉密计算机操作员未按照计算机安全管理规定,建立健全相应的安全操作规程和制度,未设置计算机系统运行情况登记簿。
2、有的涉密计算机操作员在使用时未设置开机口令和进入网络密码口令;有的虽然设置了口令,但设置的口令密码有4位,不符合口令密码安全管理要求;还有的操作员长期使用同一个口令密码,没有在规定的时限内进行定期更换,甚至有的应用系统
新意盎然——安徽中烟在新质生产力实践中的探索与成果