烟叶生产网络与信息安全现状和对策分析

◆梁海祥

（广东烟草韶关市有限公司 广东 512000）

1 前言

面对信息化、“互联网+”、大数据、云计算等科技革新浪潮的出现，烟草农业生产也不可避免需要通过数字化转型升级来提升烟叶生产质量、烟叶收购效率、烟叶保存运输的保障水平，进一步提高烟农的经济收入，减少灾害损失，做到助农惠农。但是随着网络应用规模的不断扩大，烟叶生产中各类信息系统的网络安全管理工作提升到日益重要的位置。加强烟叶生产的网络安全管理，提升操作人员的网络安全意识，建设烟叶生产可靠的网络安全环境，可以进一步推动烟叶生产可靠平稳发展，起到促农增收的作用。

2 影响烟叶生产收购的安全因素分析

烟叶生产收购从烟叶播种、育苗、种植到成熟采摘，然后进入烤房烘烤，最后通过烟站收购，将农民的丰收成果转化为实实在在的经济效益。在让农民享受丰收喜悦的同时，烟叶生产收购的各类系统、设备在收购期间担负着分级检验、烟叶入库、资金交付、安全监控等一系列重要工作，保证所有设备安全、正常运行、数据真实、可靠、有效也是网络安全工作的重要部分。关于烟叶生产收购期间网络安全风险有以下几个方面：

2.1 烟叶生产电脑终端安全风险

由于烟叶生产收购的办公地点均在农村或靠近农村的乡镇，因此使用环境较差，办公电脑的人员操作水平有限。在日常办公电脑使用过程，缺少针对性强且行之有效的安全防护监控手段，电脑的防护手段基本仅限于安装防病毒软件，缺乏安全隔离、安全检测、移动存储介质管控、身份识别等更为有效的安全防护手段。并且因为电脑使用年限、环境等问题导致防病毒软件无法兼容，出现防病毒手段失效、病毒特征库无法更新、操作系统版本老旧无法升级安全补丁等问题。

2.2 烟叶生产收购系统风险

烟叶生产收购工作人员通过计算机终端登录烟叶生产收购系统，假如计算机终端综合安全防护缺失，会导致计算机终端的木马病毒、恶意代码等，攻击、渗透烟叶生产收购系统，植入木马、窃取烟农个人隐私信息、破坏正常生产经营数据，造成烟农重大经济损失。

2.3 网络边界安全风险

内网缺少入侵检测设备，无法对内网网络事件进行监视和记录。没有内网准入系统等控制手段，无法防御非法人员通过物理接入方式进入企业内网，进而攻击办公终端、网络设备、各类核心业务系统。

2.4 烟叶烤房管理系统遭受攻击

烟叶采摘后，烟农需要通过烤房烘烤后才能交由当地烟站收购。目前烟叶烤房已逐渐由传统烤房升级为密集型自动控温烤房。但是由于自动控温系统有着远程监控、远程控温、远程报警等功能，也面临着系统被入侵、黑客远控等风险，进而导致烟叶烘烤温度恶意调高，烟叶高温报废等经济损失。

2.5 烟叶生产收购流水线被攻击

烟叶生产收购流水线属于工控设备的一部分，但是其与办公网、管理网的连接缺少逻辑隔离和检测防护。流水线缺乏针对外部攻击和病毒感染的发现、防御手段，当各种病毒、特洛伊木马、蠕虫等外部威胁源进入管理网、办公网后，就可能通过网络传输直接威胁到流水线正常收购工作，影响烟农交付烟叶进度，甚至造成经济损失。

2.6 人员网络安全管理问题

因为烟叶生产收购工作人员日常要操作办公电脑终端、业务系统、流水线等设备设施，面临安装使用带病毒木马软件、系统密码泄露、私接移动路由设备、外来人员接入带病毒设备等风险，此类风险会导致病毒在企业内网扩散、系统被不法分子操作，烟农隐私信息泄露等问题。

3 烟叶生产网络安全防护手段

3.1 加强电脑终端安全防护

（1）在办公电脑上禁止使用无密码、弱密码的方式登录操作系统，操作系统登录密码不得随意告知身份不明人员；

（2）安装正版杀毒软件，定期全盘查杀病毒，外接存储介质时需查杀病毒后方可使用；

（3）及时安装操作系统安全补丁，将系统高危漏洞暴露风险降至最低；

（4）发现电脑终端被植入木马病毒、黑客入侵等网络安全事件时，要立即物理断网，并马上通知网络安全专业人士进行处理。

3.2 烟叶生产收购系统网络安全防护手段

（1）若系统无须与互联网通信，则通过物理或安全设备隔离的方式，将服务器与互联网隔离；

（2）及时安装操作系统安全补丁，将系统高危漏洞暴露风险降至最低；

（3）使用安全可靠的电脑终端连接业务系统，防止病毒、黑客通过电脑终端作为跳板攻击业务系统服务器。

（4）针对烟叶生产收购系统建立定期的、可执行的数据备份机制，并在数据备份完成后校验数据备份文件的完整性，异地保存备份数据，并做好数据异常时期的应急预案。

3.3 网络安全技术措施

（1）采取网络准入认证系统，通过员工访客用户设备身份识别、网络审计管控等功能，提供员工可靠的网络接入环境，并对未知接入情况进行审查，阻止恶意接入网络行为；

（2）通过建立边界防火墙，将单一烟站收购环境与企业内网隔离，仅通过必要端口传输业务数据，降低因电脑端被植入木马病毒后攻击企业内网关键核心系统的风险；

（3）建立一体化态势感知运维系统，覆盖烟叶收购工作的所有信息化设备，实时动态掌握相关业务环境中网络质量、设备通信情况、恶意攻击情况，并在有网络安全事件出现时，能够通过全平台态势感知溯源到攻击源头，及时进行应急处置；

（4）在互联网接入端架设互联网防火墙、入侵防护系统、防病毒网关等网络安全设备，通过不同网络安全设备对外网非法扫描、渗透入侵、木马病毒等行为进行针对性防护。

3.4 烟叶烤房管理系统安全防护手段

（1）限制烤房管理系统外联端口数量，减少系统端口在互联网上的暴露范围，减少黑客通过互联网端口扫描等方式发现烟叶烤房管理系统的情况，降低黑客攻击成功概率；

（2）限制烤房管理系统开机使用事件，在非烘烤时间关闭系统，降低非业务工作时间工作人员监管疏漏情况，通过控制暴露时间减少网络安全风险；

（3）在互联网前置端假设反向代理服务器，用户直接访问反向代理服务器，通过反向代理服务器获取烤房管理系统信息，无法获取真实服务器信息，减少安全风险。

3.5 烟叶生产收购流水线安全防护手段

（1）加强设备设施的管理，禁止非工作人员接触流水线，破坏流水线正常业务运作；

（2）在流水线与办公区域之间架设工业防火墙，阻断针对工业流水线的恶意代码、有害命令等通过网络传输的方式破坏流水线的正常运作。

3.6 人员网络安全管理

（1）加强烟叶生产业务操作人员的网络安全知识培训，让相关人员认识到不正确的操作带来的网络安全风险，并提高网络安全意识，养成良好的网络、系统使用习惯，并熟悉一定的网络安全防护知识，减少业务使用操作中的网络安全风险；

（2）养成定期查杀病毒，外接存储介质先查毒再使用的习惯。电脑操作系统登录密码、业务系统操作密码等各类业务相关账号密码均使用强密码，不得无密码登录操作。

（3）做好重要数据的定期备份，并防范重要业务数据、烟农隐私信息等重要数据被泄露或被恶意窃取，做好资料保存、拷贝、转移等期间的网络安全防护措施。

4 结束语

在网络化、信息化技术不断飞速发展的时代，烟叶生产也在信息化技术的支撑下不断提高产品质与量，通过质与量的提升进一步带动烟农种植效益，达到促农增收的作用。但是烟叶生产工作信息化的同时，网络安全也显得尤为重要。本文对烟叶生产信息化过程中常见的问题进行了探讨和分析，并针对问题提出了相关解决措施和建议，通过采取相关措施可以强化烟叶生产过程中的网络安全防护能力，提高网络安全防护水平，为烟农创收增收提供安全可靠的信息化保障。