淺析煙草行業信息安全管理對策

羅曉龍

摘 要：近年來，煙草行業選擇了用信息化帶動煙草行業現代化的道路，信息化手段為煙草行業創造了越來越高的經濟效益。隨著煙草行業信息化建設規模日趨擴大，其信息安全管理工作也面臨越來越多的挑戰。文章從煙草行業信息安全管理的現狀出發，對加強煙草行業信息安全管理的對策進行探討。

關鍵詞：煙草行業；信息安全；系統；管理

我國卷煙市場是全球最大的市場，一直以來，我國煙草行業都保持者穩定的經濟效益。為了推進煙草行業信息化的建設，進一步加快煙草行業的發展步伐，國家煙草部門提出了用信息化技術推動煙草行業現代化建設的理念，并通過一些文件對煙草行業信息安全技術體系和信息安全運維體系等建設工作提出了意見與要求。然而，網絡信息技術應用的日益廣泛，安全問題就日益凸顯，網絡非法攻擊行為對煙草行業信息安全造成了極大的威脅，煙草行業信息安全管理工作亟待改革。

1 煙草行業信息安全的相關論述

信息安全主要是對信息網絡中的軟件、硬件及系統數據等方面進行的保護，若不對其加以保護，就會造成系統數據被破壞或竊取，甚至造成系統運行或網絡服務中斷的問題。隨著煙草行業市場競爭壓力的加劇，煙草行業在煙草制造及銷售方面對信息技術的應用不斷增加，其信息安全程度對煙草行業的發展起著決定性的作用。在煙草行業信息化建設的網絡環境下，信息安全體系對保證煙草行業的信息安全極為重要。

近年來，隨著煙草行業大規模重組合并，煙草企業的網絡拓撲結構日益復雜、信息集成共日益廣泛，給煙草行業的信息安全帶來了諸多的威脅。一方面，煙草行業信息系統在設計本身存在一些不安全因素與薄弱環節，如系統內部保密不到位、內部管理存在漏洞等，都有可能在一定條件下造成對系統數據的破壞。另一方面，一些非法分子容易利用信息安全系統自身的漏洞而肆意闖入，破壞系統的安全穩定運行；在煙草企業局域網與外部網絡連接的情況下，也難免會存在病毒侵入的情況，給煙草行業信息系統帶來較大隱患。

2 當前煙草行業信息安全管理現狀

2.1 網絡基礎設施不健全

雖然近年來我國煙草行業信息化建設和網絡安全建設在不斷優化，但由于我國煙草行業中企業的大范圍兼并與重組，使得較多煙草企業新建的網絡基礎設施還不夠健全，信息系統設備的安全穩定性不強，尤其沒有重視到系統設備的監控功能及容災功能，導致煙草企業的網絡信息系統的功能與作用不能充分發揮出來，同時給信息安全管理工作帶來麻煩。

2.2 信息安全管理制度實施不到位

當前，我國煙草企業都基本建立了適合于國家頒布的煙草信息安全管理制度的企業自身的管理制度，但從其制度實施的成效來看，其效果不容樂觀。有些煙草企業僅將信息安全管理制度流于形式，不重視信息安全管理工作，存儲設備的管理要求也難以落實。另外，煙草行業信息系統具有較強的動態性，對其系統工作人員的要求較高，但是在較多的煙草企業中，其系統操作人員的素質卻無法得到保證，企業的培訓工作也較為滯后，導致信息化建設與總體的技術規范和要求不統一，在很大程度上制約了信息安全管理工作的開展，難以保護信息系統的安全。

2.3 缺乏整體防護

對煙草行業進行信息安全管理，其包含對煙草企業信息系統的全局管理，漏洞評估、入侵檢查、加密設置等都需要從全局出發，進行整體性的額防護。然而，在現階段煙草行業信息安全保障體系中，對于煙草信息系統的全盤考慮較少，預算管理不力，導致煙草信息系統缺乏整體的防護措施。煙草行業僅僅是盲目的效仿國外信息安全管理手段，不能在企業自身信息化建設的實際情況下進行整體信息安全管理。

3 加強煙草行業信息安全管理的有效對策

3.1 管理方面的對策

煙草行業的信息安全管理，首先，需要從管理層面上改革和加強，通過完善和優化信息安全管理體系和實施相應的信息安全管理措施來提高煙草信息安全管理與監督能力。為此，煙草企業應該在國家煙草頒布的煙草信息安全管理制度基礎上制定科學可行的管理政策，成立專門的信息安全管理小組，并規范信息管理人員的工作行為，以保證信息系統的安全運行。另外，要實行嚴格的密碼管理制度，對使用安全體系網絡的人員進行權限分離與身份識別，全面檢測信息系統使用。最后，要加強對網絡信息安全專業人才的培養，加強對工作人員的培訓，提升信息安全管理工作人員的安全意識與安全技術。并加強煙草行業安全文化建設，以此構建煙草行業網絡信息的安全氛圍。

3.2 技術方面的對策

3.2.1 構建健全的安全運維事件響應系統

安全運維事件響應系統是有效實現煙草行業安全運維工作無人化模式的重要信息技術，也是避免人為操作錯誤出現和提高工作效率的有效方式?，F代煙草行業信息化安全建設，要在IT服務及信息系統基礎設施庫的實踐基礎上建立安全運維事件響應系統，并積極采取工作流的模式進行設計，為煙草行業構建一套圖形化、可配置的業務工作管理系統，并保持系統與煙草企業的運維管理工作規章相一致，以此促進煙草企業各環節監督、追蹤及審計工作的智能化，促進信息網絡安全運行。

3.2.2 優化數據加密技術

在信息化建設領域，確保信息安全的重要措施是數據加密技術。煙草行業信息安全保障同樣需要優化其數據加密技術。通常情況下，加密算法是數據加密技術的原理，其通過對明文加密而使其轉換為不能直接讀取的密文，只有通過預先設計好的相匹配的密鑰才能還原明文，致使非法用戶無法獲取數據信息。當前，煙草行業應該積極的運用數據加密技術，如對稱性加密技術與非對稱加密技術、數字摘要加密技術、數字信封、數字證書等，其能承受嚴格的檢查與驗證，并能主動地抵御病毒，是煙草行業信息系統數據安全完整的保障。

3.2.3 加強入侵檢測技術的利用

入侵檢測技術是一種新型的網絡安全技術，是通過軟硬件的方法對信息系統中的數據與檢測系統中的數據進行分析對比后，當系統出現被攻擊跡象時，由防火墻主動調整網絡訪問的控制策略，以此保障系統的安全性。為此，煙草行業信息系統中應該加強入侵檢測功能的設計，加強常用的黑客入侵識別手段，并實時監測和處理信息網絡中的通信異常現象，對煙草行業信息系統的漏洞進行修復與處理，達到對煙草行業信息系統漏洞掃描、病毒防御及進攻識別的檢測，以此確保信息安全結構的完整性。

3.2.4 加強網絡安全身份認證

由于網絡空間具有較強的虛擬特性，訪問的用戶具有極大的不確定性，因而網絡安全身份認證作為一種系統確認用戶身份的技術，對于確保網絡安全、控制用戶訪問具有重要的意義。對于煙草企業而言，用戶對其信息系統進行訪問其達成交易的重要環節。煙草企業要有效避免非法用戶的訪問，為此就必須加強網絡身份認證，使用戶身份信息通過監控器而傳遞給授權數據庫，以此確定訪問用戶的真實性與安全性。煙草企業要對授權數據庫進行配置，可以通過口令方式、秘密信息的認證方式及動態口令身份認證等方式來認證用戶的身份信息，進而控制用戶訪問系統的權限。

4 結束語

在日益復雜的網絡環境下，我國煙草行業信息安全面臨諸多的安全隱患。煙草行業要從管理層面及技術層面加強信息安全管理措施的實施，努力更新現代化信息技術，建立一個健全的現代化信息安全管理體系，以此促進煙草行業信息化建設水平的提升與核心競爭力的增強。

參考文獻

[1]楊欣.煙草行業信息安全應對策略探討[J].中小企業管理與科技，2013（5）.

[2]陳宇明.煙草行業信息安全管理的研究與探索[J].計算機安全，2011（9）.

[3]高萍，黃偉達.煙草企業信息安全方面的思考[J].黑龍江科技信息，2010（31）.