煙草行業信息安全風險的控制策略

近年來，信息技術在煙草行業得到了普遍應用，并對煙草行業的信息整合、資源優化配置、管理理念更新等發揮了無可比擬的作用。然而其信息安全性卻存在著很多風險，如何控制好這些風險已成為煙草行業當前所迫切需要解決的一個問題。 本文對煙草行業信息風險進行剖析，提出了風險控制的建議與措施。

【關鍵詞】煙草 信息化 信息安全

1 煙草行業信息安全問題概述

隨著計算機技術的發展，煙草行業信息網絡應用已由較早的基于單機的文件處理、基于簡單連接的內部網絡的內部業務辦理發展到全球互聯網范圍的信息共享和業務處理。行業信息網絡連接范圍擴大、流通能力提高、作用日益突出的同時，網絡信息安全問題也日益顯現。

信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。解決信息安全的基本策略是綜合治理，技術、管理和法制并舉。技術是核心，計算機網絡信息通信安全的有效解決，從根本上要落實技術手段，通過關鍵技術的突破，構筑起計算機網絡信息通信安全技術防范體系。

2 威脅行業信息安全的主客觀因素

2.1 大環境因素

從我國總體情況來看，信息網絡安全技術的發展滯后于信息網絡技術。網絡技術的發展可以說是日新月異，新技術、新產品層出不窮，但是這些投入對產品本身的安全性來說，進展不大，有的還在延續較為落后的安全技術，以IPS防御系統為例，部分公司考慮到經濟預算、實際要求等并未采用安全性能最好的產品，從而在硬件條件上落后于網絡黑客技術的更新。此外，各種新型病毒發展迅速，超出防火墻屏蔽能力等，都使企業安全防護網絡遭受嚴重威脅。

2.2 目前流行的許多操作系統均存在網絡安全漏洞

許多數據庫軟件、office辦公軟件等都存在系統漏洞，這些漏洞都能為黑客侵入系統所用。而來自外部網絡的病毒郵件及Web惡意插件主要是是偽裝官方郵件或者網站，從而達到利用計算機網絡作為自己繁殖和傳播的載體及工具。操作系統及IT業務系統本身的安全性，來自Internet的郵件夾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件等等均會帶來安全風險。

2.3 煙草企業網絡安全防護體系結構不夠完善

目前多數煙草公司多數采用的是混合型結構，星形和總線型結構重疊并存，相互之間極易產生干擾。利用系統存在的漏洞，黑客就可以利用病毒等入侵開展攻擊，或者，網絡使用者因系統過于復雜而導致錯誤操作，都可能造成網絡安全問題。

2.4 人為因素

來自內部用戶的安全威脅遠大于外部網用戶的安全威脅，特別是一些安裝了防火墻的網絡系統，對內部網用戶來說無法發揮有效作用。而且缺乏有效的手段監視、評估網絡系統的安全性，使用者缺乏安全意識，許多應用服務系統在訪問控制及安全通信方面考慮較少，并且如果系統設置錯誤，很容易造成損失。

3 煙草行業信息安全風險的控制策略

3.1 提高信息系統的物理安全

在信息系統當中，物理安全指的是系統運行時所需的各種硬件設備及硬件環境的安全，這些硬件設備主要有機房及機房中的各種計算機、設備、數據存儲所需的各種介質等。信息系統具備良好的物理安全是企業內部控制安全中的一項重要內容，是網絡與計算機設備硬件自身安全及信息系統各種硬件安全穩定運行的可靠保障。提高煙草企業信息系統的物理安全，需要企業對系統硬件運行狀態進行定期檢查，及時排除硬件故障，為硬件運行提供安全可靠的外界環境。

3.2 提高信息系統的軟件安全

合理地部署和應用網絡技術，需要在物理安全方面基礎上，提高系統的軟件安全。首先要采取有效的訪問控制技術，包括以下幾個方面的內容：入網訪問控制；網絡的權限控制；目錄級安全控制；網絡服務器安全控制；網絡檢測和鎖定控制；網絡端口和節點的安全控制；防火墻控制。通過對入網用戶訪問的限制，對目錄的安全屬性的控制，采用加密，鎖定，檢測等方式來進行網絡維護。其次要建立全面的信息安全管理體系。對信息安全保護的重點不能僅僅依靠對大型服務器和網絡設備的保護，對局域網內任何技術設備都不能忽視。在信息化安全技術每天都在更新的情況下，對物理隔離、信息流管控方面的制度也需要及時作出調整。

3.3 提高系統運維安全

為確保信息系統可以長期安全穩定運行，需要對信息系統進行定期維護，需要對系統內各相關軟件進行升級。在這一環節當中，信息部門作為信息系統運行與維護的主要承擔者和主要責任者，應對其職責范圍內的信息安全有所了解，并以此為基礎做好系統運維記錄，做好系統資料與各種軟件程序的防護工作，建立完整詳細的軟硬件資源庫。在強化運維人員對信息安全重要性認識的同時，對信息系統中可能存在的安全風險進行定期檢查與排除，及時獲得相應的漏洞補丁，及時修復信息系統出現的各種安全問題。

3.4 加強安全專業人才的培養

各級煙草公司應該重視安全專業人才的培養，有機會多送到專業培訓機構進行技術培訓，并多對安全人才進行必要的思想政治教育和職業道德教育。例如指定專職的人員負責安全管理，盡量爭取機會進行專業技術培訓；由信息中心安全人員組建保密委員會，增加安全人員的安全責任感。

4 結束語

信息安全管理工作是一項綜合性工作，要建立一個安全可靠的計算機安全系統，不僅要有專業的安全產品，更要有規范和強有力的安全管理。需要采取各種有效的對策來對信息系統中存在的各種安全風險進行有效控制，確保全方位提高信息系統的安全性。只有信息安全風險得到了有效控制，煙草行業才會快速穩定、可持續發展。

參考文獻

[1]肖峰.煙草信息安全風險分析及策略控制[J].現代商業，2015（23）：53-54.

[2]何翔，薛建國.北京煙草信息網絡安全防護體系的構想[C].2005：301-305.

[3]賴如勤，郭翔飛，于閩等.地市煙草信息安全防護模型的構建與應用[J].中國煙草學報，2016，22（04）：117-123.

[4]李志軍.計算機網絡信息安全及防護策略研究[J].黑龍江科技信息，2013（02）：108.

[5]趙建翊.淺談煙草商業企業信息安全基線建設[J].計算機安全，2013（08）：21-27.

作者簡介

竇光芒，男。經濟師、高級工程師。現供職于安徽省煙草公司合肥市公司信息技術中心。

作者單位

安徽省煙草公司合肥市公司信息技術中心 安徽省合肥市 230000