淺析煙草行業信息安全風險防控

謝宜俊

[摘要]當前。世界各國紛紛加快推進信息技術研發和應用，綜合信息網絡向寬帶、融合、泛在方向演進，信息技術、產品、內容、網絡和平臺等加速融合，新一代信息及時快速發展。正在引領新一輪技術革命和產業變革，全球正處在重塑發展理念、重構競爭優勢的關鍵節點上。隨著企業信息化建設的發展和完善，各種信息系統的應用使大量的企業經營信息和組織的運作控制流程高度集中于企業信息系統之中。信息系統安全問題日益引起人們的關注。本文分析了信息化時代背景下，企業信息安全的基本概念、企業信息安全的基本特征以及在信息安全方面所存在的風險，并提出了控制煙草行業信息安全的幾點策略，旨在提升信息系統安全性和可靠性。

[關鍵詞]煙草行業：風險分析：控制策略：信息安全

當前，世界各國紛紛加快推進信息技術研發和應用，綜合信息網絡向寬帶、融合、泛在方向演進，信息技術、產品、內容、網絡和平臺等加速融合，新一代信息及時快速發展，正在引領新一輪技術革命和產業變革，全球正處在重塑發展理念、重構競爭優勢的關鍵節點上。黨的十八大提出堅持走中國特色新型工業化、信息化、城鎮化、農業現代化道路，推動信息化和工業化深度融合，促進工業化、信息化、城鎮化、農業現代化同步發展。大力推動“兩化”深度融合、“四化”同步發展，是黨中央準確把握全球新一輪科技革命和產業變革趨勢，統籌經濟社會發展全局，搶占未來產業競爭制高點作出的重大戰略決策。

2016年4月19日，中共中央總書記、國家主席、中央軍委主席、中央網絡安全和信息化領導小組組長習近平在京主持召開網絡安全和信息化工作座談會并發表重要講話。這一講話在業內引起熱烈反響，“習總書記高屋建瓴，將網絡安全和信息化工作置于宏觀背景中，作出了一系列凝聚中國智慧的論斷和決策，為把我國建設成網絡強國指出了一條正確的道路。習近平總書記在中央網絡安全和信息化領導小組第一次會議講話中強調，“網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施”，“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”。中央的要求進一步表明，網絡安全和信息化已真正上升為國家發展戰略，信息化已成為經濟與社會發展的重要驅動力，是衡量一個企業乃至國家整體實力的重要標志。

國家煙草專賣局黨組高度重視信息化建設和信息安全工作，以決策管理系統為代表的一系列重點工程項目建設取得了豐碩成果，信息化在規范卷煙生產經營業務、提高行業宏觀調控和科學決策能力等方面發揮了重要作用，為行業持續穩定健康發展提供了有力支撐。隨著煙草企業信息化的不斷推進，以“一號工程”為基礎，以“三流合一”為目標，以“一個平臺、五大應用、五大保障”為基本框架，整合兼容、互聯互通、先進實用、改造升級，推進一體化數字煙草建設的總體發展思路，網絡規模和應用系統的不斷擴大，凸顯應用系統部署缺乏明確的指導原則，網絡結構層次不清、系統管理維護困難，隨之帶來安全防護困難，

1企業信息安全的基本概念

企業是創造社會財富的源泉，企業信息化水平代表了一個國家整體信息化水平的高低，“企業利用現代信息技術手段，在生產、經營、管理過程中，有效地開發、利用和傳播信息資源的過程”，稱之為企業信息化。信息化時代，信息是各行業發展所需的重要資源和資產，而信息安全性在企業經營發展中的地位變得越來越高。所謂信息安全，指的是企業信息、企業信息系統及其所處環境安全性的綜合。它包括企業信息的安全性、完整性、可靠性和真實性等內容，它涵蓋了信息環境、信息網絡和通信基礎設施、媒體、數據、信息內容、信息應用等多個方面的安全需要。包括信息不受威脅和危險、信息系統的安全、信息數據的安全和信息內容的安全等。

2企業信息安全的基本特征

2.1數據的有效性、保密性

有效性是指信息所涉及的內容是真實有效的，在法律上可界定：保密性是信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性，即防止信息泄露給非授權個人或實體，信息只為授權用戶使用的特性。保密性是在可靠性和可用性基礎之上，保障網絡信息安全的重要手段，

2.2身份的真實性

真實性是指用戶的身份是真實的。例如在較大企業內，用戶張三聲明他是張三，但是網絡能夠相信他嗎？會不會是李四冒充張三呢？因此，如何能對通訊實體身份的真實性進行鑒別？如何保證用戶的身份不會被別人冒充？尤其在信息系統中，絕對不允許冒充、偽造等現象的存在，這是真實性所需要解決的問題。

2.3系統的可靠性

可靠性是指系統能夠在規定條件和規定的時間內完成規定的功能的特性。可靠性是系統安全的最基礎要求之一，是所有企業信息系統的建設和運行的基本目標。

2.4數據的完整性

完整性是信息未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地添加、刪除、修改、偽造、亂序、重放等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣。即信息的正確生成、正確存儲和正確傳輸。

2.5數據的不可否認性

不可否認性也稱作不可抵賴性。在網絡信息系統的信息交互過程中，確信參與者的真實唯一性，即所有參與者都不可能否認或抵賴曾經完成的操作和承諾。利用信息源證據可以防止發信方不真實地否認己發送信息。利用遞交接收證據可以防止收信方事后否認已經接收的信息。數字簽名技術是解決不可否認性的手段之一。

2.6數據的可用性

可用性是信息可被授權實體訪問并被按需求使用的特性，即信息服務在需要時，允許授權用戶或實體使用的特性，或者是網絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。可用性是信息系統面向用戶的安全性能。信息系統最基本的功能是向用戶提供服務，而用戶的需求是隨機的、多方面的，有時還有時間要求。可用性一般用系統正常使用時間和整個工作時間之比來度量。

2.7數據的可控性

可控性是對信息的傳播及內容具有控制能力的特性。不允許不良內容通過公共網絡進行傳輸。對于企業信息系統而言，可控性是十分重要的特點，所有需要公開發布的信息必須通過審計后才能發布，

3煙草行業存在的信息安全風險

3.1內部安全存在隱患

隨著信息技術應用的日益普遍和成熟，各煙草企業已建立起屬于自己的內部局域網，并開發出各種所需信息系統，包括信息管理系統、生產銷售系統、辦公系統、綜合服務系統、決策系統等。這些系統共同支撐起企業經營決策管理，大大提高了企業辦公的效率。然而，信息系統在給企業帶來巨大便利的同時，也給企業信息安全帶來了更多、更大的風險，如不良信息對員工思想的沖擊，員工結構頻繁的變化流動等，都給企業的內部安全控制造成了很大隱患。

3.2易受外部干擾和攻擊

通常，煙草企業為方便基層員工，要求基層部門通過VPN來訪問企業內部信息系統，同時企業內部網絡經常會有存儲設備和電腦供應商的介入。企業內部網絡與外部網絡的頻繁連接。為外部網絡中病毒、木馬、黑客等對企業內部網絡的干擾、攻擊與破壞創造了便利的通道。一旦企業內部網絡遭受外部干擾和攻擊，將很可能導致企業信息系統遭受不良影響而中斷，甚至造成整個網絡系統癱瘓和計算機的崩潰，給企業造成巨大的經濟損失。

4煙草行業信息安全風險的控制策略

4.1加強數據備份與恢復，提高數據安全

數據安全是信息系統最為核心的一個部分，它具有兩種含義。其一，數據本身的安全，指通過數據完整性、數據加密等現代使用較為廣泛的加密算法對數據進行主動保護，提高數據本身的安全性。其二，數據防護的安全，指以現代數據存儲為主要工具對數據進行安全防護，如數據備份、數據恢復、磁盤陣列等。對于煙草行業而言，宜采用統一的數據備份系統和性能良好的數據備份軟件，以提高數據的備份和恢復功能，并按照備份策略對所有需要備份的數據進行增量和完全備份，以提高數據的安全性。此外，應指派專業人員對數據備份隋況進行定期檢查，以確保數據備份進行的及時準確、可靠完整。同時對數據進行定期恢復測試，對其可用性進行檢驗，根據數據可用性情況和備份、恢復情況對數據備份策略和恢復策略進行及時恰當的調整，保障數據備份策略與恢復策略可以滿足數據備份與恢復需要。

4.2提高信息系統的物理安全

在信息系統當中，物理安全指的是系統運行時所需的各種硬件設備及硬件環境的安全，這些硬件設備主要有機房及機房中的各種計算機、設備、數據存儲所需的各種介質等。信息系統具備良好的物理安全是企業內部控制安全中的一項重要內容，是網絡與計算機設備硬件自身安全及信息系統各種硬件安全穩定運行的可靠保障，提高煙草企業信息系統的物理安全，需要企業對系統硬件運行狀態進行定期檢查，及時排除硬件故障，為硬件運行提供安全可靠的外界環境。

4.3提高系統運維安全

為確保信息系統可以長期安全穩定運行，需要對信息系統進行定期維護，需要對系統內各相關軟件進行升級。在這一環節當中，信息部門作為信息系統運行與維護的主要承擔者和主要責任者，應對其職責范圍內的信息安全有所了解，并以此為基礎做好系統運維記錄，做好系統資料與各種軟件程序的防護工作，建立完整詳細的軟硬件資源庫。在強化運維人員對信息安全重要性認識的同時，對信息系統中可能存在的安全風險進行定期檢查與排除，及時獲得相應的漏洞補丁，及時修復信息系統出現的各種安全問題。

5結語

通過上文分析可知。信息安全是一項涉及技術、設備、管理等多方面復雜的系統工程，若想要煙草企業信息系統處于相對安全的運行狀態下，就需要采取各種有效的對策來對信息系統中存在的各種安全風險進行有效控制，確保全方位提高信息系統的安全性，只有信息安全風險得到了有效控制，只有信息系統的安全性得到了切實提高，煙草行業才會快速穩定、可持續發展下去，才會為我國經濟發展貢獻一份力量。

[責任編輯：王偉平]