淺析煙草行業信息安全風險防控

許巍濤

【摘要】本文對信息技術角度下煙草行業運行的安全風險進行分析，重點闡述信息安全風險防控，主要有完善信息加密形式、設置信息安全防控計劃和重視數據的備份和恢復等環節，旨在提升煙草行業信息安全，促進行業快速、持久的發展。

【關鍵詞】煙草行業? 信息安全? 風險防控

現在，很多企業使用信息技術進行工作，煙草行業也不例外，但是網絡技術受各種因素的影響，容易產生信息的泄露和丟失，這種情況對煙草行業中重要信息的儲存有巨大威脅，因此，要提升信息安全的風險防控，增強對重要信息的儲存和保護。

一、煙草行業信息安全風險

（一）信息系統整體安全性低

隨著科學社會的發展，很多企業都自行研發信息系統，適當引入其他企業優良功能，這種形式造成系統的整體安全性低，主要有：數據的傳輸、整合和儲存形式傳統、系統設計缺陷等，特別是數據的傳輸，仍以明文形式，這種形式導致文件安全性較低，很容易出現信息的竊取或者篡改，系統中用戶認證方式老舊，一般是口令認證形式，沒有加密口令。

（二）內部安全隱患

隨著信息技術在煙草行業中運用范圍的加大，很多部門都建立了相應的局域網絡。另外，出現很多工作軟件，例如物流查詢平臺、辦公平臺和綜合服務平帶等，提升了工作效率，但是隨著信息技術使用的普及化，煙草行業內部出現的問題凸顯而出，例如企業內部結構和崗位的變化，規模不斷擴大等造成內部信息量增多，信息設備復雜化，工作人員使用過程中出現信息破壞，失誤篡改數據等情況發生，出現信息安全風險。

（三）外部安全隱患

現在煙草行業計算機使用情況來說，企業內部的網絡和儲存設備、接入服務的供方計算機有密切的關系，所以內部和外界交流密切，提升了外界病毒或者黑客攻擊的可能性。例如網絡型病毒、木馬和蠕蟲等攻擊，產生重要信息丟失、系統崩潰等情況發生，嚴重影響煙草企業正常業務進行和管理。

二、煙草行業信息安全防控措施

（一）完善加密形式

煙草行業內部使用計算機時要進行信息加密手段，建立合理的加密渠道。例如進行信息化建設時，有技術人員研發出多元化的信息加密形式，建立更加復雜的加密渠道，提升煙草信息行業信息平臺建設的可靠性。或者上技術人員可以利用數字簽名、訪問控制和身份認證等多種形式，工作人員要想進入服務平臺時要經過一系列的身份驗證手段，對風險進行防范，每個登錄系統都要設置登錄賬號和密碼，嚴禁使用簡單的密碼，嚴格按照信息安全管理規范進行密碼的制定，提升系統訪問的安全性，另外，定期進行密碼的更換。

（二）科學設置信息安全防控計劃

煙草行業要科學規劃企業內部信息安全框架，這是阻擋風險的主要手段。第一，結合信息技術的未來發展方向，制定企業內信息安全發展規劃，保證規劃方向的正確性，防止走錯方向，浪費大量人力、物力和財力。第二，和煙草行業現在發展狀況和主要信息風險內容為主要方向，不同部門建立有差異性的信息安全防控計劃，對信息安全的管理需求的不同制定更加有針對性的防控手段，規避企業內部和外部網絡安全隱患。

（三）加強數據的備份和恢復

煙草行業中信息技術的運用，最重要的就是數據的安全性，主要包括了兩層含義，第一層是數據集本身的安全，利用信息的完整性，對其進行加密等手段，是現在使用比較廣泛的加密方法對數據進行保護，提升煙草行業數據的安全性。第二層，數據信息的保護，主要是指利用數據信息儲存為主，對重要信息進行保護，例如磁盤列陣、備份和數據恢復等。煙草行業中，使用數據備份軟件進行重要數據的備份，提升數據的安全性。另外，由專業人員對備份的數據進行定期的檢查，保證以往信息完整性和準確性，對數據進行恢復測試，測驗實用性，根據數據的使用情況對其進行備份和恢復策略進行適當的調整。

（四）提升工作人員信息安全意識

煙草行業利用信息技術進行管理工作的時候，需要對上崗人員進行培訓，提升工作人員對計算機使用的重視，制定科學規章制度，確保員工在安全的環境中利用信息技術進行工作，降低信息安全風險，員工要建立全面的網絡安全意識，在我國法律法規下執行工作，約束自身行為，阻止內部人員通過信息技術進行相關違法行為。為了防止工作人員工作浮于表面，行業領導要重視工作的時效性，一方面，對企業內部所有工作崗位進行了解，人員的配置上，盡量保證專人專崗，嚴禁出現一人多崗情況，這不但給工作人員帶來巨大壓力，還降低工作量。另一方面，信息技術管理人員要對每個崗位人員使用計算機情況進行審核，掌握每名員工的工作情況，有針對性的進行改進，利用互相制約等手段，減少工作人員利用網絡進行違規行為，在企業內部降低煙草行業受網絡攻擊的幾率。

（五）保證終端用戶合法操作

企業運行時，煙草企業不同層次的管理人員和員工作在計算機中的訪問權限是不同的。所以行業領導可以利用對用戶的統一管理提升信息防范的有效性。對頂層領導的賬戶進行權限分割和實時監測，這些用戶進行信息化工作時，使用更加嚴格的訪問管理，例如電子證書等。一旦賬號密碼多次輸入錯誤，就啟動相關報警措施，并限制登錄，防止煙草行業內部高級機密泄露。關鍵時刻還要對有關員工進行審計，由網絡監察人員對其網絡使用情況進行跟蹤，檢測是否有違規行為發生。除此之外，還要建立安全的使用環境，建立服務器和機密數據系統，在每個工作部門就設置磁卡門，并配有多個磁卡閱讀器，對重要的機密要求多名工作人員一同進入才能進行有關工作的操作。利用這種形式，提升對信息的風險防控，保證煙草行業的基本利益。

三、結論

綜上所述，煙草行業進行信息化安全管理防控時，不但要阻止外部威脅，還要積極防范內部威脅，通過一系列的手段，加強信息技術工作環節的安全性，實現煙草企業健康、快速的發展。

參考文獻：

[1]彭志勇.煙草行業信息安全風險及其防控策略探究[J].技術與市場，2016，（12）.

[2]朱益旻.煙草行業信息安全風險分析與控制策略研究[J].中國管理信息化，2015，（24）.