淺談煙草行業信息安全風險控制策略

張 睿

在現代信息社會中各行各業都依賴于互聯網技術搭建內部信息管理系統和對外交易體系，我國煙草行業從管理層到基層職工都已配備完善的聯網辦公設備和數據庫，極大地提高了日常工作效率，但因技術與人力資源配置等因素限制，大部分煙草業公司的信息交流和數據存儲體系都隱藏著安全漏洞，容易遭到不法分子網絡攻擊，以此必須盡快提高煙草業信息管理水平，確保這一關乎國計民生的支柱型企業穩定運轉。

1 煙草業信息安全風險的基本概念和重要性

信息安全風險控制的具體含義是對企業內部信息管理系統的軟硬件設備以及數據庫實施嚴密管理，減輕企業交易信息的泄露風險，及時修補系統中的容易遭受攻擊或可能被黑客利用的安全漏洞，使企業能夠穩定運轉，不受不確定的信息風險影響。信息安全風險控制是一門隨著互聯網技術在各行各業逐步普及而興起的新興學科，要想保證煙草行業安全運營，就必須重視信息安全風險管控，加大對相關領域建設的支持，構建一套完善可靠的網絡監管體系，隨著全球化經濟體系的逐步擴張，怎樣在網路信息自由高速傳播的新時代保護煙草行業的信息安全，是企業管理者必須盡快解決的關鍵問題。

網絡世界沒有明確邊界，網絡環境中龍蛇混雜，對外開放的信息渠道使煙草行業等國家命脈產業容易遭受外國網絡犯罪團伙的攻擊和刺探，一旦泄露重要交易信息和詳細業務數據，就會為國家帶來嚴重的經濟損失，而且這種不對稱的網絡犯罪具備準入門檻較低、付出成本少而受益大，按司法程序跨國追責較為困難等特點，難以完全從社會層面杜絕，我國煙草企業只能被動強化自身的信息管控能力，避免因遭受不法侵害導致國有資產流失。

2 煙草業信息安全風險管控體系的主要問題

2.1 企業未能從物理設備層面加強信息安全防控，缺少可靠的信息管控手段

現階段企業信息安全管理屬于企業自負的基本責任之一，不受外部干涉，完全屬于內部解決問題，然而我國煙草業從業者普遍習慣于使用外國進口設備，例如Windows操作系統和英特爾處理器[1]，在使用進口設備時沒有采用任何可靠的安全防護手段加密業務信息，如果外國設備供應商留下系統后門，則我國煙草行業將完全喪失信息安全。而且目前煙草業的部分企業未能及時對安全防護系統進行更新換代，依舊在使用落后于科技發展潮流的老舊設備，這些傳統設備已經沒有相應的安全升級和漏洞修復支持，入侵難度較低，難以被納入信息安全防控體系之中。

2.2 行業內部缺乏憂患意識，沒有建立完善的工作人員監管體系

煙草行業的大多數高層管理人員尚未意識到企業信息系統的漏洞，對信息安全風險管控機制的現實意義沒有明確認識，沒有將信息安全管控納入內控管理制度之中，造成大多數員工思想松懈、行為不端，未能積極捍衛我國煙草業的信息安全[2]，部分員工甚至主動泄露工作涉及機密信息，并以此為傲。煙草企業管理層放縱基層員工在工作中私自使用單位設備聯網和接入其他信息終端等違規行為，未能嚴厲打擊這些極易招致網絡攻擊的錯誤行為。

3 現階段可行的信息安全風險管控手段研究

3.1 企業全部使用國產信息設備，采用多樣化的信息安全防控手段

要想提高煙草企業的信息安全，有效控制內部信息泄露的風險，首先必須確保硬件、軟件設備安全，我國煙草企業除涉外業務較多的企業外均應使用全國產信息處理設備，例如“鴻蒙系統”“龍芯處理器”“中標麒麟Linux”等國產操作系統和硬件設備，這些技術設備的生產商政治上可靠，技術上已經接近國際先進水平，全部采用國產設備完全不會影響正常的日常辦公活動，僅需流出一段時間讓員工逐步適應。企業必須在要害部門使用本國生產的沒有外國企業代工的信息設備，確保具體操作信息的安全，打破外國科技設備的行業壟斷，為煙草行業營造一個安全穩定的運營環境[3]。

企業還應定期停機檢測設備的安全性，通過技術設備掃描探明網絡系統中的漏洞，修改不正確的網絡協議，堵住黑客入侵能夠利用的漏洞，排除設備中的移植木馬和隱藏后門。在信息設備中使用準入白名單機制限制外網不明來源用戶的訪問，從信息渠道層面隔絕交流，達到絕對安全的實際效果，不給外國黑客集團實施攻擊的機會。

企業還可建立的安全風險管控隊伍的人才儲備庫，有條件的企業還可建立獨立的信息安全防控小組，該小組負責研發并構建獨立與其他行業和公司的企業內部網絡系統，對企業所購進的網絡設備進行全方位的掃描測評，保證軟、硬件安全，信息安全防控小組還可采用新型加密算法對重要的文件和交易信息進行加密處理，避免內部信息被截流查看，也可預防工作人員私自復制文件，定期組織企業內部安全防控演練，培育各級工作人員的安全防衛意識，提高企業的信息安全性，將安全風險控制到最小程度。

3.2 煙草行業監管部門和企業高層強化信息安全風險管控

企業管理人員和行業監管機構必須著力于行業信息安全管控體系的建設，設立專業的信息管理機構，對其日常工作進行大力支持，為升級新型安全系統投入足夠的資金，為信息管理隊伍的建設調配足夠的人才，將企業管理重點從提升經濟利潤轉向確保企業信息安全之上，在企業內部為各級管理人員開辦信息安全知識講座，從上到下逐級傳遞信息安全防護知識與領導指示，由部門管理者帶動部門基層工作者，改變原有惡習，杜絕各類有可能危害企業信息安全的違規行為，例如不再將未殺毒的移動硬盤連接在單位電腦上，不再將工作文件上傳至微信和QQ群組中，不再與親人朋友討論行業的機密和具體數據等。

企業的信息安全需要所有員工的積極配合才能保證，只有工作人員的密切配合，才能顯著降低企業信息安全風險，從最大程度上減少信息外泄的可能。管理人員可設計嚴密的行為獎懲制度，將職業信息安全防護與員工的升職加薪掛鉤，驅動員工盡快改變日常行為舉止，由專職監管小組定期抽查檢測各部門員工的信息安全防范意識高低和行為活動，通過為表現良好的員工提供獎勵形成群體示范效應，對屢教不改的違紀者進行嚴肅處理，絕不姑息縱容。管理者還應減少行業交易信息流通涉及的環節，明確劃分各單位各部門的信息管理權限，建立信息訪問分級制度，只有具備特殊任務的職工或一定級別的領導者才能訪問企業的機密數據庫，通過這種手段能夠將企業內部員工泄密的風險降到最低。

4 結論

企業信息風險防控工作是一項較為復雜的涉及不同領域知識與技術的工作，為了保證煙草行業的信息安全，管理人員必須樹立安全防控意識，鼓勵基層員工參與到信息安全防控工作中來，建立專業的安全技術防控小組，采用可靠的信息防護設備，自行研發構建獨立的信息交換系統，有效防范網絡非法入侵，減少信息泄露風險，為煙草行業的健康發展保駕護航。