煙草行業(yè)信息安全風(fēng)險的控制策略

近年來，信息技術(shù)在煙草行業(yè)得到了普遍應(yīng)用，并對煙草行業(yè)的信息整合、資源優(yōu)化配置、管理理念更新等發(fā)揮了無可比擬的作用。然而其信息安全性卻存在著很多風(fēng)險，如何控制好這些風(fēng)險已成為煙草行業(yè)當(dāng)前所迫切需要解決的一個問題。 本文對煙草行業(yè)信息風(fēng)險進行剖析，提出了風(fēng)險控制的建議與措施。

【關(guān)鍵詞】煙草 信息化 信息安全

1 煙草行業(yè)信息安全問題概述

隨著計算機技術(shù)的發(fā)展，煙草行業(yè)信息網(wǎng)絡(luò)應(yīng)用已由較早的基于單機的文件處理、基于簡單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)辦理發(fā)展到全球互聯(lián)網(wǎng)范圍的信息共享和業(yè)務(wù)處理。行業(yè)信息網(wǎng)絡(luò)連接范圍擴大、流通能力提高、作用日益突出的同時，網(wǎng)絡(luò)信息安全問題也日益顯現(xiàn)。

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷。解決信息安全的基本策略是綜合治理，技術(shù)、管理和法制并舉。技術(shù)是核心，計算機網(wǎng)絡(luò)信息通信安全的有效解決，從根本上要落實技術(shù)手段，通過關(guān)鍵技術(shù)的突破，構(gòu)筑起計算機網(wǎng)絡(luò)信息通信安全技術(shù)防范體系。

2 威脅行業(yè)信息安全的主客觀因素

2.1 大環(huán)境因素

從我國總體情況來看，信息網(wǎng)絡(luò)安全技術(shù)的發(fā)展滯后于信息網(wǎng)絡(luò)技術(shù)。網(wǎng)絡(luò)技術(shù)的發(fā)展可以說是日新月異，新技術(shù)、新產(chǎn)品層出不窮，但是這些投入對產(chǎn)品本身的安全性來說，進展不大，有的還在延續(xù)較為落后的安全技術(shù)，以IPS防御系統(tǒng)為例，部分公司考慮到經(jīng)濟預(yù)算、實際要求等并未采用安全性能最好的產(chǎn)品，從而在硬件條件上落后于網(wǎng)絡(luò)黑客技術(shù)的更新。此外，各種新型病毒發(fā)展迅速，超出防火墻屏蔽能力等，都使企業(yè)安全防護網(wǎng)絡(luò)遭受嚴(yán)重威脅。

2.2 目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞

許多數(shù)據(jù)庫軟件、office辦公軟件等都存在系統(tǒng)漏洞，這些漏洞都能為黑客侵入系統(tǒng)所用。而來自外部網(wǎng)絡(luò)的病毒郵件及Web惡意插件主要是是偽裝官方郵件或者網(wǎng)站，從而達到利用計算機網(wǎng)絡(luò)作為自己繁殖和傳播的載體及工具。操作系統(tǒng)及IT業(yè)務(wù)系統(tǒng)本身的安全性，來自Internet的郵件夾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件等等均會帶來安全風(fēng)險。

2.3 煙草企業(yè)網(wǎng)絡(luò)安全防護體系結(jié)構(gòu)不夠完善

目前多數(shù)煙草公司多數(shù)采用的是混合型結(jié)構(gòu)，星形和總線型結(jié)構(gòu)重疊并存，相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞，黑客就可以利用病毒等入侵開展攻擊，或者，網(wǎng)絡(luò)使用者因系統(tǒng)過于復(fù)雜而導(dǎo)致錯誤操作，都可能造成網(wǎng)絡(luò)安全問題。

2.4 人為因素

來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅，特別是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng)，對內(nèi)部網(wǎng)用戶來說無法發(fā)揮有效作用。而且缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性，使用者缺乏安全意識，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少，并且如果系統(tǒng)設(shè)置錯誤，很容易造成損失。

3 煙草行業(yè)信息安全風(fēng)險的控制策略

3.1 提高信息系統(tǒng)的物理安全

在信息系統(tǒng)當(dāng)中，物理安全指的是系統(tǒng)運行時所需的各種硬件設(shè)備及硬件環(huán)境的安全，這些硬件設(shè)備主要有機房及機房中的各種計算機、設(shè)備、數(shù)據(jù)存儲所需的各種介質(zhì)等。信息系統(tǒng)具備良好的物理安全是企業(yè)內(nèi)部控制安全中的一項重要內(nèi)容，是網(wǎng)絡(luò)與計算機設(shè)備硬件自身安全及信息系統(tǒng)各種硬件安全穩(wěn)定運行的可靠保障。提高煙草企業(yè)信息系統(tǒng)的物理安全，需要企業(yè)對系統(tǒng)硬件運行狀態(tài)進行定期檢查，及時排除硬件故障，為硬件運行提供安全可靠的外界環(huán)境。

3.2 提高信息系統(tǒng)的軟件安全

合理地部署和應(yīng)用網(wǎng)絡(luò)技術(shù)，需要在物理安全方面基礎(chǔ)上，提高系統(tǒng)的軟件安全。首先要采取有效的訪問控制技術(shù)，包括以下幾個方面的內(nèi)容：入網(wǎng)訪問控制；網(wǎng)絡(luò)的權(quán)限控制；目錄級安全控制；網(wǎng)絡(luò)服務(wù)器安全控制；網(wǎng)絡(luò)檢測和鎖定控制；網(wǎng)絡(luò)端口和節(jié)點的安全控制；防火墻控制。通過對入網(wǎng)用戶訪問的限制，對目錄的安全屬性的控制，采用加密，鎖定，檢測等方式來進行網(wǎng)絡(luò)維護。其次要建立全面的信息安全管理體系。對信息安全保護的重點不能僅僅依靠對大型服務(wù)器和網(wǎng)絡(luò)設(shè)備的保護，對局域網(wǎng)內(nèi)任何技術(shù)設(shè)備都不能忽視。在信息化安全技術(shù)每天都在更新的情況下，對物理隔離、信息流管控方面的制度也需要及時作出調(diào)整。

3.3 提高系統(tǒng)運維安全

為確保信息系統(tǒng)可以長期安全穩(wěn)定運行，需要對信息系統(tǒng)進行定期維護，需要對系統(tǒng)內(nèi)各相關(guān)軟件進行升級。在這一環(huán)節(jié)當(dāng)中，信息部門作為信息系統(tǒng)運行與維護的主要承擔(dān)者和主要責(zé)任者，應(yīng)對其職責(zé)范圍內(nèi)的信息安全有所了解，并以此為基礎(chǔ)做好系統(tǒng)運維記錄，做好系統(tǒng)資料與各種軟件程序的防護工作，建立完整詳細的軟硬件資源庫。在強化運維人員對信息安全重要性認(rèn)識的同時，對信息系統(tǒng)中可能存在的安全風(fēng)險進行定期檢查與排除，及時獲得相應(yīng)的漏洞補丁，及時修復(fù)信息系統(tǒng)出現(xiàn)的各種安全問題。

3.4 加強安全專業(yè)人才的培養(yǎng)

各級煙草公司應(yīng)該重視安全專業(yè)人才的培養(yǎng)，有機會多送到專業(yè)培訓(xùn)機構(gòu)進行技術(shù)培訓(xùn)，并多對安全人才進行必要的思想政治教育和職業(yè)道德教育。例如指定專職的人員負責(zé)安全管理，盡量爭取機會進行專業(yè)技術(shù)培訓(xùn)；由信息中心安全人員組建保密委員會，增加安全人員的安全責(zé)任感。

4 結(jié)束語

信息安全管理工作是一項綜合性工作，要建立一個安全可靠的計算機安全系統(tǒng)，不僅要有專業(yè)的安全產(chǎn)品，更要有規(guī)范和強有力的安全管理。需要采取各種有效的對策來對信息系統(tǒng)中存在的各種安全風(fēng)險進行有效控制，確保全方位提高信息系統(tǒng)的安全性。只有信息安全風(fēng)險得到了有效控制，煙草行業(yè)才會快速穩(wěn)定、可持續(xù)發(fā)展。

參考文獻

[1]肖峰.煙草信息安全風(fēng)險分析及策略控制[J].現(xiàn)代商業(yè)，2015（23）：53-54.

[2]何翔，薛建國.北京煙草信息網(wǎng)絡(luò)安全防護體系的構(gòu)想[C].2005：301-305.

[3]賴如勤，郭翔飛，于閩等.地市煙草信息安全防護模型的構(gòu)建與應(yīng)用[J].中國煙草學(xué)報，2016，22（04）：117-123.

[4]李志軍.計算機網(wǎng)絡(luò)信息安全及防護策略研究[J].黑龍江科技信息，2013（02）：108.

[5]趙建翊.淺談煙草商業(yè)企業(yè)信息安全基線建設(shè)[J].計算機安全，2013（08）：21-27.

作者簡介

竇光芒，男。經(jīng)濟師、高級工程師?，F(xiàn)供職于安徽省煙草公司合肥市公司信息技術(shù)中心。

作者單位

安徽省煙草公司合肥市公司信息技術(shù)中心 安徽省合肥市 230000