淺析煙草行業(yè)信息安全風險防控

謝宜俊

[摘要]當前。世界各國紛紛加快推進信息技術研發(fā)和應用，綜合信息網絡向寬帶、融合、泛在方向演進，信息技術、產品、內容、網絡和平臺等加速融合，新一代信息及時快速發(fā)展。正在引領新一輪技術革命和產業(yè)變革，全球正處在重塑發(fā)展理念、重構競爭優(yōu)勢的關鍵節(jié)點上。隨著企業(yè)信息化建設的發(fā)展和完善，各種信息系統(tǒng)的應用使大量的企業(yè)經營信息和組織的運作控制流程高度集中于企業(yè)信息系統(tǒng)之中。信息系統(tǒng)安全問題日益引起人們的關注。本文分析了信息化時代背景下，企業(yè)信息安全的基本概念、企業(yè)信息安全的基本特征以及在信息安全方面所存在的風險，并提出了控制煙草行業(yè)信息安全的幾點策略，旨在提升信息系統(tǒng)安全性和可靠性。

[關鍵詞]煙草行業(yè)：風險分析：控制策略：信息安全

當前，世界各國紛紛加快推進信息技術研發(fā)和應用，綜合信息網絡向寬帶、融合、泛在方向演進，信息技術、產品、內容、網絡和平臺等加速融合，新一代信息及時快速發(fā)展，正在引領新一輪技術革命和產業(yè)變革，全球正處在重塑發(fā)展理念、重構競爭優(yōu)勢的關鍵節(jié)點上。黨的十八大提出堅持走中國特色新型工業(yè)化、信息化、城鎮(zhèn)化、農業(yè)現代化道路，推動信息化和工業(yè)化深度融合，促進工業(yè)化、信息化、城鎮(zhèn)化、農業(yè)現代化同步發(fā)展。大力推動“兩化”深度融合、“四化”同步發(fā)展，是黨中央準確把握全球新一輪科技革命和產業(yè)變革趨勢，統(tǒng)籌經濟社會發(fā)展全局，搶占未來產業(yè)競爭制高點作出的重大戰(zhàn)略決策。

2016年4月19日，中共中央總書記、國家主席、中央軍委主席、中央網絡安全和信息化領導小組組長習近平在京主持召開網絡安全和信息化工作座談會并發(fā)表重要講話。這一講話在業(yè)內引起熱烈反響，“習總書記高屋建瓴，將網絡安全和信息化工作置于宏觀背景中，作出了一系列凝聚中國智慧的論斷和決策，為把我國建設成網絡強國指出了一條正確的道路。習近平總書記在中央網絡安全和信息化領導小組第一次會議講話中強調，“網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施”，“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”。中央的要求進一步表明，網絡安全和信息化已真正上升為國家發(fā)展戰(zhàn)略，信息化已成為經濟與社會發(fā)展的重要驅動力，是衡量一個企業(yè)乃至國家整體實力的重要標志。

國家煙草專賣局黨組高度重視信息化建設和信息安全工作，以決策管理系統(tǒng)為代表的一系列重點工程項目建設取得了豐碩成果，信息化在規(guī)范卷煙生產經營業(yè)務、提高行業(yè)宏觀調控和科學決策能力等方面發(fā)揮了重要作用，為行業(yè)持續(xù)穩(wěn)定健康發(fā)展提供了有力支撐。隨著煙草企業(yè)信息化的不斷推進，以“一號工程”為基礎，以“三流合一”為目標，以“一個平臺、五大應用、五大保障”為基本框架，整合兼容、互聯互通、先進實用、改造升級，推進一體化數字煙草建設的總體發(fā)展思路，網絡規(guī)模和應用系統(tǒng)的不斷擴大，凸顯應用系統(tǒng)部署缺乏明確的指導原則，網絡結構層次不清、系統(tǒng)管理維護困難，隨之帶來安全防護困難，

1企業(yè)信息安全的基本概念

企業(yè)是創(chuàng)造社會財富的源泉，企業(yè)信息化水平代表了一個國家整體信息化水平的高低，“企業(yè)利用現代信息技術手段，在生產、經營、管理過程中，有效地開發(fā)、利用和傳播信息資源的過程”，稱之為企業(yè)信息化。信息化時代，信息是各行業(yè)發(fā)展所需的重要資源和資產，而信息安全性在企業(yè)經營發(fā)展中的地位變得越來越高。所謂信息安全，指的是企業(yè)信息、企業(yè)信息系統(tǒng)及其所處環(huán)境安全性的綜合。它包括企業(yè)信息的安全性、完整性、可靠性和真實性等內容，它涵蓋了信息環(huán)境、信息網絡和通信基礎設施、媒體、數據、信息內容、信息應用等多個方面的安全需要。包括信息不受威脅和危險、信息系統(tǒng)的安全、信息數據的安全和信息內容的安全等。

2企業(yè)信息安全的基本特征

2.1數據的有效性、保密性

有效性是指信息所涉及的內容是真實有效的，在法律上可界定：保密性是信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性，即防止信息泄露給非授權個人或實體，信息只為授權用戶使用的特性。保密性是在可靠性和可用性基礎之上，保障網絡信息安全的重要手段，

2.2身份的真實性

真實性是指用戶的身份是真實的。例如在較大企業(yè)內，用戶張三聲明他是張三，但是網絡能夠相信他嗎？會不會是李四冒充張三呢？因此，如何能對通訊實體身份的真實性進行鑒別？如何保證用戶的身份不會被別人冒充？尤其在信息系統(tǒng)中，絕對不允許冒充、偽造等現象的存在，這是真實性所需要解決的問題。

2.3系統(tǒng)的可靠性

可靠性是指系統(tǒng)能夠在規(guī)定條件和規(guī)定的時間內完成規(guī)定的功能的特性?？煽啃允窍到y(tǒng)安全的最基礎要求之一，是所有企業(yè)信息系統(tǒng)的建設和運行的基本目標。

2.4數據的完整性

完整性是信息未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地添加、刪除、修改、偽造、亂序、重放等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣。即信息的正確生成、正確存儲和正確傳輸。

2.5數據的不可否認性

不可否認性也稱作不可抵賴性。在網絡信息系統(tǒng)的信息交互過程中，確信參與者的真實唯一性，即所有參與者都不可能否認或抵賴曾經完成的操作和承諾。利用信息源證據可以防止發(fā)信方不真實地否認己發(fā)送信息。利用遞交接收證據可以防止收信方事后否認已經接收的信息。數字簽名技術是解決不可否認性的手段之一。

2.6數據的可用性

可用性是信息可被授權實體訪問并被按需求使用的特性，即信息服務在需要時，允許授權用戶或實體使用的特性，或者是網絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性?？捎眯允切畔⑾到y(tǒng)面向用戶的安全性能。信息系統(tǒng)最基本的功能是向用戶提供服務，而用戶的需求是隨機的、多方面的，有時還有時間要求?？捎眯砸话阌孟到y(tǒng)正常使用時間和整個工作時間之比來度量。

2.7數據的可控性

可控性是對信息的傳播及內容具有控制能力的特性。不允許不良內容通過公共網絡進行傳輸。對于企業(yè)信息系統(tǒng)而言，可控性是十分重要的特點，所有需要公開發(fā)布的信息必須通過審計后才能發(fā)布，

3煙草行業(yè)存在的信息安全風險

3.1內部安全存在隱患

隨著信息技術應用的日益普遍和成熟，各煙草企業(yè)已建立起屬于自己的內部局域網，并開發(fā)出各種所需信息系統(tǒng)，包括信息管理系統(tǒng)、生產銷售系統(tǒng)、辦公系統(tǒng)、綜合服務系統(tǒng)、決策系統(tǒng)等。這些系統(tǒng)共同支撐起企業(yè)經營決策管理，大大提高了企業(yè)辦公的效率。然而，信息系統(tǒng)在給企業(yè)帶來巨大便利的同時，也給企業(yè)信息安全帶來了更多、更大的風險，如不良信息對員工思想的沖擊，員工結構頻繁的變化流動等，都給企業(yè)的內部安全控制造成了很大隱患。

3.2易受外部干擾和攻擊

通常，煙草企業(yè)為方便基層員工，要求基層部門通過VPN來訪問企業(yè)內部信息系統(tǒng)，同時企業(yè)內部網絡經常會有存儲設備和電腦供應商的介入。企業(yè)內部網絡與外部網絡的頻繁連接。為外部網絡中病毒、木馬、黑客等對企業(yè)內部網絡的干擾、攻擊與破壞創(chuàng)造了便利的通道。一旦企業(yè)內部網絡遭受外部干擾和攻擊，將很可能導致企業(yè)信息系統(tǒng)遭受不良影響而中斷，甚至造成整個網絡系統(tǒng)癱瘓和計算機的崩潰，給企業(yè)造成巨大的經濟損失。

4煙草行業(yè)信息安全風險的控制策略

4.1加強數據備份與恢復，提高數據安全

數據安全是信息系統(tǒng)最為核心的一個部分，它具有兩種含義。其一，數據本身的安全，指通過數據完整性、數據加密等現代使用較為廣泛的加密算法對數據進行主動保護，提高數據本身的安全性。其二，數據防護的安全，指以現代數據存儲為主要工具對數據進行安全防護，如數據備份、數據恢復、磁盤陣列等。對于煙草行業(yè)而言，宜采用統(tǒng)一的數據備份系統(tǒng)和性能良好的數據備份軟件，以提高數據的備份和恢復功能，并按照備份策略對所有需要備份的數據進行增量和完全備份，以提高數據的安全性。此外，應指派專業(yè)人員對數據備份隋況進行定期檢查，以確保數據備份進行的及時準確、可靠完整。同時對數據進行定期恢復測試，對其可用性進行檢驗，根據數據可用性情況和備份、恢復情況對數據備份策略和恢復策略進行及時恰當的調整，保障數據備份策略與恢復策略可以滿足數據備份與恢復需要。

4.2提高信息系統(tǒng)的物理安全

在信息系統(tǒng)當中，物理安全指的是系統(tǒng)運行時所需的各種硬件設備及硬件環(huán)境的安全，這些硬件設備主要有機房及機房中的各種計算機、設備、數據存儲所需的各種介質等。信息系統(tǒng)具備良好的物理安全是企業(yè)內部控制安全中的一項重要內容，是網絡與計算機設備硬件自身安全及信息系統(tǒng)各種硬件安全穩(wěn)定運行的可靠保障，提高煙草企業(yè)信息系統(tǒng)的物理安全，需要企業(yè)對系統(tǒng)硬件運行狀態(tài)進行定期檢查，及時排除硬件故障，為硬件運行提供安全可靠的外界環(huán)境。

4.3提高系統(tǒng)運維安全

為確保信息系統(tǒng)可以長期安全穩(wěn)定運行，需要對信息系統(tǒng)進行定期維護，需要對系統(tǒng)內各相關軟件進行升級。在這一環(huán)節(jié)當中，信息部門作為信息系統(tǒng)運行與維護的主要承擔者和主要責任者，應對其職責范圍內的信息安全有所了解，并以此為基礎做好系統(tǒng)運維記錄，做好系統(tǒng)資料與各種軟件程序的防護工作，建立完整詳細的軟硬件資源庫。在強化運維人員對信息安全重要性認識的同時，對信息系統(tǒng)中可能存在的安全風險進行定期檢查與排除，及時獲得相應的漏洞補丁，及時修復信息系統(tǒng)出現的各種安全問題。

5結語

通過上文分析可知。信息安全是一項涉及技術、設備、管理等多方面復雜的系統(tǒng)工程，若想要煙草企業(yè)信息系統(tǒng)處于相對安全的運行狀態(tài)下，就需要采取各種有效的對策來對信息系統(tǒng)中存在的各種安全風險進行有效控制，確保全方位提高信息系統(tǒng)的安全性，只有信息安全風險得到了有效控制，只有信息系統(tǒng)的安全性得到了切實提高，煙草行業(yè)才會快速穩(wěn)定、可持續(xù)發(fā)展下去，才會為我國經濟發(fā)展貢獻一份力量。

[責任編輯：王偉平]