烟草行业信息安全风险的控制策略

　　近年来，信息技术在烟草行业得到了普遍应用，并对烟草行业的信息整合、资源优化配置、管理理念更新等发挥了无可比拟的作用。然而其信息安全性却存在着很多风险，如何控制好这些风险已成为烟草行业当前所迫切需要解决的一个问题。本文对烟草行业信息风险进行剖析，提出了风险控制的建议与措施。
　　【关键词】烟草信息化信息安全
　　1 烟草行业信息安全问题概述
　　随着计算机技术的发展，烟草行业信息网络应用已由较早的基于单机的文件处理、基于简单连接的内部网络的内部业务办理发展到全球互联网范围的信息共享和业务处理。行业信息网络连接范围扩大、流通能力提高、作用日益突出的同时，网络信息安全问题也日益显现。
　　信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。解决信息安全的基本策略是综合治理，技术、管理和法制并举。技术是核心，计算机网络信息通信安全的有效解决，从根本上要落实技术手段，通过关键技术的突破，构筑起计算机网络信息通信安全技术防范体系。
　　2 威胁行业信息安全的主客观因素
　　2.1 大环境因素
　　从我国总体情况来看，信息网络安全技术的发展滞后于信息网络技术。网络技术的发展可以说是日新月异，新技术、新产品层出不穷，但是这些投入对产品本身的安全性来说，进展不大，有的还在延续较为落后的安全技术，以IPS防御系统为例，部分公司考虑到经济预算、实际要求等并未采用安全性能最好的产品，从而在硬件条件上落后于网络黑客技术的更新。此外，各种新型病毒发展迅速，超出防火墙屏蔽能力等，都使企业安全防护网络遭受严重威胁。
　　2.2 目前流行的许多操作系统均存在网络安全漏洞
　　许多数据库软件、office办公软件等都存在系统漏洞，这些漏洞都能为黑客侵入系统所用。而来自外部网络的病毒邮件及Web恶意插件主要是是伪装官方邮件或者网站，从而达到利用计算机网络作为自己繁殖和传播的载体及工具。操作系统及IT业务系统本身的安全性，来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件等等均会带来安全风险。
　　2.3 烟草企业网络安全防护体系结构不够完善
　　目前多数烟草公司多数采用的是混合型结构，星形和总线型结构重叠并存，相互之间极易产生干扰。利用系统存在的漏洞，黑客就可以利用病毒等入侵开展攻击，或者，网络使用者因系统过于复杂而导致错误操作，都可能造成网络安全问题。
　　2.4 人为因素
　　来自内部用户的安全威胁远大于外部网用户的安全威胁，特别是一些安装了防火墙的网络系统，对内部网用户来说无法发挥有效作用。而且缺乏有效的手段监视、评估网络系统的安全性，使用者缺乏安全意识，许多应用服务系统在访问控制及安全通信方面考虑较少，并且如果系统设置错误，很容易造成损失。
　　3 烟草行业信息安全风险的控制策略
　　3.1 提高信息系统的物理安全
　　在信息系统当中，物理安全指的是系统运行时所需的各种硬件设备及硬件环境的安全，这些硬件设备主要有机房及机房中的各种计算机、设备、数据存储所需的各种介质等。信息系统具备良好的物理安全是企业内部控制安全中的一项重要内容，是网络与计算机设备硬件自身安全及信息系统各种硬件安全稳定运行的可靠保障。提高烟草企业信息系统的物理安全，需要企业对系统硬件运行状态进行定期检查，及时排除硬件故障，为硬件运行提供安全可靠的外界环境。
　　3.2 提高信息系统的软件安全
　　合理地部署和应用网络技术，需要在物理安全方面基础上，提高系统的软件安全。首先要采取有效的访问控制技术，包括以下几个方面的内容：入网访问控制；网络的权限控制；目录级安全控制；网络服务器安全控制；网络检测和锁定控制；网络端口和节点的安全控制；防火墙控制。通过对入网用户访问的限制，对目录的安全属性的控制，采用加密，锁定，检测等方式来进行网络维护。其次要建立全面的信息安全管理体系。对信息安全保护的重点不能仅仅依靠对大型服务器和网络设备的保护，对局域网内任何技术设备都不能忽视。在信息化安全技术每天都在更新的情况下，对物理隔离、信息流管控方面的制度也需要及时作出调整。
　　3.3 提高系统运维安全
　　为确保信息系统可以长期安全稳定运行，需要对信息系统进行定期维护，需要对系统内各相关软件进行升级。在这一环节当中，信息部门作为信息系统运行与维护的主要承担者和主要责任者，应对其职责范围内的信息安全有所了解，并以此为基础做好系统运维记录，做好系统资料与各种软件程序的防护工作，建立完整详细的软硬件资源库。在强化运维人员对信息安全重要性认识的同时，对信息系统中可能存在的安全风险进行定期检查与排除，及时获得相应的漏洞补丁，及时修复信息系统出现的各种安全问题。
　　3.4 加强安全专业人才的培养
　　各级烟草公司應该重视安全专业人才的培养，有机会多送到专业培训机构进行技术培训，并多对安全人才进行必要的思想政治教育和职业道德教育。例如指定专职的人员负责安全管理，尽量争取机会进行专业技术培训；由信息中心安全人员组建保密委员会，增加安全人员的安全责任感。
　　4 结束语
　　信息安全管理工作是一项综合性工作，要建立一个安全可靠的计算机安全系统，不仅要有专业的安全产品，更要有规范和强有力的安全管理。需要采取各种有效的对策来对信息系统中存在的各种安全风险进行有效控制，确保全方位提高信息系统的安全性。只有信息安全风险得到了有效控制，烟草行业才会快速稳定、可持续发展。
　　参考文献
　　[1]肖峰.烟草信息安全风险分析及策略控制[J].现代商业，2015（23）：53-54.
　　[2]何翔，薛建国.北京烟草信息网络安全防护体系的构想[C].2005：301-305.
　　[3]赖如勤，郭翔飞，于闽等.地市烟草信息安全防护模型的构建与应用[J].中国烟草学报，2016，22（04）：117-123.
　　[4]李志军.计算机网络信息安全及防护策略研究[J].黑龙江科技信息，2013（02）：108.
　　[5]赵建翊.浅谈烟草商业企业信息安全基线建设[J].计算机安全，2013（08）：21-27.
　　作者简介
　　窦光芒，男。经济师、高级工程师。现供职于安徽省烟草公司合肥市公司信息技术中心。
　　作者单位
　　安徽省烟草公司合肥市公司信息技术中心安徽省合肥市 230000