淺析煙草行業(yè)信息安全管理對(duì)策

羅曉龍

摘 要：近年來，煙草行業(yè)選擇了用信息化帶動(dòng)煙草行業(yè)現(xiàn)代化的道路，信息化手段為煙草行業(yè)創(chuàng)造了越來越高的經(jīng)濟(jì)效益。隨著煙草行業(yè)信息化建設(shè)規(guī)模日趨擴(kuò)大，其信息安全管理工作也面臨越來越多的挑戰(zhàn)。文章從煙草行業(yè)信息安全管理的現(xiàn)狀出發(fā)，對(duì)加強(qiáng)煙草行業(yè)信息安全管理的對(duì)策進(jìn)行探討。

關(guān)鍵詞：煙草行業(yè)；信息安全；系統(tǒng)；管理

我國(guó)卷煙市場(chǎng)是全球最大的市場(chǎng)，一直以來，我國(guó)煙草行業(yè)都保持者穩(wěn)定的經(jīng)濟(jì)效益。為了推進(jìn)煙草行業(yè)信息化的建設(shè)，進(jìn)一步加快煙草行業(yè)的發(fā)展步伐，國(guó)家煙草部門提出了用信息化技術(shù)推動(dòng)煙草行業(yè)現(xiàn)代化建設(shè)的理念，并通過一些文件對(duì)煙草行業(yè)信息安全技術(shù)體系和信息安全運(yùn)維體系等建設(shè)工作提出了意見與要求。然而，網(wǎng)絡(luò)信息技術(shù)應(yīng)用的日益廣泛，安全問題就日益凸顯，網(wǎng)絡(luò)非法攻擊行為對(duì)煙草行業(yè)信息安全造成了極大的威脅，煙草行業(yè)信息安全管理工作亟待改革。

1 煙草行業(yè)信息安全的相關(guān)論述

信息安全主要是對(duì)信息網(wǎng)絡(luò)中的軟件、硬件及系統(tǒng)數(shù)據(jù)等方面進(jìn)行的保護(hù)，若不對(duì)其加以保護(hù)，就會(huì)造成系統(tǒng)數(shù)據(jù)被破壞或竊取，甚至造成系統(tǒng)運(yùn)行或網(wǎng)絡(luò)服務(wù)中斷的問題。隨著煙草行業(yè)市場(chǎng)競(jìng)爭(zhēng)壓力的加劇，煙草行業(yè)在煙草制造及銷售方面對(duì)信息技術(shù)的應(yīng)用不斷增加，其信息安全程度對(duì)煙草行業(yè)的發(fā)展起著決定性的作用。在煙草行業(yè)信息化建設(shè)的網(wǎng)絡(luò)環(huán)境下，信息安全體系對(duì)保證煙草行業(yè)的信息安全極為重要。

近年來，隨著煙草行業(yè)大規(guī)模重組合并，煙草企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)日益復(fù)雜、信息集成共日益廣泛，給煙草行業(yè)的信息安全帶來了諸多的威脅。一方面，煙草行業(yè)信息系統(tǒng)在設(shè)計(jì)本身存在一些不安全因素與薄弱環(huán)節(jié)，如系統(tǒng)內(nèi)部保密不到位、內(nèi)部管理存在漏洞等，都有可能在一定條件下造成對(duì)系統(tǒng)數(shù)據(jù)的破壞。另一方面，一些非法分子容易利用信息安全系統(tǒng)自身的漏洞而肆意闖入，破壞系統(tǒng)的安全穩(wěn)定運(yùn)行；在煙草企業(yè)局域網(wǎng)與外部網(wǎng)絡(luò)連接的情況下，也難免會(huì)存在病毒侵入的情況，給煙草行業(yè)信息系統(tǒng)帶來較大隱患。

2 當(dāng)前煙草行業(yè)信息安全管理現(xiàn)狀

2.1 網(wǎng)絡(luò)基礎(chǔ)設(shè)施不健全

雖然近年來我國(guó)煙草行業(yè)信息化建設(shè)和網(wǎng)絡(luò)安全建設(shè)在不斷優(yōu)化，但由于我國(guó)煙草行業(yè)中企業(yè)的大范圍兼并與重組，使得較多煙草企業(yè)新建的網(wǎng)絡(luò)基礎(chǔ)設(shè)施還不夠健全，信息系統(tǒng)設(shè)備的安全穩(wěn)定性不強(qiáng)，尤其沒有重視到系統(tǒng)設(shè)備的監(jiān)控功能及容災(zāi)功能，導(dǎo)致煙草企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)的功能與作用不能充分發(fā)揮出來，同時(shí)給信息安全管理工作帶來麻煩。

2.2 信息安全管理制度實(shí)施不到位

當(dāng)前，我國(guó)煙草企業(yè)都基本建立了適合于國(guó)家頒布的煙草信息安全管理制度的企業(yè)自身的管理制度，但從其制度實(shí)施的成效來看，其效果不容樂觀。有些煙草企業(yè)僅將信息安全管理制度流于形式，不重視信息安全管理工作，存儲(chǔ)設(shè)備的管理要求也難以落實(shí)。另外，煙草行業(yè)信息系統(tǒng)具有較強(qiáng)的動(dòng)態(tài)性，對(duì)其系統(tǒng)工作人員的要求較高，但是在較多的煙草企業(yè)中，其系統(tǒng)操作人員的素質(zhì)卻無法得到保證，企業(yè)的培訓(xùn)工作也較為滯后，導(dǎo)致信息化建設(shè)與總體的技術(shù)規(guī)范和要求不統(tǒng)一，在很大程度上制約了信息安全管理工作的開展，難以保護(hù)信息系統(tǒng)的安全。

2.3 缺乏整體防護(hù)

對(duì)煙草行業(yè)進(jìn)行信息安全管理，其包含對(duì)煙草企業(yè)信息系統(tǒng)的全局管理，漏洞評(píng)估、入侵檢查、加密設(shè)置等都需要從全局出發(fā)，進(jìn)行整體性的額防護(hù)。然而，在現(xiàn)階段煙草行業(yè)信息安全保障體系中，對(duì)于煙草信息系統(tǒng)的全盤考慮較少，預(yù)算管理不力，導(dǎo)致煙草信息系統(tǒng)缺乏整體的防護(hù)措施。煙草行業(yè)僅僅是盲目的效仿國(guó)外信息安全管理手段，不能在企業(yè)自身信息化建設(shè)的實(shí)際情況下進(jìn)行整體信息安全管理。

3 加強(qiáng)煙草行業(yè)信息安全管理的有效對(duì)策

3.1 管理方面的對(duì)策

煙草行業(yè)的信息安全管理，首先，需要從管理層面上改革和加強(qiáng)，通過完善和優(yōu)化信息安全管理體系和實(shí)施相應(yīng)的信息安全管理措施來提高煙草信息安全管理與監(jiān)督能力。為此，煙草企業(yè)應(yīng)該在國(guó)家煙草頒布的煙草信息安全管理制度基礎(chǔ)上制定科學(xué)可行的管理政策，成立專門的信息安全管理小組，并規(guī)范信息管理人員的工作行為，以保證信息系統(tǒng)的安全運(yùn)行。另外，要實(shí)行嚴(yán)格的密碼管理制度，對(duì)使用安全體系網(wǎng)絡(luò)的人員進(jìn)行權(quán)限分離與身份識(shí)別，全面檢測(cè)信息系統(tǒng)使用。最后，要加強(qiáng)對(duì)網(wǎng)絡(luò)信息安全專業(yè)人才的培養(yǎng)，加強(qiáng)對(duì)工作人員的培訓(xùn)，提升信息安全管理工作人員的安全意識(shí)與安全技術(shù)。并加強(qiáng)煙草行業(yè)安全文化建設(shè)，以此構(gòu)建煙草行業(yè)網(wǎng)絡(luò)信息的安全氛圍。

3.2 技術(shù)方面的對(duì)策

3.2.1 構(gòu)建健全的安全運(yùn)維事件響應(yīng)系統(tǒng)

安全運(yùn)維事件響應(yīng)系統(tǒng)是有效實(shí)現(xiàn)煙草行業(yè)安全運(yùn)維工作無人化模式的重要信息技術(shù)，也是避免人為操作錯(cuò)誤出現(xiàn)和提高工作效率的有效方式?，F(xiàn)代煙草行業(yè)信息化安全建設(shè)，要在IT服務(wù)及信息系統(tǒng)基礎(chǔ)設(shè)施庫(kù)的實(shí)踐基礎(chǔ)上建立安全運(yùn)維事件響應(yīng)系統(tǒng)，并積極采取工作流的模式進(jìn)行設(shè)計(jì)，為煙草行業(yè)構(gòu)建一套圖形化、可配置的業(yè)務(wù)工作管理系統(tǒng)，并保持系統(tǒng)與煙草企業(yè)的運(yùn)維管理工作規(guī)章相一致，以此促進(jìn)煙草企業(yè)各環(huán)節(jié)監(jiān)督、追蹤及審計(jì)工作的智能化，促進(jìn)信息網(wǎng)絡(luò)安全運(yùn)行。

3.2.2 優(yōu)化數(shù)據(jù)加密技術(shù)

在信息化建設(shè)領(lǐng)域，確保信息安全的重要措施是數(shù)據(jù)加密技術(shù)。煙草行業(yè)信息安全保障同樣需要優(yōu)化其數(shù)據(jù)加密技術(shù)。通常情況下，加密算法是數(shù)據(jù)加密技術(shù)的原理，其通過對(duì)明文加密而使其轉(zhuǎn)換為不能直接讀取的密文，只有通過預(yù)先設(shè)計(jì)好的相匹配的密鑰才能還原明文，致使非法用戶無法獲取數(shù)據(jù)信息。當(dāng)前，煙草行業(yè)應(yīng)該積極的運(yùn)用數(shù)據(jù)加密技術(shù)，如對(duì)稱性加密技術(shù)與非對(duì)稱加密技術(shù)、數(shù)字摘要加密技術(shù)、數(shù)字信封、數(shù)字證書等，其能承受嚴(yán)格的檢查與驗(yàn)證，并能主動(dòng)地抵御病毒，是煙草行業(yè)信息系統(tǒng)數(shù)據(jù)安全完整的保障。

3.2.3 加強(qiáng)入侵檢測(cè)技術(shù)的利用

入侵檢測(cè)技術(shù)是一種新型的網(wǎng)絡(luò)安全技術(shù)，是通過軟硬件的方法對(duì)信息系統(tǒng)中的數(shù)據(jù)與檢測(cè)系統(tǒng)中的數(shù)據(jù)進(jìn)行分析對(duì)比后，當(dāng)系統(tǒng)出現(xiàn)被攻擊跡象時(shí)，由防火墻主動(dòng)調(diào)整網(wǎng)絡(luò)訪問的控制策略，以此保障系統(tǒng)的安全性。為此，煙草行業(yè)信息系統(tǒng)中應(yīng)該加強(qiáng)入侵檢測(cè)功能的設(shè)計(jì)，加強(qiáng)常用的黑客入侵識(shí)別手段，并實(shí)時(shí)監(jiān)測(cè)和處理信息網(wǎng)絡(luò)中的通信異常現(xiàn)象，對(duì)煙草行業(yè)信息系統(tǒng)的漏洞進(jìn)行修復(fù)與處理，達(dá)到對(duì)煙草行業(yè)信息系統(tǒng)漏洞掃描、病毒防御及進(jìn)攻識(shí)別的檢測(cè)，以此確保信息安全結(jié)構(gòu)的完整性。

3.2.4 加強(qiáng)網(wǎng)絡(luò)安全身份認(rèn)證

由于網(wǎng)絡(luò)空間具有較強(qiáng)的虛擬特性，訪問的用戶具有極大的不確定性，因而網(wǎng)絡(luò)安全身份認(rèn)證作為一種系統(tǒng)確認(rèn)用戶身份的技術(shù)，對(duì)于確保網(wǎng)絡(luò)安全、控制用戶訪問具有重要的意義。對(duì)于煙草企業(yè)而言，用戶對(duì)其信息系統(tǒng)進(jìn)行訪問其達(dá)成交易的重要環(huán)節(jié)。煙草企業(yè)要有效避免非法用戶的訪問，為此就必須加強(qiáng)網(wǎng)絡(luò)身份認(rèn)證，使用戶身份信息通過監(jiān)控器而傳遞給授權(quán)數(shù)據(jù)庫(kù)，以此確定訪問用戶的真實(shí)性與安全性。煙草企業(yè)要對(duì)授權(quán)數(shù)據(jù)庫(kù)進(jìn)行配置，可以通過口令方式、秘密信息的認(rèn)證方式及動(dòng)態(tài)口令身份認(rèn)證等方式來認(rèn)證用戶的身份信息，進(jìn)而控制用戶訪問系統(tǒng)的權(quán)限。

4 結(jié)束語

在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境下，我國(guó)煙草行業(yè)信息安全面臨諸多的安全隱患。煙草行業(yè)要從管理層面及技術(shù)層面加強(qiáng)信息安全管理措施的實(shí)施，努力更新現(xiàn)代化信息技術(shù)，建立一個(gè)健全的現(xiàn)代化信息安全管理體系，以此促進(jìn)煙草行業(yè)信息化建設(shè)水平的提升與核心競(jìng)爭(zhēng)力的增強(qiáng)。

參考文獻(xiàn)

[1]楊欣.煙草行業(yè)信息安全應(yīng)對(duì)策略探討[J].中小企業(yè)管理與科技，2013（5）.

[2]陳宇明.煙草行業(yè)信息安全管理的研究與探索[J].計(jì)算機(jī)安全，2011（9）.

[3]高萍，黃偉達(dá).煙草企業(yè)信息安全方面的思考[J].黑龍江科技信息，2010（31）.