煙草企業(yè)信息安全的風(fēng)險(xiǎn)與控制策略探析

侯佳

【摘要】 本文將就我國煙草企業(yè)的信息安全問題做出闡述，通過探析信息安全的風(fēng)險(xiǎn)與控制策略來提高我國煙草企業(yè)信息系統(tǒng)的安全與穩(wěn)定。研究發(fā)現(xiàn)我國煙草企業(yè)信息安全的風(fēng)險(xiǎn)主要包括企業(yè)外因素與企業(yè)內(nèi)因素，強(qiáng)調(diào)企業(yè)管理層應(yīng)該正視網(wǎng)絡(luò)信息安全問題，加大對(duì)信息安全系統(tǒng)建設(shè)和維護(hù)的投入，以及加強(qiáng)相關(guān)人才的培訓(xùn)與引進(jìn)等。

【關(guān)鍵詞】 煙草企業(yè) 信息安全 風(fēng)險(xiǎn)控制

近年來，煙草企業(yè)為了響應(yīng)國家對(duì)于企業(yè)信息化發(fā)展的號(hào)召，企業(yè)信息化水平日益增加，目前信息化技術(shù)的應(yīng)用已由原先簡單的單機(jī)文件處理、內(nèi)部業(yè)務(wù)辦理發(fā)展到了覆蓋全球的互聯(lián)網(wǎng)信息共享和業(yè)務(wù)處理，然而隨著不斷曝光的網(wǎng)絡(luò)信息安全事件嚴(yán)重威脅著我國煙草企業(yè)乃至全球各行各業(yè)的信息安全，因此有必要就此問題進(jìn)行一定的研究。本文將從信息安全風(fēng)險(xiǎn)與控制策略兩個(gè)方面闡述我國煙草企業(yè)的信息安全問題，大致分為三個(gè)部分。首先是對(duì)信息安全的相關(guān)理論概述，其次是我國煙草行業(yè)信息安全的風(fēng)險(xiǎn)分析，最后是相關(guān)的控制策略。

一、信息安全概述

信息安全就是對(duì)信息的保護(hù)，信息在現(xiàn)代商業(yè)活動(dòng)中的價(jià)值有著舉足輕重的作用，對(duì)于企業(yè)來說，對(duì)信息進(jìn)行有效的保護(hù)既是一種責(zé)任也是一筆財(cái)富。信息安全的內(nèi)容包括安全管理與安全技術(shù)，安全管理重在管理，指在國家和行業(yè)的法律范疇內(nèi)，企業(yè)根據(jù)自身需要建立安全組織以監(jiān)督安全政策的實(shí)施以及對(duì)安全政策效果進(jìn)行評(píng)價(jià)等；安全技術(shù)則強(qiáng)調(diào)各種用于有效保護(hù)信息安全的相關(guān)技術(shù)。

二、我國煙草企業(yè)信息安全的風(fēng)險(xiǎn)分析

1、企業(yè)信息安全管理政策不夠完善。企業(yè)信息安全管理本就屬于企業(yè)管理的范疇，我國煙草企業(yè)在這方面也沒能表現(xiàn)出積極的態(tài)勢。一方面，煙草企業(yè)的信息安全防護(hù)體系存在著漏洞，目前大多數(shù)煙草企業(yè)均使用混合型結(jié)構(gòu)，十分復(fù)雜，而且存在著大量的重疊，這不僅僅降低了信息安全管理效率，也會(huì)使得某些不安全因素的侵害范圍進(jìn)一步增加，從而不易防御和排查；另外一方面，企業(yè)對(duì)于信息安全人員的職業(yè)素養(yǎng)與道德素質(zhì)并沒有形成有效地評(píng)估與監(jiān)管，而內(nèi)部安全人員的隱患往往是造成企業(yè)嚴(yán)重企業(yè)信息安全事件的罪魁禍?zhǔn)?。管理體系與內(nèi)部人員的管理政策欠缺使得我國煙草企業(yè)面臨著嚴(yán)重的威脅。

2、企業(yè)管理層缺乏一定的信息安全意識(shí)。我國大多數(shù)的煙草企業(yè)都存在著管理層的信息安全意識(shí)薄弱的問題。管理者們對(duì)于經(jīng)濟(jì)效益的追求遠(yuǎn)大于其對(duì)企業(yè)信息安全的保護(hù)意識(shí)，他們應(yīng)該意識(shí)到一旦自身企業(yè)的信息安全受到嚴(yán)重威脅，損失的經(jīng)濟(jì)價(jià)值將是巨大的，特別是重要的商業(yè)機(jī)密因?yàn)樾畔踩到y(tǒng)的漏洞而被他人竊取時(shí)，這樣的結(jié)果將會(huì)成為企業(yè)發(fā)展的絆腳石甚至是“當(dāng)頭一棒”。在這種權(quán)衡利弊的方式下，企業(yè)管理層不應(yīng)忽視自身的信息安全問題。

3、信息安全技術(shù)還較為薄弱。雖然我國的信息技術(shù)發(fā)展迅猛，但是配套的信息安全技術(shù)卻沒能迎頭趕上。就我國煙草企業(yè)的整體狀況來說，有些煙草企業(yè)還仍然使用著較為落后的信息安全系統(tǒng)，諸如IPS入侵防御系統(tǒng)等更加高級(jí)和安全的信息安全系統(tǒng)的普及狀況不太樂觀。然而近些年來，各種新型電腦網(wǎng)絡(luò)病毒不斷產(chǎn)生，我國煙草企業(yè)脆弱的信息安全狀況令人擔(dān)憂。

三、針對(duì)我國煙草企業(yè)信息安全的控制策略

1、加大對(duì)信息安全管理的力度。煙草企業(yè)不僅僅需要完善自身的管理政策，還要積極組織對(duì)相關(guān)員工的培訓(xùn)。前者旨在提高企業(yè)信息安全管理的效率，應(yīng)該根據(jù)自身要求簡化原先的混合型結(jié)構(gòu)，將存在著大量重疊的部分進(jìn)行精簡，后者則需要企業(yè)投入更多的資金和精力去實(shí)現(xiàn)，員工的培訓(xùn)除了要求其要具備必備的技術(shù)之外，更重要的是要加強(qiáng)員工職業(yè)道德修養(yǎng)的教育，培訓(xùn)的考核也應(yīng)該納入員工的個(gè)人檔案，成績優(yōu)異者可給予一定的獎(jiǎng)勵(lì)，而對(duì)于不合格者則要對(duì)其進(jìn)行一定的再教育。制度和人力是信息安全管理兩個(gè)重要的因素。

2、企業(yè)管理層應(yīng)該重視信息安全。管理層的信息安全意識(shí)應(yīng)有所提高。不能一味地追求企業(yè)的經(jīng)濟(jì)效益，而且信息本身就可以看作是一種高價(jià)值商品，特別是某些商業(yè)機(jī)密更是決定著一家企業(yè)未來的發(fā)展，一旦被同行業(yè)的某家企業(yè)竊取到，那對(duì)于這家企業(yè)的損失將是無法估量的。

3、提高企業(yè)的信息安全技術(shù)。提高信息安全系統(tǒng)需要企業(yè)能夠?qū)奈锢戆踩?、軟件安全以及運(yùn)維安全三個(gè)方面做出努力，企業(yè)應(yīng)當(dāng)對(duì)信息安全系統(tǒng)的硬件進(jìn)行定期檢查，在此基礎(chǔ)上，通過有效的訪問控制技術(shù)來提高軟件安全，同時(shí)還要對(duì)信息系統(tǒng)定期維護(hù)以支撐其長期運(yùn)行的安全性；人才的引進(jìn)則是從側(cè)面提高相關(guān)工作人員的整體業(yè)務(wù)能力，大量高級(jí)信息安全技術(shù)人才的聚集會(huì)更有利于更新甚至開發(fā)出更有效的信息安全系統(tǒng)，從而提高企業(yè)的信息安全。

結(jié)論：信息安全是一家企業(yè)長期穩(wěn)定發(fā)展的“保護(hù)傘”。我國煙草企業(yè)在信息安全方面的表現(xiàn)不太樂觀，隨著國際互聯(lián)網(wǎng)病毒的不斷更新，企業(yè)在信息安全建設(shè)還需要下更多的功夫。我國煙草企業(yè)只有切實(shí)保障和提高了其信息系統(tǒng)的安全性，才能取得長足的經(jīng)濟(jì)效益。

參 考 文 獻(xiàn)

[1]竇光芒.煙草行業(yè)信息安全風(fēng)險(xiǎn)的控制策略[J].電子技術(shù)與軟件工程，2017，（06）：211.

[2]游太宇.煙草行業(yè)信息安全風(fēng)險(xiǎn)與控制策略[J].中外企業(yè)家，2016，（35）：94.