煙草行業(yè)信息安全風(fēng)險防控研究

辛志斌

（山西省煙草專賣局（公司），山西 太原 030021）

0 引言

近年來，在國家政策和市場環(huán)境的綜合作用下，煙草行業(yè)發(fā)展呈現(xiàn)出了自動化、智能化、集約化和少人化發(fā)展特點，一方面，諸如信息技術(shù)、人工智能技術(shù)等先進(jìn)技術(shù)手段被廣泛應(yīng)用于卷煙的生產(chǎn)、銷售和運輸?shù)阮I(lǐng)域，實現(xiàn)了行業(yè)的技術(shù)性發(fā)展，另一方面，技術(shù)的應(yīng)用降低了行業(yè)發(fā)展對人力要素的依賴度，諸如制絲生產(chǎn)等環(huán)節(jié)基本實現(xiàn)無人化作業(yè)，行業(yè)發(fā)展的工藝和流程持續(xù)優(yōu)化升級。當(dāng)然，技術(shù)的發(fā)展雖然優(yōu)化了煙草行業(yè)的發(fā)展方式方法，但也給行業(yè)發(fā)展帶來了新的不安全性因素，其中較為突出的就是信息安全風(fēng)險。行業(yè)內(nèi)企業(yè)信息網(wǎng)絡(luò)架構(gòu)的漏洞，以及市場主體薄弱的信息安全風(fēng)險防控意識，使得行業(yè)信息安全風(fēng)險事件時有發(fā)生?；诖耍斜匾獙π袠I(yè)信息安全風(fēng)險防控進(jìn)行針對性的研究，以推動行業(yè)整體信息安全風(fēng)險防控能力的提高[1]。

1 煙草行業(yè)信息安全風(fēng)險防控的特點

1.1 參與主體多元化

網(wǎng)絡(luò)在煙草生產(chǎn)、銷售、存儲、運輸?shù)拳h(huán)節(jié)的廣泛而深入應(yīng)用，使得與煙草行業(yè)發(fā)展相關(guān)的生產(chǎn)商、銷售商、物流運輸商，以及終端的消費者逐漸形成了鏈條和網(wǎng)絡(luò)，并且這些多元化主體的網(wǎng)絡(luò)信息和行為軌跡在網(wǎng)絡(luò)中均有存儲，這使得信息安全風(fēng)險防控成為不同主體共同關(guān)注的安全問題。在這樣的情況下，多元主體愿意共同參與到行業(yè)信息安全風(fēng)險防控中，以保護自身的信息安全。

1.2 防控手段的綜合性

影響煙草行業(yè)信息安全的風(fēng)險來源比較多，其中既包括人為操作失誤造成的賬號密碼等操作信息泄露，也包括不良網(wǎng)絡(luò)主體采用技術(shù)手段對網(wǎng)絡(luò)信息系統(tǒng)的破壞和系統(tǒng)信息的竊取、篡改。顯然，這種人為因素與技術(shù)因素并存的風(fēng)險格局下，煙草行業(yè)的信息安全防控需要采取管理與技術(shù)結(jié)合的綜合性防控手段，通過加強人的管理和技術(shù)的管控來提高行業(yè)信息安全防控的整體能力和效果。

2 煙草行業(yè)面臨的信息安全風(fēng)險問題

2.1 行業(yè)信息安全風(fēng)險防控力量分散

在當(dāng)前的煙草行業(yè)發(fā)展中，不同行業(yè)主體所從事的活動和扮演的角色存在明顯的差異。雖然不同主體之間可能會因為業(yè)務(wù)活動開展而產(chǎn)生直接性的聯(lián)系，但這種聯(lián)系均較為分散。例如，雖然同屬于行業(yè)主體，但下游的消費者更多地是與中游的經(jīng)銷商產(chǎn)生信息或者產(chǎn)品的聯(lián)系，而并為與上游的卷煙生產(chǎn)商發(fā)生直接性的關(guān)系。在這種不同節(jié)點主體之間缺乏直接聯(lián)系的情況下，煙草行業(yè)主體之間很難就信息安全風(fēng)險防控形成統(tǒng)一的認(rèn)知和行為方式，這就造成煙草行業(yè)整體防范和控制信息安全的能力薄弱[2]。

2.2 行業(yè)信息安全管理機制不健全

目前，雖然在國家層面形成了以國家煙草專賣局為主體的煙草行業(yè)信息管理系統(tǒng)，定期向行業(yè)主體和社會披露煙草行業(yè)發(fā)展相關(guān)信息，但地區(qū)層面的煙草行業(yè)信息管理機制建設(shè)卻相對滯后，導(dǎo)致一些行業(yè)信息難以在社會范圍內(nèi)尤其是行業(yè)范圍內(nèi)共享、傳播，這就導(dǎo)致部分行業(yè)主體出于獲取信息的需要，采取非法手段竊取或者購買行業(yè)信息，導(dǎo)致煙草行業(yè)整體的安全管理機制運行遲緩，甚至出現(xiàn)漏洞，造成信息安全風(fēng)險防控阻力大。

2.3 行業(yè)信息安全風(fēng)險防控缺乏持續(xù)性

行業(yè)的動態(tài)發(fā)展，使得煙草行業(yè)信息安全防控所處的環(huán)境和面臨的要求呈現(xiàn)出持續(xù)變化的特點，這就要求煙草行業(yè)的信息安全防控活動要保持持續(xù)性，根據(jù)不同階段的信息安全風(fēng)險制定和采取相應(yīng)的防控策略。但是，就目前的信息安全防控行為來說，更多地是以政策制度為導(dǎo)向的被動式風(fēng)險防控，即政府相關(guān)部門下發(fā)信息安全風(fēng)險管理制度或者要求文件后，行業(yè)主體才開始按照文件要求進(jìn)行信息安全風(fēng)險問題自檢自查和整改，這種被動式的防控缺乏持續(xù)性，并且防控的內(nèi)在動力不足，難以真正達(dá)到防控的效果。

3 防控?zé)煵菪袠I(yè)信息安全風(fēng)險的策略

3.1 整合行業(yè)整體信息安全風(fēng)險防控力量

力量的整合，既可以壯大煙草行業(yè)防控信息安全風(fēng)險的實力，也能夠彌補行業(yè)內(nèi)部局部性的信息安全風(fēng)險防控漏洞，從而提高行業(yè)整體的信息安全風(fēng)險防控能力與效果。針對當(dāng)前行業(yè)主體信息安全風(fēng)險防控力量分散的問題，要通過行業(yè)管理的優(yōu)化來加以解決。

首先，推動行業(yè)發(fā)展扁平化。行業(yè)發(fā)展扁平化，是壓縮行業(yè)發(fā)展的中的中間環(huán)節(jié)，使行業(yè)上游與行業(yè)下游之間實現(xiàn)短距離、高效率的聯(lián)通。體現(xiàn)到煙草行業(yè)發(fā)展之中，就是實現(xiàn)產(chǎn)供銷的一體化，這樣一方面可以減少行業(yè)發(fā)展信息在不同主體之間的傳遞頻次和流程，減少因為信息傳遞而出現(xiàn)的安全風(fēng)險，另一方面可以增強行業(yè)主體對信息安全風(fēng)險的管控力度，提高信息安全風(fēng)險識別和應(yīng)對的效率。

其次，明確信息安全風(fēng)險防控標(biāo)準(zhǔn)。造成煙草行業(yè)整體信息安全風(fēng)險防控力量分散的一個重要原因之一就是行業(yè)整體缺乏規(guī)范化、統(tǒng)一化的信息安全風(fēng)險防控標(biāo)準(zhǔn)和方案，分散的多元主體不知道如何做好信息安全風(fēng)險防控。基于此，煙草行業(yè)協(xié)會要在密切與政府煙草管理部門聯(lián)系的同時，推動行業(yè)內(nèi)部的信息安全風(fēng)險防控標(biāo)準(zhǔn)制定與實施，以統(tǒng)一的標(biāo)準(zhǔn)凝聚行業(yè)主體信息安全風(fēng)險防控的力量。

3.2 健全煙草行業(yè)信息管理機制

在當(dāng)前行業(yè)發(fā)展不確定性日益增加的情況下，煙草行業(yè)主體對行業(yè)發(fā)展信息的需求度正在不斷上升，這就促使一些主體基于獲取信息的需要而采取一些偏激性的行為，威脅行業(yè)信息安全管理秩序。基于此，要通過信息管理機制的健全加以疏導(dǎo)，借助信息的有效流通與共享來化解安全風(fēng)險的發(fā)生。

第一，搭建統(tǒng)一性的行業(yè)信息管理平臺。在信息系統(tǒng)廣泛應(yīng)用的情況下，搭建面向多元主體的煙草行業(yè)信息管理平臺，為其提供豐富、多樣的信息內(nèi)容，是滿足煙草行業(yè)發(fā)展中的信息需求和消除煙草行業(yè)信息安全隱患的有效策略。相關(guān)主體尤其是政府性的煙草行業(yè)管理主體要基于煙草行業(yè)管理的需要，開發(fā)統(tǒng)一性的行業(yè)信息管理平臺，通過權(quán)威的信息管理活動來提高信息安全風(fēng)險防控的能力和效果，消除信息安全風(fēng)險發(fā)生的誘因[3]。

第二，優(yōu)化行業(yè)信息管理方式。針對行業(yè)主體存在的差異性的行業(yè)發(fā)展信息需求，以及主體在行業(yè)發(fā)展中所處的位置的差異，為避免不必要的信息傳播可能造成的泄露風(fēng)險，煙草行業(yè)信息管理平臺的運營主體要為行業(yè)主體分配擁有不同操作權(quán)限的賬號和密碼，用于限制主體信息獲取的范圍，減少不必要的信息獲取與傳播行為，保證信息管理的有序性。同時，運營主體也要通過必要的技術(shù)手段，提高信息管理系統(tǒng)和平臺的安全風(fēng)險報警功能，一旦出現(xiàn)風(fēng)險行為，立即進(jìn)行報警處置，避免信息的泄露。

第三，完善行業(yè)內(nèi)部信息加密手段。加密是從技術(shù)角度出發(fā)強化煙草行業(yè)信息儲存、傳輸安全性的重要措施。相關(guān)主體在構(gòu)建行業(yè)內(nèi)部信息安全風(fēng)險防控方案的同時，要強化信息加密技術(shù)的應(yīng)用，安排專門的技術(shù)人員研發(fā)信息加密的多樣化手段，構(gòu)建更為豐富的加密渠道，提升煙草信息平臺的安全性。同時，行業(yè)及企業(yè)要加強常態(tài)化的信息系統(tǒng)優(yōu)化機制，對信息系統(tǒng)進(jìn)行持續(xù)性的安全技術(shù)升級，并對重要數(shù)據(jù)進(jìn)行動態(tài)加密和備份，以保證信息的安全性。在信息訪問方面，可以通過訪問控制、數(shù)字簽名、身份認(rèn)證等方式，對信息系統(tǒng)的使用情況進(jìn)行動態(tài)監(jiān)測，以便及時發(fā)現(xiàn)和解決系統(tǒng)運行中存在的安全漏洞[4]。對于密碼設(shè)置過于簡單的賬號，要提醒和督促相關(guān)主體及時更改、完善賬號密碼，提升密保能力。

3.3 打造行業(yè)信息安全風(fēng)險防控閉環(huán)

閉環(huán)管理，是信息化時代信息安全風(fēng)險防控的一種常用管理理念和方式，其主張通過構(gòu)建風(fēng)險防控閉環(huán)來推動風(fēng)險防控能力的持續(xù)性提升，適應(yīng)不同階段、不同環(huán)境下的風(fēng)險防控要求?？紤]到煙草行業(yè)信息安全風(fēng)險防控的持續(xù)性和動態(tài)性特點，行業(yè)內(nèi)部有必要打造風(fēng)險防控閉環(huán)，切實推動風(fēng)險防控的持續(xù)提升。

首先，搭建信息安全風(fēng)險技術(shù)漏洞識別系統(tǒng)。技術(shù)，是信息化背景下煙草行業(yè)信息安全風(fēng)險防控的重要依賴手段?？紤]到當(dāng)前信息安全風(fēng)險產(chǎn)生的技術(shù)性特點，行業(yè)主體要結(jié)合發(fā)展情況和需要，搭建集信息安全風(fēng)險識別、報警、分析和自處理于一體的信息系統(tǒng)體系，借助技術(shù)手段實現(xiàn)信息安全風(fēng)險防控的智能化、自動化和信息化。

其次，科學(xué)評估信息安全風(fēng)險防控系統(tǒng)。行業(yè)主體要對自身搭建的或者所處的信息安全風(fēng)險防控系統(tǒng)的安全性進(jìn)行定期的技術(shù)性和管理性評估，及時發(fā)現(xiàn)和解決行業(yè)信息安全風(fēng)險防控中存在的問題，并以問題為導(dǎo)向，優(yōu)化原有的信息安全風(fēng)險防控系統(tǒng)，確保信息安全風(fēng)險防控的科學(xué)性和有效性。同時，對于普遍存在的信息安全風(fēng)險，要組織多方面的技術(shù)專家進(jìn)行研究探討，從根本上搭建相應(yīng)的風(fēng)險防控技術(shù)手段[5]。

4 結(jié)論

信息安全，是近年來互聯(lián)網(wǎng)應(yīng)用中普遍存在和關(guān)注的問題。雖然在相關(guān)政策和市場環(huán)境的影響下，煙草行業(yè)逐步加強了對信息安全風(fēng)險的重視度，一些企業(yè)也采取了相應(yīng)的管理與技術(shù)措施來防控可能出現(xiàn)的信息安全風(fēng)險，但是，就行業(yè)整體的發(fā)展而言，仍然存在信息安全風(fēng)險防控力量薄弱的問題。針對當(dāng)前行業(yè)信息安全風(fēng)險防控中存在的問題，相關(guān)主體要通過整合行業(yè)整體信息安全風(fēng)險防控力量、健全煙草行業(yè)信息管理機制、打造行業(yè)信息安全風(fēng)險防控閉環(huán)等措施加以應(yīng)對，以確保行業(yè)信息的安全性和穩(wěn)定性。