信息安全在烟草行业的应用

摘要：在新时期，烟草企业为了在竞争日益激烈的市场环境中生存、发展、壮大，不仅要提升自己的产品品质以及生产效率，更重要的是要利用信息化手段来武装自己。然而烟草企业在信息化建设中难免会受到网络攻击、病毒侵蚀等不良因素的影响。对此，相关企业需要提高对信息安全管理的研究重视力度，从技术以及管理两个层面来提出可行性建议，从而真正意义上地提高烟草行业整体信息化建设的安全性以及科学性。

关键词：信息安全；烟草行业；应用；思考；措施

引言

近年来，随着信息化应用的不断普及与深入，我国烟草行业也开始尝试建立自己的信息化管理系统。但是受多方因素干扰，现有的信息管理系统总会在维护信息安全方面存在缺陷。因此，为了充分发挥信息技术在烟草行业中的积极作用，相关企业需要在建立信息管理系统的同时，加强对信息安全问题的研究，并为烟草企业的信息安全提供有力保障。

1当前烟草行业主要面临的信息安全问题

时代在发展，社会在进步，我国的烟草行业信息网络应用也由原来基于单机的文件处理、基于简单连接内部网络的内部业务办理，发展演变为如今的全球互联网范围的信息共享以及业务处理。但是尽管整个烟草行业的信息网络连接范围在不断扩大、流通能力在不断提高、优势作用在不断凸显，但是由此带来的网络信息安全问题却依然困扰着我国烟草企业。其中，烟草企业主要面临的信息安全威胁主要来自于以下几方面：

1.1由黑客攻击带来的信息安全问题

据不完全统计，世界上有至少二十万个黑客网站向广大网民传授攻击系统的技术以及方略，再加上各类攻击软件在网络上随处可见，使得掌握黑客技术的人员数量急剧增多。现如今，黑客已不再是少数人的称谓。只要一个人具备基本的计算机知识以及这些网络攻击手段、工具、方略，就很容易突破网站以及服务器，甚至于部分黑客还可以利用专业的工具从企业租用的通信线路非法进入到企业网络内部，如果企业内部网络传输中的数据未加密，就可能会被黑客监听或者盗取，进而使企业蒙受损失。

1.2由网络病毒带来的信息安全问题

病毒作为迄今为止计算机网络面临的最大安全威胁，任何一家企业都有遭受病毒攻击的可能。就目前来看，我国已有超过2万个病毒样本存在，且这一数值正在以每年300多种的速度猛增。如果企业没有采取必要的病毒防治手段，黑客就可以利用这些病毒来对企业内部网络进行入侵，这不仅会使企业内部信息面临丢失、篡改或者破坏等巨大威胁，严重时还可能破坏计算机系统本身，造成网络瘫痪［4］。所以，烟草行业信息化管理工作的有序展开，必须要将病毒防治工作放到首位。

1.3由垃圾邮件带来的信息安全问题

一般情况下，烟草企业的网络需要借助外网进行连接，并由此对外提供很多服务。而其内部网络大多是借助于Internet等来与外部进行连接的，通过大量的信息交换来开展相应业务。但是据调查显示，这些由外部获取的信息八成以上为电子邮件，且邮件内又有一多半是垃圾邮件。与此同时，这些垃圾邮件不仅不会对企业的生产管理造成积极影响，相反其安插的木马更是让人防不胜防，因此，烟草企业的内部网络总是处于危险的境地。

2新形势下烟草行业有效应对信息安全问题的措施

2.1积极构建信息安全体系

目前，各地区烟草企业为了做好信息安全管理工作，纷纷开始尝试建立相应的信息安全体系予以支撑，并在实践中取得了不错成效。其中，构建信息安全体系需要从以下几方面入手：第一，遵循信息安全体系规划原则。结合国家以及行业内推行的信息安全相关政策法规，烟草企业的安全体系规划以及设计建设工作需要遵循以下几点原则，即重点保护原则、灵活性原则、责任制原则、实用性原则等。重点保护原则就是要针对核心服务支撑平台，采取足够强度的安全防护措施，以保证企业核心业务的不间断运行；灵活性原则则要求企业应随着技术的发展而做出相应调整，实现共同进步；责任制原则要求企业内部信息安全管理需要做到“谁管理、谁负责”，遵守以及落实安全规章制度；实用性原则要在保证信息系统性能以及安全的基础上，充分利用现有资源，保证安全运行；第二，明确信息安全体系管理范畴。现如今，很多烟草企业的信息安全体系包括范围如下，即应用安全、网络安全、主机安全、数据安全以及终端安全等；第三，信息安全体系规划框架设计。为了充分落实“积极防御、综合防范”的方针政策，相关烟草企业需要在开展信息化建设过程中，应该从整体的角度出发，来对安全体系进行规划设计，以此来为企业信息安全防护能力的提高奠定基础。以某烟草公司为例，该企业的网络与信息安全体系如图1所示。由图1可知，该公司的信息安全管理体系主要以国家政策法规以及行业内规定的复合性为基本要求，之后以信息安全技术管理体系为基础，建立相应的安全保障组织体系，并制定完善且全面的管理制度体系，从而最大限度地对信息安全各层次进行全面管理与控制。

2.2提高内部人员信息安全意识

烟草企业在开展信息安全管理工作时，需要定期或不定期地组织企业内部职工开展教育培训，并就此制定和执行完善的操作规章制度，在保证信息可以正确运用的基础上，在安全合理的环境下进行。与此同时，要树立全面的网络安全意识，严格遵循国家出台的相关法律法规，以此来约束企业内部人员的行为，减少或杜绝内部人员作案的可能性。另外，为防止内部人员管理工作浮于表面，相关管理人员还需要注重管理工作的实效性：第一，对各岗位人员的职责范围等有一个充分了解，尽可能的实现专人专岗，严禁出现一人多岗现象；第二，相关安全管理人员需要针对各个岗位进行必要的审核工作，了解每一位职工的工作状态，按部就班地开展管理工作，并通过相互制约以及牵制等手段，将内部人员作案的几率降到最低，这样就可以在很大程度上减少烟草企业遭遇网络攻击的概率。

2.3确保终端用户合法操作

在烟草企业生产经营期间，不同人员在信息网络上的权限级别也会存在一定差别。所以，想要有效防范信息安全问题，可以通过对信息网络用户的统一管理实现。这时就需要对一些拥有极大权限的账户实行必要的权限分割以及监测处理。这些用户在登录时必须要设置相应的安全措施，比如电子证书等。如果这些用户在登录时出现密码输入多次错误的情况，就应该立即启动相应安全措施，比如限制登录等，以免超级权限用户泄密。有必要时，烟草企业有关人员还可以采取审计措施，使网络监控人员可以了解和跟踪所有对系统进行的操作。另外，从外部环境看，诸如网络设备系统、服务器、输出系统、机密数据系统以及网络设备间等重要房间都需要设置先进的磁卡门，门上配有多个磁卡阅读器，并要求多个人员同时进入房间才可进行正常操作。通过这种方式，可以防止机密泄露，维护烟草企业的根本利益。

3结语

综上所述，烟草行业在信息化管理过程中，不仅需要防范外部威胁，同时还应该积极应对内部威胁。对此，相关企业需要积极构建信息安全体系，提高内部人员信息安全意识，确保终端用户合法操作，从而在不断完善当前烟草企业信息安全管理体系的同时，实现烟草行业整体的健康向上发展。

参考文献：

[1]沈羿.论烟草行业网络信息安全保障体系构建[J].计算机光盘软件与应用,2010.

[2]窦光芒.烟草行业信息安全风险的控制策略[J].电子技术与软件工程,2017.

作者：李继君 单位：甘肃烟草工业有限责任公司天水卷烟厂