浅述烟草行业信息安全管理

浅述烟草行业信息安全管理

邱光华张家清吴佳明李雪丹

四川省烟草公司凉山州公司会理（分公司）安全科四川省凉山彝族自治州615100

摘要：烟草行业营销、管理和宣传要充分利用网络的优势，同时避免网络带来的威胁是非常必要的。新形式下网络安全对于烟草行业发展息息相关，对此烟草行业信息的安全防控不可忽视，随着科学技术的发展，烟草行业的安全防控措施也会逐渐增强，这将极大促进烟草行业的稳定发展。基于此，对烟草行业信息安全管理概述以及现状问题进行分析，并对烟草行业信息安全管理的要点和对策深入探讨，对烟草行业信息安全管理发展展开分析。

关键词：烟草行业；信息安全

1导言

随着网络技术的日趋成熟,烟草行业的信息安全问题日益凸显,网络非法攻击对烟草行业的发展造成了重大威胁,因此维护烟草行业信息安全管理工作具有重大意义。本文从烟草行业信息安全管理的现状入手,对加强烟草行业信息安全管理,推进信息安全体系建设提出一些可行性建议。

2烟草行业信息安全管理概述

对网络的硬件、软件以及系统中储存的数据进行一定的保护就是信息安全的实质与目标，在信息安全的基础上恶意的攻击、恶意篡改或者泄露现象可实现有效的避免。安全维护系统是网络系统的基础与核心，同时在信息管理工作中信息安全管理也占据至关重要作用。现阶段烟草行业逐渐并入经济全球化格局，这会在一定程度上增加我国烟草行业的竞争力度。在制造环节及销售环节引入信息化建设管理是促使烟草行业实现更好发展的重要手段。在对信息化管理的依赖程度的日益增加的影响下，烟草行业会受到信息安全的直接决定。信息安全管理主要包括信息的私密性、保密性、真实性以及完整性。任何一个信息方面的安全漏洞都有可能对烟草行业安全造成灭顶之灾。然而烟草行业的网络拓扑结构复杂，其信息化结构也不完善，因此难以实现对整个行业的集成管理，这为烟草行业的安全造成了巨大威胁。现代烟草行业网络系统中存在诸多的薄弱设计环节，这也是导致不法分子通过信息系统的漏洞攻入信息安全系统进出出现重要信息数据丢失的主要原因，整个管理系统在这一过程中都会呈现出一种瘫痪状态，这对烟草行业的发展埋下较大隐患。

3当前烟草行业信息安全管理现状

3.1信息化建设模式上存在弊端

1、“上层开发、下层使用”模式造成信息系统开发与应用脱节烟草单位很多信息系统都是在国家局、省局的层面统一部署建设，这种建设模式有一定好处，但也存在弊端。因为有些系统在开发阶段并没能周全地考虑到单位的业务流程细节，导致开发出来的系统不能很好地满足工作实际要求。2、系统众多但集成度不高就四川烟草商业系统而言，已经开发了众多的系统，但是各系统之间相对独立，缺乏数据交流，成了信息孤岛，各环节的信息和数据无法进行汇总和分析，如财务软件和营销大集中系统就没有整合在一起，导致物流、资金流和信息流不能完全融合。该问题在不同层级上部署开发的信息系统之间更为突出，如全国烟草行业的资金监管系统和全省的财务管理系统，两套系统之间没有接口，业务处理出现断层，给用户增加了额外工作量。3、单位主导或参与信息系统项目建设尤其是大型信息系统项目建设太少虽然这有利于单位将更多的精力放在系统的应用推广和信息安全管理上，但是对单位IT人员的技能发展尤为不利，没有经过项目实践锻炼，IT人员学习新技能的机会就少。长远来看，对烟草行业IT人才培养极为不利。

3.2安全管理制度实施存在问题

烟草行业信息安全管理制度和措施没有得到有效的落实，专业人员的素质无法得到保证。尽管国家制定和颁布的烟草信息安全管理制度大部分得到了较好的贯彻落实，但缺乏相关的管理制度，使得管理工作也只是流于形式，存储设备的管理要求无法得到彻底落实。其次由于这个系统的动态特性，对工作人员的要求较高，所以培训工作的滞后影响着整个系统的安全。

3.3网络基础设施不健全，信息安全设备不稳固

由于大范围的兼并重组，新建的网络设施、设备的稳定性依然无法得到保证，对设备运行的监控参数没有得到重视，不具备容灾功能。

4当前烟草行业信息安全管理问题

4.1网络技术设施不完善

在不断发展与实践的过程中烟草行业逐渐提高对安全管理工作的重视程度，但是烟草行业的内部网络极其不完善的现象还是没有得到有效的改善，因此信息网络极易受到攻击，这也是大量安全漏洞现象出现的主要原因。而且，信息网络管理人员对企业的信息网络安全防范意识过于薄弱，当内部网络的应用程序越来越多时，系统的终端将存在大量安全问题。除此之外，信息网络的操作系统安全问题也值得重视。而且操作系统可以通过建立远程链接进行控制，这也给外部入侵提供了一个缺口，许多黑客就通过建立远程服务终端来窃取企业信息。

4.2缺乏整体防护措施

由于对于信息网络的不够重视以及建立信息网络时间过短，因此缺乏相应的信息网络安全管理意识，管理松散。同时由于过于注重对网络相应硬件设备的维护，缺乏对软件资源的管理意识。甚至没有意识到信息网络安全的重要性，因此造成管理规章制度不够完善，管理力度不够，这些都不利于维护信息网络安全。而且由于不同用户拥有不同的信息网络使用权限，难以实现对整体进行统一管理。除此之外，由于使用人员的不同，造成涉密数据存储较为分散，从而无法将其统一存储在同一服务器内。因此无法对其进行统一的管理，使得涉密信息的泄露风险大大增加。一些人员在工作时，对于传递的数据往往没有加密意识，这也给窃取机密的不法分子提供了攻击的机会。

4.3信息安全管理难以贯彻落实

当前，为了维护烟草行业的健康稳定发展，我国的烟草管理部门颁布了一系列的关于建设烟草行业信息安全管理的制度以及企业的信息安全管理制度。这些制度规划了烟草行业的最佳实践效果蓝图，然而烟草行业现状还远不能达到这些要求。这些制度对于维护烟草行业信息安全是十分有效的。然而从当前的执行力度来看，其效果不容乐观。一些烟草行业的规模较小，缺乏对信息安全的了解，因此往往这些信息安全管理制度流于形式，对于安全信息的存储也极其随意。另外，烟草行业的信息具有一定的流动性。因此对于维护信息安全的管理人员的技术要求较高。但是在大多数的烟草企业中，这一点并没有得到重视，因此操作人员的技术和素质都难以使信息安全得到保证。同时企业管理系统的落后也导致烟草企业的信息化发展难以适应企业发展，因此难以进行信息安全维护。

5新形势下烟草行业信息安全管理的要点

5.1管理层面

对于信息安全而言,黑客及病毒对其产生的不良后果是巨大的,因此烟草企业必须使用最为安全可靠的防火墙技术,使信息网络隔离开来,减少外来攻击。同时,企业应当根据国家制定的相应规范来制定适用于企业本身的网络安全制度规范,使得信息网络的安全程度和保密程度都大大增强。

5.2重视安全防范的日志功能和审查制度

在大多数烟草企业中,由于缺乏对于信息网络使用的日志记录,对信息网络使用监测不到位,这一方面导致信息网络出现安全事故时,企业难以找到事故发生的原因,从而不能快速解决问题,也难以追回损失的资料;另一方面也造成企业难以找到事故的责任人。因此,在信息网络中,必须做好信息使用的安全记录,同时要对企业中使用网络的人员进行详细的数据库登记,对于每一用户登录或退出网络都进行详细的记载,当发现可疑的登录人员时,应立即采取相应的安全防控措施,以减少企业的损失。

5.3确保终端用户合法操作

在企业中,不同人员对于信息网络的使用权限不同。因此为了统一管理信息网络用户,需要对一些拥有极大权限的账号进行相应的权限分割以及监测。这些用户在登录时必须设置相应的安全措施,例如安全卡和电子证书等。这些用户在登录时,如果发生密码多次输入错误等情况,应立即启动相应安全措施,如限制登录等,从而杜绝超级权限用户泄密。必要时启动相应的审计功能,使网络监控人员了解跟踪所有对系统进行的操作。网络设备系统、服务器系统、数据输入、输出系统、机密数据系统、网络设备间等重要房间都配备有磁卡门,磁卡门上配多个磁卡阅读器,这样必须多个人同时进入房间才可允许进入,进行正常操作。

6加强烟草行业信息安全管理的有效对策

6.1开展行业信息工作标准化

基层烟草单位众多，信息化发展步伐不一，要协调发展，就必须推行标准化。２０１３年，全国基层烟草企业都开展了安全生产标准化贯标工作，通过实施标准化，企业在安全生产方面取得了很大成效。可以考虑将这套方法移植到信息化工作上。目前，国家有关部门已制定并发布了很多有关信息化建设、安全管理方面的标准规范，烟草行业也加快推进标准规范的转化与对接，形成了一套使用烟草行业的标准体系并加以推广。在实施中采取硬措施，通过达标评审规范单位的信息化工作。

6.2建立完善的安全管理体系

拟订出清晰完整的信息安全政策，从整体层面上指导整个网络的安全建设，对所有的工作人员以及管理人员实行法律化管理；制定严密的密码管理制度，并且要定时更换，控制密码的扩散；此外对使用安全体系网络的人员要进行身份的辨别，对于普通使用人员和管理员的权限进行分离，在信息控制中心成立安全管理小组，专门负责电脑的安全运行；对于烟草行业安全文化建设引起重视，增强员工的安全防范能力和基本安全意识，营造出一个浓厚的网络信息安全氛围；最后要提高网络信息安全专业人才的培养，从安全技术以及安全意识两个方面着手，对这些人员进行系统、持续、定期地培训。

6.3行业广域网的安全防范

针对广域网层次多涉及可能的入侵和盗用等问题，行业使用的基于包过滤的传统防火墙很难起到充分的防护作用，可考虑增加行为审计管理，网络安全审计设备具备针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督，预防、制止数据泄密。能满足用户对网络行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。配合防火墙既可以识别外部的非法入侵和内部的非常规操作，也可以防范和审查合法内部用户的非正常行为，确保不发生行业员工利用行业网络进行非法活动的事件，也增强了抵御因运营商VPN出现问题被波及的能力。针对如WI－FI等接入方式增多的问题，首先应充分尊重员工移动办公的合理诉求，利用移动云平台管控平台等系统加强后台管理。其次应在信息安全制度中规定好合规的WI－FI信号，尝试使用WI-FI准入登记系统，做好移动接入者的登记审核并针对移动终端做出相应的限制，如尽可能地减少写入权限、限制核心资源的访问等等。最后对于部分员工私自建立的WI－FI、上网共享等应禁止，防止不可预料的风险发生。

6.4协同体系发展

促进持续改进安全生产标准化与职业健康安全管理体系是开展安全生产工作两种必不可少、相辅相成的手段和管理标准。职业健康安全管理体系搭建了先进的、规范的管理架构和平台，但没有对不同类型的组织职业健康安全技术和管理规范、绩效评价等做出具体要求。将安全生产标准化作为职业健康安全管理体系运行的准则，可对体系运行提供可操作的支撑，实现体系绩效提升，同时，有了职业健康安全管理体系架构和平台的保证，安全生产标准化的规范要求方可得到持续的执行和改进。

7烟草行业信息安全管理发展趋势

烟草行业信息安全管理以后的发展趋势必定是各种技术的更深层次的融合，例如防火墙技术和入侵检测技术等其他安全技术的结合使用，可以有效地克服防火墙在实际应用中的局限性。在提高防火墙自身功能、性能的同时，其他安全技术也可以弥补防火墙的一些缺点(例如其对内网无能为力)，从而提高烟草行业信息系统整体的安全性。例如在防火墙中加入入侵检测功能以及扫描功能，使得所有要通过防火墙的数据流在接受防火墙的验证的同时，也要接受入侵监测的扫描，从而达到了实时阻断非法入侵的目的；或者按照设置的协议进行通信、传输，只在入侵检测系统或防火墙系统中开放一个供对方调用的接口，出现异常时系统能实时得到告警。

8结语

随着国内烟草行业的不断发展，烟草信息化建设的步伐也不断加快，建立在网络架构上的跨地区、跨企业、跨部门的行业系统内部信息网络慢慢建立健全，信息化各类应用不停深化；而另一方面，关系到系统稳定运行的原因不断出现，行业信息安全情况不容乐观，所以，通过技术、管理等层面的研究提高对信息系统的安全保护力度，预防安全风险的出现，对于确保烟草行业平稳健康运行、增强竞争实力具有重大意义。

参考文献

[1]罗晓龙.浅析烟草行业信息安全管理对策[J].科技创新与应用,2015,0(1).

[2]曲俊峰.浅谈烟草行业中的网络安全控制管理[J].消费电子,2013,(6):104-104.

[3]伍永豪,余正红,周凤丽.烟草行业智能安全管理系统的设计与实现[J].科技创业月刊,2012,(12):101-103.

[4]申志辉.浅谈烟草行业中的网络安全控制管理[J].计算机光盘软件与应用,2011,(17):63-64