煙草行業中網絡信息安全存在的問題及應對策略

朱益旻

【摘要】我國煙草行業在信息化不斷普及和發展的過程中，遭遇網絡信息安全的種種問題，本文主要對這些問題進行分析，并提出針對性策略，以期更好地建設煙草行業信息現代化道路。

【關鍵詞】煙草行業 網絡信息安全 問題及對策

【中圖分類號】TN915.08 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0339-01

現代信息技術的快速發展，使得計算機網絡廣泛應用于各行各業，對于促進信息交流共享、提高行業經濟效益有著重要的意義。目前，我國煙草行業正處于信息化不斷普及和發展的進程中，然而卻遭遇網絡信息安全的種種問題，包括黑客入侵、蠕蟲病毒、非授權訪問、內部攻擊等威脅和干擾等等，給我國煙草行業帶來了很大的行業風險，因此，提高網絡信息的安全保障能力，確保煙草行業網絡信息系統的可靠、穩定的運行，對于煙草行業可持續發展有著至關重要的意義。

1.煙草行業中網絡信息安全存在的問題分析

我國煙草行業計算機網絡（行業內聯網）是由國家煙草專賣局、各省級局、各地市級局、各縣級局，以及各煙草工業企業局域網（園區網）互連組成的廣域計算機網絡，有著規模大、層次多、系統分散、應用復雜、網絡環境開放等特點，該網絡提供的信息與煙草行業生產經營管理活動關系密切，因此，煙草行業將網絡信息安全當做首要任務來抓，采取了部署網絡防病毒體系、出口位置部署防火墻等措施來維護網絡安全，并且煙草行業信息化系統的建設應用日趨規模化，但也應看到其中仍存在不少問題，給全網的安全體系造成嚴重威脅。

一是信息安全人才的缺乏，一些煙草公司尤其是縣級基層煙草公司嚴重匱乏具備一定信息安全理論和技術能力的網絡安全負責人員。二是煙草行業安全總體意識比較薄弱，并且沒有制定較健全的安全管理制度，普遍存在“重技術、輕管理”的現象，即雖然行業信息網絡從技術層面上先后采取了一系列安全技術設施，但安全管理層面薄弱，尤其是安全管理制度未發揮其充分的作用，缺乏制定針對性、實踐性的制度以及對其及時地更新修正。例如，部分煙草單位不按照管理制度，私自將Internet直接與內部網絡連接，很可能導致黑客從某一Internet接口處侵入行業內聯網，進行數據竊取或攻擊網絡，可能將給行業帶來了巨大的損失。三是聯網內鑒別與訪問控制措施力度有待加強。煙草行業內聯網采用的是TCP/IP協議，但由于互聯單位多、開放性高，再加上一些公司未統一對用戶進行管理，因此隱藏著地址欺騙、連接盜用等潛在的安全威脅。四是缺少嚴密的網絡安全監控措施，尤其是主動監控措施。目前許多煙草公司對網絡安全的監控是被動的防御，在預警和報警兩方面做得不到位，也給給網絡信息安全帶來隱患。此外，缺乏數據備份措施和災難恢復機制、信息安全設備和技術落后、網絡安全意識淡薄等等也是現階段煙草行業中網絡信息安全存在問題的表現。

2.煙草行業中網絡信息安全問題的應對策略

2.1 構建煙草行業計算機網絡信息系統安全體系

構建煙草行業計算機網絡信息系統安全體系是解決行業網絡信息安全問題的關鍵環節，它是一項極其復雜的系統工程，并且涉及到煙草總公司和各個子公司，包括建設目標、原則、安全結構和安全產品的部署、聯網內鑒別與訪問控制、網絡安全監控等內容。在此過程中，煙草行業要從系統工程的觀點，對計算機網絡信息系統安全體系作全面、綜合的考慮，在符合國家法律法規以及相關計算機信息安全管理部門的、有關規定的基礎上，本著實用、經濟、完整的行業信息化建設的基本原則，制定出切實可行的系統安全體系，以確保網絡和系統實體的安全性，信息的安全性、保密性和可靠性，整體系統運行狀態的可控性，安全系統的可管理性，做到總體規劃、分步實施。

例如，在體系中，通信系統安全結構屬于安全體系設計和安全產品部署工作范圍，包括通信系統物理安全、通信系統加密及其部署兩個方面，前者主要在機房環境、機房建設等基礎設施采取一些保護措施，使其具備一定的抵御自然災害能力，而后者主要是對數據鏈路層以及網絡層通信進行加密處理，并進行存儲和備份介質的管理，以防止關鍵數據泄露等安全事故的發生。又如，在系統中網絡系統安全結構設計中，包括安全路由器、防火墻、入侵檢測系統網絡、安全審計系統等的選擇和部署，來進一步維護行業網絡信息的安全。

2.2 建立并完善行業網絡安全管理制度

煙草行業的網絡信息安全工作“三分靠技術、七分靠管理”，因此，建立并完善煙草行業網絡安全管理制度至關重要。

首先，總公司、省公司和工業企業都要建立一系列安全組織機構，一般以小組為單位，如有的煙草企業就將網絡安全機構分為安全管理中心（小組）和技術保障中心（小組），前者負責網絡安全管理制度的制定、運行管理和事件處理等等，而后者主要是由技術人員構成，以技術交流、技術咨詢工作為主。其次，安全機構的每一個成員都要積極落實責任管理，做到“責任到人”，即制度中明確管理人員應該做的和不能做的，并嚴格落實網絡信息安全事件責任，對因人員失職問題造成的網絡安全事故，應該通過一定的手段進行處罰，這是管理制度保障實施的關鍵。此外，行業網絡安全管理制度還包括人事事管理制度、聯網登記制度、安全事故審計處理和匯報等，總之要確保各項網絡操作都應有章可循。

2.3 營造網絡安全文化，重視人才培養

一方面，煙草行業要強化各個企業員工互聯網安全意識，將信息安全培訓納入員工崗位培訓體系，通過定期培訓、組織學習、企業間交流活動等等，強化關于信息安全技術、信息安全保密知識、安全聯網等的學習，提高對來路不明的軟件、郵件和網頁的警惕性，在行業上下心中筑起信息安全的“防火墻”。另外，煙草企業還可以利用宣傳欄、條幅、標語等，加大網絡信息安全重要性的宣傳，并由此形成濃厚的網絡安全的企業文化。

另一方面，煙草行業要重視行業專業技術人才隊伍的建設，為行業網絡信息安全提供堅強的人才保證和智力支持，這也在走煙草行業網絡信息化建設道路中，解決種種新困難的必要措施。現代信息更新速度快，行業應當加強信息中心網絡安全人員培訓，不斷掌握網絡信息安全管理的新理論和新技術，了解網絡安全變化的新趨勢，才能為煙草行業的網絡信息安全保駕護航。

3.結束語

綜上所述，煙草行業的網絡信息安全管理是一項復雜的系統工程，保障信息安全可以說是任重而道遠，針對我國煙草行業在信息化不斷普及和發展的過程中，存在的信息安全人才缺乏等問題，提出構建煙草行業計算機網絡信息系統安全體系、建立并完善行業網絡安全管理制度以及營造網絡安全文化、重視人才培養等策略，以期為煙草行業網絡信息安全保駕護航，更好地走信息現代化道路。