基層縣級局信息化建設模式研究

趙曉紅

摘 要：本文簡要介紹了當前互聯網環境下，網絡信息時代的特征、影響和趨勢，指出了煙草商業企業所面臨的信息安全新形勢、新環境、新挑戰；在此基礎上，系統分析了當前煙草商業企業網絡信息安全管理的現狀和存在問題，提出了信息安全管理的探索性思路、方法和措施。

關鍵詞：信息安全；網絡信息技術；煙草企業

1 背景介紹

互聯網時代的到來，特別是移動互聯網技術的廣泛應用，打破了各個地區、組織、個體交流的壁壘，加速了科技開發與創新的步伐，改變了人們的思維觀念和生活習慣。如何保障煙草企業網絡信息系統高質量運行，有效杜絕或減少潛在的信息安全風險，已成為行業信息管理工作的一個重要課題。

2 煙草商業企業面臨的網絡信息安全形勢和挑戰

互聯網構建了煙草企業全新的發展空間，成為了企業發展新的價值要地，但同時網絡安全面臨新的挑戰。就當前來看，網絡攻擊日趨復雜，網絡黑客呈現出規模化、組織化、產業化和專業化等發展特點，攻擊手段日新月異、攻擊頻率日益頻繁、攻擊規模日益龐大。以微信、QQ等為代表的社交平臺軟件已經成為網絡攻擊的重要工具和陣地，其影響力、破壞力越來越大，對保障企業的商業秘密和個人隱私等都造成了極大影響。

3 煙草商業企業網絡信息安全現狀分析

1）信息安全的重要性。近年來，國家對網絡信息安全尤為重視。習近平總書記曾在全國網絡安全和信息化工作會議上指出，沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。為強化網絡安全管理，國家專門頒布了《中華人民共和國網絡安全法》、《計算機信息系統安全保護條例》等法律法規；煙草行業先后制定了《計算機保密管理規定》、《計算機網絡安全管理規定》等規范性文件；省局（公司）也召開網絡安全專題會議，組織開展針對培訓，就網絡安全管理提出新要求。

2）當前信息安全存在的問題。一是網絡安全意識淡薄。認識是第一位的，沒有認識上的提高就不可能產生行動上的積極性，當然也不可能取得好的效果。在煙草企業，一些部門、人員往往將網絡安全管理單純的看作信息部門甚至信息管理員個人的事情，不嚴格遵守信息管理有關規定，對網絡安全事不關心、高高掛起，認為網絡安全是小題大做。二是網絡信息知識貧乏。就當前情況來看，煙草員工隊伍的信息化學習培訓相對滯后，許多員工缺乏對網絡信息技術的學習、認識和了解，缺乏對信息安全基礎常識的了解，缺乏必要的網絡安全自我管理的經驗和措施，容易因操作不當等引發網絡安全漏洞和隱患。三是日常檢查維護不足。任何網絡系統都存在一定的瑕疵，因此網絡系統維護是保證網絡安全的第一防線。但就實際情況來看，一些煙草企業內部的日常網絡維護存在“三天打魚、兩天撒網”的情況，網絡信息系統維護不及時、監測不到位，缺乏維護檢查的主動性，甚至等出現問題了再來解決。

4 煙草商業企業信息安全管理方法和措施

面對煙草企業在網絡安全管理上存在的問題，我們必須樹立正確的網絡安全觀，加強信息基礎設施的網絡安全防護，完善相關規章制度，做到關口前移，防患于未然。

1）強化全員網絡安全責任意識。維護企業網絡安全是一項系統工程，必須全員參與，為此要進一步明確各單位（部門）的領導責任和工作責任。信息中心作為網絡安全的技術保障部門，要做好網絡安全的頂層設計和技術防護工作；各單位（部門）要加強責任意識、保密意識，認真做好網絡安全的日常工作，包括網絡安全檢查的各項工作，將網絡安全當做部門的大事來抓。要將網絡安全作為企業安全管理承諾的重要部分，與全員簽訂安全責任狀，落實網絡安全責任制，從源頭上做好網絡安全工作。結合實際開展全員網絡安全活動，層層落實、全員參與，進一步提高了全員網絡安全意識，著力構建 “人人都重視、人人都遵守、人人都維護”的網絡安全氛圍。

2）著力提高全員網絡信息技術水平。結合煙草商業企業的業務體征，緊密圍繞當前網絡安全新形勢、新問題，開展全員網絡信息安全教育培訓，提升全員網絡信息應用能力；選派信息崗位業務骨干，到網絡公司進行學習交流，提升專業人員業務水平。在各部門設立“兼職信息員”，發揮“兼職信息員”在部門信息維護、網絡監測、問題處理等方面的作用。建立網絡信息學習交流群，通過內部交流、信息共享等方式，相互促進，相互提升。

3）健全完善網絡安全運行各項制度。全面梳理企業網絡信息安全運行中涉及的各個環節、節點，有針對性的建立網絡安全相關制度和標準，加強對系統安全、機房、介質、防病毒、密碼、變更控制、數據備份等重點環節的管理和監控，不斷強化網絡安全信息內部管控；落實數據分級分類管理，積極采取防護措施，努力做到“防攻擊、防篡改、防病毒、防癱瘓、防泄密”。制定網絡安全突發事件的相關預案，加強對突發網絡安全事件的應急處理能力。

4）注重日常檢查和安全風險評估。結合當前煙草企業網絡信息安全現狀，以及筆者信息化安全管理工作經歷，對煙草企業網絡安全管理，可建立“四檢查一評估”機制。一是常態化檢查。制定網絡信息安全檢查清單，科學合理設定檢查項目、檢查內容等，常態化開展漏洞掃描、滲透測試、安全配置核查等工作，做好服務器和計算機終端感染病毒、木馬等情況的檢測和排查；二是專項性檢查。由信息中心牽頭，組織各單位（部門）信息專業人員，組成專項檢查小組，就網絡信息安全的重點環節進行檢查；三是交叉性檢查。建立季度（或半年）信息化交叉檢查制度，通過各單位之間的交叉檢查，及時發現問題，溝通交流經驗；四是不定時抽查。不打招呼、直奔主題，不定期對各單位（部門）信息管理情況進行突擊檢查，通過突擊抽查掌握各單位（部門）網絡應用、系統維護和運行管理等情況，發現問題，督促整改；五是定期做好工控系統安全評估，邀請專業人員，對企業全域網絡信息安全情況進行檢查評估和風險測試。對在檢查和評估中發現的問題，要列出問題清單，通報所在部門，督促限時整改，進一步增強網絡安全防護能力。

5）狠抓網絡安全防護設施建設。加強網絡安全防護設施建設，部署入侵檢測、防病毒、數據備份、運維管理、數據流量分析等防護系統，及時做好互聯網系統安全設備升級完善，實現系統性的分級分域、整體防護、積極防御以及動態管理，增強安全防護能力。針對當前云計算、大數據、移動互聯網等新技術的發展，逐步建立全區商業系統漏洞預警及加固管理平臺、網絡日常數據梳理及預警平臺，切實加強新技術應用方面的安全防護能力。對關鍵技術設備的系統漏洞檢測評估，要做到定期開展，從而發掘深層次隱患，提出相應的加固解決辦法。

5 結束語

結合當前企業內部計算機維護和網絡安全管理工作中存在的不足和問題，我們應該深入總結分析，構建一套科學的工作機制，提升工作效能，實現對企業高質量發展的有效支持和保障。

參考文獻

[1]劉光強.論網絡信息安全的重要性[J].城市地理.2015（06）：249-50.

[2]蔣天超.探究大數據云計算環境下的數據安全[J].信息與電腦（理論版），2018（02）：168～169.

[3]李銀超.計算機網絡安全技術及其完善對策探究[J].信息記錄材料，2018（4）：121.

[4]嚴文啟.淺析計算機網絡安全問題及其防范措施[J].通訊世界，2017（11）：102-103.