朱益旻

【摘要】我國(guó)煙草行業(yè)在信息化不斷普及和發(fā)展的過(guò)程中，遭遇網(wǎng)絡(luò)信息安全的種種問(wèn)題，本文主要對(duì)這些問(wèn)題進(jìn)行分析，并提出針對(duì)性策略，以期更好地建設(shè)煙草行業(yè)信息現(xiàn)代化道路。

【關(guān)鍵詞】煙草行業(yè) 網(wǎng)絡(luò)信息安全 問(wèn)題及對(duì)策

【中圖分類(lèi)號(hào)】TN915.08 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）04-0339-01

現(xiàn)代信息技術(shù)的快速發(fā)展，使得計(jì)算機(jī)網(wǎng)絡(luò)廣泛應(yīng)用于各行各業(yè)，對(duì)于促進(jìn)信息交流共享、提高行業(yè)經(jīng)濟(jì)效益有著重要的意義。目前，我國(guó)煙草行業(yè)正處于信息化不斷普及和發(fā)展的進(jìn)程中，然而卻遭遇網(wǎng)絡(luò)信息安全的種種問(wèn)題，包括黑客入侵、蠕蟲(chóng)病毒、非授權(quán)訪問(wèn)、內(nèi)部攻擊等威脅和干擾等等，給我國(guó)煙草行業(yè)帶來(lái)了很大的行業(yè)風(fēng)險(xiǎn)，因此，提高網(wǎng)絡(luò)信息的安全保障能力，確保煙草行業(yè)網(wǎng)絡(luò)信息系統(tǒng)的可靠、穩(wěn)定的運(yùn)行，對(duì)于煙草行業(yè)可持續(xù)發(fā)展有著至關(guān)重要的意義。

1.煙草行業(yè)中網(wǎng)絡(luò)信息安全存在的問(wèn)題分析

我國(guó)煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)（行業(yè)內(nèi)聯(lián)網(wǎng)）是由國(guó)家煙草專(zhuān)賣(mài)局、各省級(jí)局、各地市級(jí)局、各縣級(jí)局，以及各煙草工業(yè)企業(yè)局域網(wǎng)（園區(qū)網(wǎng)）互連組成的廣域計(jì)算機(jī)網(wǎng)絡(luò)，有著規(guī)模大、層次多、系統(tǒng)分散、應(yīng)用復(fù)雜、網(wǎng)絡(luò)環(huán)境開(kāi)放等特點(diǎn)，該網(wǎng)絡(luò)提供的信息與煙草行業(yè)生產(chǎn)經(jīng)營(yíng)管理活動(dòng)關(guān)系密切，因此，煙草行業(yè)將網(wǎng)絡(luò)信息安全當(dāng)做首要任務(wù)來(lái)抓，采取了部署網(wǎng)絡(luò)防病毒體系、出口位置部署防火墻等措施來(lái)維護(hù)網(wǎng)絡(luò)安全，并且煙草行業(yè)信息化系統(tǒng)的建設(shè)應(yīng)用日趨規(guī)?；?，但也應(yīng)看到其中仍存在不少問(wèn)題，給全網(wǎng)的安全體系造成嚴(yán)重威脅。

一是信息安全人才的缺乏，一些煙草公司尤其是縣級(jí)基層煙草公司嚴(yán)重匱乏具備一定信息安全理論和技術(shù)能力的網(wǎng)絡(luò)安全負(fù)責(zé)人員。二是煙草行業(yè)安全總體意識(shí)比較薄弱，并且沒(méi)有制定較健全的安全管理制度，普遍存在“重技術(shù)、輕管理”的現(xiàn)象，即雖然行業(yè)信息網(wǎng)絡(luò)從技術(shù)層面上先后采取了一系列安全技術(shù)設(shè)施，但安全管理層面薄弱，尤其是安全管理制度未發(fā)揮其充分的作用，缺乏制定針對(duì)性、實(shí)踐性的制度以及對(duì)其及時(shí)地更新修正。例如，部分煙草單位不按照管理制度，私自將Internet直接與內(nèi)部網(wǎng)絡(luò)連接，很可能導(dǎo)致黑客從某一Internet接口處侵入行業(yè)內(nèi)聯(lián)網(wǎng)，進(jìn)行數(shù)據(jù)竊取或攻擊網(wǎng)絡(luò)，可能將給行業(yè)帶來(lái)了巨大的損失。三是聯(lián)網(wǎng)內(nèi)鑒別與訪問(wèn)控制措施力度有待加強(qiáng)。煙草行業(yè)內(nèi)聯(lián)網(wǎng)采用的是TCP/IP協(xié)議，但由于互聯(lián)單位多、開(kāi)放性高，再加上一些公司未統(tǒng)一對(duì)用戶(hù)進(jìn)行管理，因此隱藏著地址欺騙、連接盜用等潛在的安全威脅。四是缺少?lài)?yán)密的網(wǎng)絡(luò)安全監(jiān)控措施，尤其是主動(dòng)監(jiān)控措施。目前許多煙草公司對(duì)網(wǎng)絡(luò)安全的監(jiān)控是被動(dòng)的防御，在預(yù)警和報(bào)警兩方面做得不到位，也給給網(wǎng)絡(luò)信息安全帶來(lái)隱患。此外，缺乏數(shù)據(jù)備份措施和災(zāi)難恢復(fù)機(jī)制、信息安全設(shè)備和技術(shù)落后、網(wǎng)絡(luò)安全意識(shí)淡薄等等也是現(xiàn)階段煙草行業(yè)中網(wǎng)絡(luò)信息安全存在問(wèn)題的表現(xiàn)。

2.煙草行業(yè)中網(wǎng)絡(luò)信息安全問(wèn)題的應(yīng)對(duì)策略

2.1 構(gòu)建煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全體系

構(gòu)建煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全體系是解決行業(yè)網(wǎng)絡(luò)信息安全問(wèn)題的關(guān)鍵環(huán)節(jié)，它是一項(xiàng)極其復(fù)雜的系統(tǒng)工程，并且涉及到煙草總公司和各個(gè)子公司，包括建設(shè)目標(biāo)、原則、安全結(jié)構(gòu)和安全產(chǎn)品的部署、聯(lián)網(wǎng)內(nèi)鑒別與訪問(wèn)控制、網(wǎng)絡(luò)安全監(jiān)控等內(nèi)容。在此過(guò)程中，煙草行業(yè)要從系統(tǒng)工程的觀點(diǎn)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全體系作全面、綜合的考慮，在符合國(guó)家法律法規(guī)以及相關(guān)計(jì)算機(jī)信息安全管理部門(mén)的、有關(guān)規(guī)定的基礎(chǔ)上，本著實(shí)用、經(jīng)濟(jì)、完整的行業(yè)信息化建設(shè)的基本原則，制定出切實(shí)可行的系統(tǒng)安全體系，以確保網(wǎng)絡(luò)和系統(tǒng)實(shí)體的安全性，信息的安全性、保密性和可靠性，整體系統(tǒng)運(yùn)行狀態(tài)的可控性，安全系統(tǒng)的可管理性，做到總體規(guī)劃、分步實(shí)施。

例如，在體系中，通信系統(tǒng)安全結(jié)構(gòu)屬于安全體系設(shè)計(jì)和安全產(chǎn)品部署工作范圍，包括通信系統(tǒng)物理安全、通信系統(tǒng)加密及其部署兩個(gè)方面，前者主要在機(jī)房環(huán)境、機(jī)房建設(shè)等基礎(chǔ)設(shè)施采取一些保護(hù)措施，使其具備一定的抵御自然災(zāi)害能力，而后者主要是對(duì)數(shù)據(jù)鏈路層以及網(wǎng)絡(luò)層通信進(jìn)行加密處理，并進(jìn)行存儲(chǔ)和備份介質(zhì)的管理，以防止關(guān)鍵數(shù)據(jù)泄露等安全事故的發(fā)生。又如，在系統(tǒng)中網(wǎng)絡(luò)系統(tǒng)安全結(jié)構(gòu)設(shè)計(jì)中，包括安全路由器、防火墻、入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)、安全審計(jì)系統(tǒng)等的選擇和部署，來(lái)進(jìn)一步維護(hù)行業(yè)網(wǎng)絡(luò)信息的安全。

2.2 建立并完善行業(yè)網(wǎng)絡(luò)安全管理制度

煙草行業(yè)的網(wǎng)絡(luò)信息安全工作“三分靠技術(shù)、七分靠管理”，因此，建立并完善煙草行業(yè)網(wǎng)絡(luò)安全管理制度至關(guān)重要。

首先，總公司、省公司和工業(yè)企業(yè)都要建立一系列安全組織機(jī)構(gòu)，一般以小組為單位，如有的煙草企業(yè)就將網(wǎng)絡(luò)安全機(jī)構(gòu)分為安全管理中心（小組）和技術(shù)保障中心（小組），前者負(fù)責(zé)網(wǎng)絡(luò)安全管理制度的制定、運(yùn)行管理和事件處理等等，而后者主要是由技術(shù)人員構(gòu)成，以技術(shù)交流、技術(shù)咨詢(xún)工作為主。其次，安全機(jī)構(gòu)的每一個(gè)成員都要積極落實(shí)責(zé)任管理，做到“責(zé)任到人”，即制度中明確管理人員應(yīng)該做的和不能做的，并嚴(yán)格落實(shí)網(wǎng)絡(luò)信息安全事件責(zé)任，對(duì)因人員失職問(wèn)題造成的網(wǎng)絡(luò)安全事故，應(yīng)該通過(guò)一定的手段進(jìn)行處罰，這是管理制度保障實(shí)施的關(guān)鍵。此外，行業(yè)網(wǎng)絡(luò)安全管理制度還包括人事事管理制度、聯(lián)網(wǎng)登記制度、安全事故審計(jì)處理和匯報(bào)等，總之要確保各項(xiàng)網(wǎng)絡(luò)操作都應(yīng)有章可循。

2.3 營(yíng)造網(wǎng)絡(luò)安全文化，重視人才培養(yǎng)

一方面，煙草行業(yè)要強(qiáng)化各個(gè)企業(yè)員工互聯(lián)網(wǎng)安全意識(shí)，將信息安全培訓(xùn)納入員工崗位培訓(xùn)體系，通過(guò)定期培訓(xùn)、組織學(xué)習(xí)、企業(yè)間交流活動(dòng)等等，強(qiáng)化關(guān)于信息安全技術(shù)、信息安全保密知識(shí)、安全聯(lián)網(wǎng)等的學(xué)習(xí)，提高對(duì)來(lái)路不明的軟件、郵件和網(wǎng)頁(yè)的警惕性，在行業(yè)上下心中筑起信息安全的“防火墻”。另外，煙草企業(yè)還可以利用宣傳欄、條幅、標(biāo)語(yǔ)等，加大網(wǎng)絡(luò)信息安全重要性的宣傳，并由此形成濃厚的網(wǎng)絡(luò)安全的企業(yè)文化。

另一方面，煙草行業(yè)要重視行業(yè)專(zhuān)業(yè)技術(shù)人才隊(duì)伍的建設(shè)，為行業(yè)網(wǎng)絡(luò)信息安全提供堅(jiān)強(qiáng)的人才保證和智力支持，這也在走煙草行業(yè)網(wǎng)絡(luò)信息化建設(shè)道路中，解決種種新困難的必要措施?，F(xiàn)代信息更新速度快，行業(yè)應(yīng)當(dāng)加強(qiáng)信息中心網(wǎng)絡(luò)安全人員培訓(xùn)，不斷掌握網(wǎng)絡(luò)信息安全管理的新理論和新技術(shù)，了解網(wǎng)絡(luò)安全變化的新趨勢(shì)，才能為煙草行業(yè)的網(wǎng)絡(luò)信息安全保駕護(hù)航。

3.結(jié)束語(yǔ)

綜上所述，煙草行業(yè)的網(wǎng)絡(luò)信息安全管理是一項(xiàng)復(fù)雜的系統(tǒng)工程，保障信息安全可以說(shuō)是任重而道遠(yuǎn)，針對(duì)我國(guó)煙草行業(yè)在信息化不斷普及和發(fā)展的過(guò)程中，存在的信息安全人才缺乏等問(wèn)題，提出構(gòu)建煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全體系、建立并完善行業(yè)網(wǎng)絡(luò)安全管理制度以及營(yíng)造網(wǎng)絡(luò)安全文化、重視人才培養(yǎng)等策略，以期為煙草行業(yè)網(wǎng)絡(luò)信息安全保駕護(hù)航，更好地走信息現(xiàn)代化道路。