辛志斌

（山西省煙草專賣局（公司），山西 太原 030021）

0 引言

近年來，在國家政策和市場環(huán)境的綜合作用下，煙草行業(yè)發(fā)展呈現(xiàn)出了自動(dòng)化、智能化、集約化和少人化發(fā)展特點(diǎn)，一方面，諸如信息技術(shù)、人工智能技術(shù)等先進(jìn)技術(shù)手段被廣泛應(yīng)用于卷煙的生產(chǎn)、銷售和運(yùn)輸?shù)阮I(lǐng)域，實(shí)現(xiàn)了行業(yè)的技術(shù)性發(fā)展，另一方面，技術(shù)的應(yīng)用降低了行業(yè)發(fā)展對人力要素的依賴度，諸如制絲生產(chǎn)等環(huán)節(jié)基本實(shí)現(xiàn)無人化作業(yè)，行業(yè)發(fā)展的工藝和流程持續(xù)優(yōu)化升級。當(dāng)然，技術(shù)的發(fā)展雖然優(yōu)化了煙草行業(yè)的發(fā)展方式方法，但也給行業(yè)發(fā)展帶來了新的不安全性因素，其中較為突出的就是信息安全風(fēng)險(xiǎn)。行業(yè)內(nèi)企業(yè)信息網(wǎng)絡(luò)架構(gòu)的漏洞，以及市場主體薄弱的信息安全風(fēng)險(xiǎn)防控意識，使得行業(yè)信息安全風(fēng)險(xiǎn)事件時(shí)有發(fā)生。基于此，有必要對行業(yè)信息安全風(fēng)險(xiǎn)防控進(jìn)行針對性的研究，以推動(dòng)行業(yè)整體信息安全風(fēng)險(xiǎn)防控能力的提高[1]。

1 煙草行業(yè)信息安全風(fēng)險(xiǎn)防控的特點(diǎn)

1.1 參與主體多元化

網(wǎng)絡(luò)在煙草生產(chǎn)、銷售、存儲、運(yùn)輸?shù)拳h(huán)節(jié)的廣泛而深入應(yīng)用，使得與煙草行業(yè)發(fā)展相關(guān)的生產(chǎn)商、銷售商、物流運(yùn)輸商，以及終端的消費(fèi)者逐漸形成了鏈條和網(wǎng)絡(luò)，并且這些多元化主體的網(wǎng)絡(luò)信息和行為軌跡在網(wǎng)絡(luò)中均有存儲，這使得信息安全風(fēng)險(xiǎn)防控成為不同主體共同關(guān)注的安全問題。在這樣的情況下，多元主體愿意共同參與到行業(yè)信息安全風(fēng)險(xiǎn)防控中，以保護(hù)自身的信息安全。

1.2 防控手段的綜合性

影響煙草行業(yè)信息安全的風(fēng)險(xiǎn)來源比較多，其中既包括人為操作失誤造成的賬號密碼等操作信息泄露，也包括不良網(wǎng)絡(luò)主體采用技術(shù)手段對網(wǎng)絡(luò)信息系統(tǒng)的破壞和系統(tǒng)信息的竊取、篡改。顯然，這種人為因素與技術(shù)因素并存的風(fēng)險(xiǎn)格局下，煙草行業(yè)的信息安全防控需要采取管理與技術(shù)結(jié)合的綜合性防控手段，通過加強(qiáng)人的管理和技術(shù)的管控來提高行業(yè)信息安全防控的整體能力和效果。

2 煙草行業(yè)面臨的信息安全風(fēng)險(xiǎn)問題

2.1 行業(yè)信息安全風(fēng)險(xiǎn)防控力量分散

在當(dāng)前的煙草行業(yè)發(fā)展中，不同行業(yè)主體所從事的活動(dòng)和扮演的角色存在明顯的差異。雖然不同主體之間可能會因?yàn)闃I(yè)務(wù)活動(dòng)開展而產(chǎn)生直接性的聯(lián)系，但這種聯(lián)系均較為分散。例如，雖然同屬于行業(yè)主體，但下游的消費(fèi)者更多地是與中游的經(jīng)銷商產(chǎn)生信息或者產(chǎn)品的聯(lián)系，而并為與上游的卷煙生產(chǎn)商發(fā)生直接性的關(guān)系。在這種不同節(jié)點(diǎn)主體之間缺乏直接聯(lián)系的情況下，煙草行業(yè)主體之間很難就信息安全風(fēng)險(xiǎn)防控形成統(tǒng)一的認(rèn)知和行為方式，這就造成煙草行業(yè)整體防范和控制信息安全的能力薄弱[2]。

2.2 行業(yè)信息安全管理機(jī)制不健全

目前，雖然在國家層面形成了以國家煙草專賣局為主體的煙草行業(yè)信息管理系統(tǒng)，定期向行業(yè)主體和社會披露煙草行業(yè)發(fā)展相關(guān)信息，但地區(qū)層面的煙草行業(yè)信息管理機(jī)制建設(shè)卻相對滯后，導(dǎo)致一些行業(yè)信息難以在社會范圍內(nèi)尤其是行業(yè)范圍內(nèi)共享、傳播，這就導(dǎo)致部分行業(yè)主體出于獲取信息的需要，采取非法手段竊取或者購買行業(yè)信息，導(dǎo)致煙草行業(yè)整體的安全管理機(jī)制運(yùn)行遲緩，甚至出現(xiàn)漏洞，造成信息安全風(fēng)險(xiǎn)防控阻力大。

2.3 行業(yè)信息安全風(fēng)險(xiǎn)防控缺乏持續(xù)性

行業(yè)的動(dòng)態(tài)發(fā)展，使得煙草行業(yè)信息安全防控所處的環(huán)境和面臨的要求呈現(xiàn)出持續(xù)變化的特點(diǎn)，這就要求煙草行業(yè)的信息安全防控活動(dòng)要保持持續(xù)性，根據(jù)不同階段的信息安全風(fēng)險(xiǎn)制定和采取相應(yīng)的防控策略。但是，就目前的信息安全防控行為來說，更多地是以政策制度為導(dǎo)向的被動(dòng)式風(fēng)險(xiǎn)防控，即政府相關(guān)部門下發(fā)信息安全風(fēng)險(xiǎn)管理制度或者要求文件后，行業(yè)主體才開始按照文件要求進(jìn)行信息安全風(fēng)險(xiǎn)問題自檢自查和整改，這種被動(dòng)式的防控缺乏持續(xù)性，并且防控的內(nèi)在動(dòng)力不足，難以真正達(dá)到防控的效果。

3 防控?zé)煵菪袠I(yè)信息安全風(fēng)險(xiǎn)的策略

3.1 整合行業(yè)整體信息安全風(fēng)險(xiǎn)防控力量

力量的整合，既可以壯大煙草行業(yè)防控信息安全風(fēng)險(xiǎn)的實(shí)力，也能夠彌補(bǔ)行業(yè)內(nèi)部局部性的信息安全風(fēng)險(xiǎn)防控漏洞，從而提高行業(yè)整體的信息安全風(fēng)險(xiǎn)防控能力與效果。針對當(dāng)前行業(yè)主體信息安全風(fēng)險(xiǎn)防控力量分散的問題，要通過行業(yè)管理的優(yōu)化來加以解決。

首先，推動(dòng)行業(yè)發(fā)展扁平化。行業(yè)發(fā)展扁平化，是壓縮行業(yè)發(fā)展的中的中間環(huán)節(jié)，使行業(yè)上游與行業(yè)下游之間實(shí)現(xiàn)短距離、高效率的聯(lián)通。體現(xiàn)到煙草行業(yè)發(fā)展之中，就是實(shí)現(xiàn)產(chǎn)供銷的一體化，這樣一方面可以減少行業(yè)發(fā)展信息在不同主體之間的傳遞頻次和流程，減少因?yàn)樾畔鬟f而出現(xiàn)的安全風(fēng)險(xiǎn)，另一方面可以增強(qiáng)行業(yè)主體對信息安全風(fēng)險(xiǎn)的管控力度，提高信息安全風(fēng)險(xiǎn)識別和應(yīng)對的效率。

其次，明確信息安全風(fēng)險(xiǎn)防控標(biāo)準(zhǔn)。造成煙草行業(yè)整體信息安全風(fēng)險(xiǎn)防控力量分散的一個(gè)重要原因之一就是行業(yè)整體缺乏規(guī)范化、統(tǒng)一化的信息安全風(fēng)險(xiǎn)防控標(biāo)準(zhǔn)和方案，分散的多元主體不知道如何做好信息安全風(fēng)險(xiǎn)防控?；诖耍瑹煵菪袠I(yè)協(xié)會要在密切與政府煙草管理部門聯(lián)系的同時(shí)，推動(dòng)行業(yè)內(nèi)部的信息安全風(fēng)險(xiǎn)防控標(biāo)準(zhǔn)制定與實(shí)施，以統(tǒng)一的標(biāo)準(zhǔn)凝聚行業(yè)主體信息安全風(fēng)險(xiǎn)防控的力量。

3.2 健全煙草行業(yè)信息管理機(jī)制

在當(dāng)前行業(yè)發(fā)展不確定性日益增加的情況下，煙草行業(yè)主體對行業(yè)發(fā)展信息的需求度正在不斷上升，這就促使一些主體基于獲取信息的需要而采取一些偏激性的行為，威脅行業(yè)信息安全管理秩序?；诖?，要通過信息管理機(jī)制的健全加以疏導(dǎo)，借助信息的有效流通與共享來化解安全風(fēng)險(xiǎn)的發(fā)生。

第一，搭建統(tǒng)一性的行業(yè)信息管理平臺。在信息系統(tǒng)廣泛應(yīng)用的情況下，搭建面向多元主體的煙草行業(yè)信息管理平臺，為其提供豐富、多樣的信息內(nèi)容，是滿足煙草行業(yè)發(fā)展中的信息需求和消除煙草行業(yè)信息安全隱患的有效策略。相關(guān)主體尤其是政府性的煙草行業(yè)管理主體要基于煙草行業(yè)管理的需要，開發(fā)統(tǒng)一性的行業(yè)信息管理平臺，通過權(quán)威的信息管理活動(dòng)來提高信息安全風(fēng)險(xiǎn)防控的能力和效果，消除信息安全風(fēng)險(xiǎn)發(fā)生的誘因[3]。

第二，優(yōu)化行業(yè)信息管理方式。針對行業(yè)主體存在的差異性的行業(yè)發(fā)展信息需求，以及主體在行業(yè)發(fā)展中所處的位置的差異，為避免不必要的信息傳播可能造成的泄露風(fēng)險(xiǎn)，煙草行業(yè)信息管理平臺的運(yùn)營主體要為行業(yè)主體分配擁有不同操作權(quán)限的賬號和密碼，用于限制主體信息獲取的范圍，減少不必要的信息獲取與傳播行為，保證信息管理的有序性。同時(shí)，運(yùn)營主體也要通過必要的技術(shù)手段，提高信息管理系統(tǒng)和平臺的安全風(fēng)險(xiǎn)報(bào)警功能，一旦出現(xiàn)風(fēng)險(xiǎn)行為，立即進(jìn)行報(bào)警處置，避免信息的泄露。

第三，完善行業(yè)內(nèi)部信息加密手段。加密是從技術(shù)角度出發(fā)強(qiáng)化煙草行業(yè)信息儲存、傳輸安全性的重要措施。相關(guān)主體在構(gòu)建行業(yè)內(nèi)部信息安全風(fēng)險(xiǎn)防控方案的同時(shí)，要強(qiáng)化信息加密技術(shù)的應(yīng)用，安排專門的技術(shù)人員研發(fā)信息加密的多樣化手段，構(gòu)建更為豐富的加密渠道，提升煙草信息平臺的安全性。同時(shí)，行業(yè)及企業(yè)要加強(qiáng)常態(tài)化的信息系統(tǒng)優(yōu)化機(jī)制，對信息系統(tǒng)進(jìn)行持續(xù)性的安全技術(shù)升級，并對重要數(shù)據(jù)進(jìn)行動(dòng)態(tài)加密和備份，以保證信息的安全性。在信息訪問方面，可以通過訪問控制、數(shù)字簽名、身份認(rèn)證等方式，對信息系統(tǒng)的使用情況進(jìn)行動(dòng)態(tài)監(jiān)測，以便及時(shí)發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的安全漏洞[4]。對于密碼設(shè)置過于簡單的賬號，要提醒和督促相關(guān)主體及時(shí)更改、完善賬號密碼，提升密保能力。

3.3 打造行業(yè)信息安全風(fēng)險(xiǎn)防控閉環(huán)

閉環(huán)管理，是信息化時(shí)代信息安全風(fēng)險(xiǎn)防控的一種常用管理理念和方式，其主張通過構(gòu)建風(fēng)險(xiǎn)防控閉環(huán)來推動(dòng)風(fēng)險(xiǎn)防控能力的持續(xù)性提升，適應(yīng)不同階段、不同環(huán)境下的風(fēng)險(xiǎn)防控要求?？紤]到煙草行業(yè)信息安全風(fēng)險(xiǎn)防控的持續(xù)性和動(dòng)態(tài)性特點(diǎn)，行業(yè)內(nèi)部有必要打造風(fēng)險(xiǎn)防控閉環(huán)，切實(shí)推動(dòng)風(fēng)險(xiǎn)防控的持續(xù)提升。

首先，搭建信息安全風(fēng)險(xiǎn)技術(shù)漏洞識別系統(tǒng)。技術(shù)，是信息化背景下煙草行業(yè)信息安全風(fēng)險(xiǎn)防控的重要依賴手段?？紤]到當(dāng)前信息安全風(fēng)險(xiǎn)產(chǎn)生的技術(shù)性特點(diǎn)，行業(yè)主體要結(jié)合發(fā)展情況和需要，搭建集信息安全風(fēng)險(xiǎn)識別、報(bào)警、分析和自處理于一體的信息系統(tǒng)體系，借助技術(shù)手段實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)防控的智能化、自動(dòng)化和信息化。

其次，科學(xué)評估信息安全風(fēng)險(xiǎn)防控系統(tǒng)。行業(yè)主體要對自身搭建的或者所處的信息安全風(fēng)險(xiǎn)防控系統(tǒng)的安全性進(jìn)行定期的技術(shù)性和管理性評估，及時(shí)發(fā)現(xiàn)和解決行業(yè)信息安全風(fēng)險(xiǎn)防控中存在的問題，并以問題為導(dǎo)向，優(yōu)化原有的信息安全風(fēng)險(xiǎn)防控系統(tǒng)，確保信息安全風(fēng)險(xiǎn)防控的科學(xué)性和有效性。同時(shí)，對于普遍存在的信息安全風(fēng)險(xiǎn)，要組織多方面的技術(shù)專家進(jìn)行研究探討，從根本上搭建相應(yīng)的風(fēng)險(xiǎn)防控技術(shù)手段[5]。

4 結(jié)論

信息安全，是近年來互聯(lián)網(wǎng)應(yīng)用中普遍存在和關(guān)注的問題。雖然在相關(guān)政策和市場環(huán)境的影響下，煙草行業(yè)逐步加強(qiáng)了對信息安全風(fēng)險(xiǎn)的重視度，一些企業(yè)也采取了相應(yīng)的管理與技術(shù)措施來防控可能出現(xiàn)的信息安全風(fēng)險(xiǎn)，但是，就行業(yè)整體的發(fā)展而言，仍然存在信息安全風(fēng)險(xiǎn)防控力量薄弱的問題。針對當(dāng)前行業(yè)信息安全風(fēng)險(xiǎn)防控中存在的問題，相關(guān)主體要通過整合行業(yè)整體信息安全風(fēng)險(xiǎn)防控力量、健全煙草行業(yè)信息管理機(jī)制、打造行業(yè)信息安全風(fēng)險(xiǎn)防控閉環(huán)等措施加以應(yīng)對，以確保行業(yè)信息的安全性和穩(wěn)定性。