烟草行业信息安全风险控制策略初探

烟草行业信息安全风险控制策略初探

摘要:烟草行业在我国国民经济中占据重要地位,是我国各级政府财政收支平衡体系中不可或缺的税金来源。为了跟随信息化社会潮流,提高交易效率,精确统计行业数据,新世纪我国烟草行业逐步引进现代化线上信息管理系统,然而技术设备的更新换代也带来了严重信息安全问题。为妥善解决此问题,文章详细梳理了烟草行业信息系统中隐藏的主要安全风险与漏洞,从不同角度提出了改进信息管理模式、消弭不确定风险的可行控制策略。

关键词:烟草业;信息安全风险;内部控制

在现代信息社会中各行各业都依赖于互联网技术搭建内部信息管理系统和对外交易体系,我国烟草行业从管理层到基层职工都已配备完善的联网办公设备和数据库,极大地提高了日常工作效率,但因技术与人力资源配置等因素限制,大部分烟草业公司的信息交流和数据存储体系都隐藏着安全漏洞,容易遭到不法分子网络攻击,以此必须尽快提高烟草业信息管理水平,确保这一关乎国计民生的支柱型企业稳定运转。

1烟草业信息安全风险的基本概念和重要性

信息安全风险控制的具体含义是对企业内部信息管理系统的软硬件设备以及数据库实施严密管理,减轻企业交易信息的泄露风险,及时修补系统中的容易遭受攻击或可能被黑客利用的安全漏洞,使企业能够稳定运转,不受不确定的信息风险影响。信息安全风险控制是一门随着互联网技术在各行各业逐步普及而兴起的新兴学科,要想保证烟草行业安全运营,就必须重视信息安全风险管控,加大对相关领域建设的支持,构建一套完善可靠的网络监管体系,随着全球化经济体系的逐步扩张,怎样在网路信息自由高速传播的新时代保护烟草行业的信息安全,是企业管理者必须尽快解决的关键问题。网络世界没有明确边界,网络环境中龙蛇混杂,对外开放的信息渠道使烟草行业等国家命脉产业容易遭受外国网络犯罪团伙的攻击和刺探,一旦泄露重要交易信息和详细业务数据,就会为国家带来严重的经济损失,而且这种不对称的网络犯罪具备准入门槛较低、付出成本少而受益大,按司法程序跨国追责较为困难等特点,难以完全从社会层面杜绝,我国烟草企业只能被动强化自身的信息管控能力,避免因遭受不法侵害导致国有资产流失。

2烟草业信息安全风险管控体系的主要问题

2.1企业未能从物理设备层面加强信息安全防控,缺少可靠的信息管控手段

现阶段企业信息安全管理属于企业自负的基本责任之一,不受外部干涉,完全属于内部解决问题,然而我国烟草业从业者普遍习惯于使用外国进口设备,例如Windows操作系统和英特尔处理器[1],在使用进口设备时没有采用任何可靠的安全防护手段加密业务信息,如果外国设备供应商留下系统后门,则我国烟草行业将完全丧失信息安全。而且目前烟草业的部分企业未能及时对安全防护系统进行更新换代,依旧在使用落后于科技发展潮流的老旧设备,这些传统设备已经没有相应的安全升级和漏洞修复支持,入侵难度较低,难以被纳入信息安全防控体系之中。

2.2行业内部缺乏忧患意识,没有建立完善的工作人员监管体系

烟草行业的大多数高层管理人员尚未意识到企业信息系统的漏洞,对信息安全风险管控机制的现实意义没有明确认识,没有将信息安全管控纳入内控管理制度之中,造成大多数员工思想松懈、行为不端,未能积极捍卫我国烟草业的信息安全[2],部分员工甚至主动泄露工作涉及机密信息,并以此为傲。烟草企业管理层放纵基层员工在工作中私自使用单位设备联网和接入其他信息终端等违规行为,未能严厉打击这些极易招致网络攻击的错误行为。

3现阶段可行的信息安全风险管控手段研究

3.1企业全部使用国产信息设备,采用多样化的信息安全防控手段

要想提高烟草企业的信息安全,有效控制内部信息泄露的风险,首先必须确保硬件、软件设备安全,我国烟草企业除涉外业务较多的企业外均应使用全国产信息处理设备,例如“鸿蒙系统”“龙芯处理器”“中标麒麟Linux”等国产操作系统和硬件设备,这些技术设备的生产商政治上可靠,技术上已经接近国际先进水平,全部采用国产设备完全不会影响正常的日常办公活动,仅需流出一段时间让员工逐步适应。企业必须在要害部门使用本国生产的没有外国企业代工的信息设备,确保具体操作信息的安全,打破外国科技设备的行业垄断,为烟草行业营造一个安全稳定的运营环境[3]。企业还应定期停机检测设备的安全性,通过技术设备扫描探明网络系统中的漏洞,修改不正确的网络协议,堵住黑客入侵能够利用的漏洞,排除设备中的移植木马和隐藏后门。在信息设备中使用准入白名单机制限制外网不明来源用户的访问,从信息渠道层面隔绝交流,达到绝对安全的实际效果,不给外国黑客集团实施攻击的机会。企业还可建立的安全风险管控队伍的人才储备库,有条件的企业还可建立独立的信息安全防控小组,该小组负责研发并构建独立与其他行业和公司的企业内部网络系统,对企业所购进的网络设备进行全方位的扫描测评,保证软、硬件安全,信息安全防控小组还可采用新型加密算法对重要的文件和交易信息进行加密处理,避免内部信息被截流查看,也可预防工作人员私自复制文件,定期组织企业内部安全防控演练,培育各级工作人员的安全防卫意识,提高企业的信息安全性,将安全风险控制到最小程度。

3.2烟草行业监管部门和企业高层强化信息安全风险管控

企业管理人员和行业监管机构必须着力于行业信息安全管控体系的建设,设立专业的信息管理机构,对其日常工作进行大力支持,为升级新型安全系统投入足够的资金,为信息管理队伍的建设调配足够的人才,将企业管理重点从提升经济利润转向确保企业信息安全之上,在企业内部为各级管理人员开办信息安全知识讲座,从上到下逐级传递信息安全防护知识与领导指示,由部门管理者带动部门基层工作者,改变原有恶习,杜绝各类有可能危害企业信息安全的违规行为,例如不再将未杀毒的移动硬盘连接在单位电脑上,不再将工作文件上传至微信和QQ群组中,不再与亲人朋友讨论行业的机密和具体数据等。企业的信息安全需要所有员工的积极配合才能保证,只有工作人员的密切配合,才能显著降低企业信息安全风险,从最大程度上减少信息外泄的可能。管理人员可设计严密的行为奖惩制度,将职业信息安全防护与员工的升职加薪挂钩,驱动员工尽快改变日常行为举止,由专职监管小组定期抽查检测各部门员工的信息安全防范意识高低和行为活动,通过为表现良好的员工提供奖励形成群体示范效应,对屡教不改的违纪者进行严肃处理,绝不姑息纵容。管理者还应减少行业交易信息流通涉及的环节,明确划分各单位各部门的信息管理权限,建立信息访问分级制度,只有具备特殊任务的职工或一定级别的领导者才能访问企业的机密数据库,通过这种手段能够将企业内部员工泄密的风险降到最低。

4结论

企业信息风险防控工作是一项较为复杂的涉及不同领域知识与技术的工作,为了保证烟草行业的信息安全,管理人员必须树立安全防控意识,鼓励基层员工参与到信息安全防控工作中来,建立专业的安全技术防控小组,采用可靠的信息防护设备,自行研发构建独立的信息交换系统,有效防范网络非法入侵,减少信息泄露风险,为烟草行业的健康发展保驾护航。

参考文献

[1]窦光芒.烟草行业信息安全风险的控制策略[J].电子技术与软件工程,2017(6):211.

[2]侯佳.烟草企业信息安全的风险与控制策略探析[J].中国新通信,2017,19(17):58.

[3]杨羽虎.甘肃省烟草专卖商业系统数据中心面临的安全风险及对策[C]//中国烟草学会2016年度优秀论文汇编——信息化管理主题,2016:6.

作者:张睿 单位:安徽省芜湖市烟草专卖局(公司)