信息安全在烟草行业的应用与思考

　　烟草企业为加大自身竞争能力，就需运用信息化手段提升自己，因而对信息安全提出了更高的要求。文章主要论述烟草企业管理中加强信息管理的诸多要点，并且从技术和管理两方面论述管理细则，以期保障企业信息的安全性和高效性。

　　目前，烟草行业为了应对激烈的竞争就需提升信息化手段，发展中为加大烟草企业的信息化发展速率，就要适应信息化管理中高效、开放和共享和高互的特点，进而让企业在面临安全问题的前提下做好进一步的规划。最近几年，由于网络信息问题的逐年加大，所以安全问题成为网络发展中重要关注问题，另外烟草企业信息系统管理中，存在系统的可用性、保密性和完整性等诸多问题，因此应从整体上做评估和分析，这是当前系统发展中需迫切解决的问题。

　　1 烟草企业信息管理的现状

　　1.1 内在现状

　　第一，黑客入侵威胁烟草信息的安全性，现在世界上有超过20多万个黑客网站传授如何攻击系统的方略，加之各类的攻击软件也很常见，所以黑客技术掌握的人越来越多，黑客已经不是少数人的称谓。只要一个掌握计算机基础知识人再结合这些工具以及方略，就能突破很多网站和服务器，部分黑客利用专业的黑客工具从企业租用通信线路从非法渠道进入到企业的网络内部，利用企业内部网络传输中的数据未加密的漏洞，监听或者盗取信息，从事信息破坏或者盗取的活动。

　　第二，计算机病毒侵入，由于病毒作为计算机网络最大的安全隐患，因而不同企业都会遭受到病毒侵蚀。目前全国范围内已经有20000多种病毒样本存在，并且以每年300多种的速度激增，这些病毒成为威胁我国计算机系统的主要源头，如果企业没有科学有效的计算机病毒防范措施，那么内部的很多信息将时刻面临巨大威胁，破坏数据文件的同时，也能破坏计算机系统，造成网络的瘫痪，因而计算机病毒的防范工作的重要性不容忽视。

　　第三，垃圾邮件的威胁，常规企业的网络需要借助外网进行连接，所以对外提供很多服务，内部的网络都是借助于Internet等连接外部，通过大量的信息交换，调查显示对外获取的信息大概80%为电子邮件，其中这些邮件内有一大半是垃圾邮件，由于这些邮件内安插的木马让人防不胜防，所以让内部网络处于无法保障的范围内。

　　1.2 内部现状

　　第一，保密工作不到位，在此如果保密工作不能做到位，那么就会让口令或者IP地址出现泄漏，操作人如果不定期跟换密码，就会让整个系统在运行过程中执行设置默认的口令，那么密码泄漏就在所难免，也给犯罪分子可乘之机。另外，网管员为了检查通信线路的通畅状况，就要将IP地址暴漏在显示屏上面，在机房管理不严的情况下，为人的进出，也容易将IP地址泄漏，造成网络不安全因素。部分网络管理人员需要将局域网内的各个主机IP地址以文字的形式记录下来，但是记录完成后不进行严格的管理，随意摆放，甚至还会带离工作区以外，这些行为均会给网络运行带来不良隐患。第二，内部管理漏洞，烟草企业很多信息系统的维护人员是专门的维护人员，如果这些人员工作过程中不重视规章制度，任意的违规操作，那么就会出现重要数据丢失的状况，导致系统瘫痪，很多内部人员也可能利用工作职务的便利因素，做违法的事情，这都会威胁信息系统安全。第三，信息系统自身的漏洞，无论是计算机的硬件还是系统软件或者应用软件，虽然设计者在设计之初都对其进行安全和可靠的周密性研究，但是薄弱环节的存在不可避免，由于应用软件的设计漏洞，或者系统开发的错误性，会影响系统未来的功能性拓展以及衔接。

　　2 烟草企业信息管理的有效措施

　　计算机安全的方法目的主要是确保数据的完整性和权威性，避免欺诈行为，以及系统运行时的失误状况。特别是烟草企业有关信息安全的工作，需要从技术和管理两方面探究问题，保障信息系统的安全性能。

　　2.1 技术层面

　　2.1.1 物理层安全

　　物理层安全开展时，对设备以及重要的服务器、交换器和路由器要重视，并且要由专门的人看管，同时配合安全管理制度，严格控制与该工作无关的人员进出机房重地。并且详细了解内部人员的访问频率和实践，尽最大努力封锁任何可能存在泄密的渠道，将内网和外网做好隔离，避免公共网上的黑客从外网入侵到内网，保障网络安全。

　　2.1.2 网络层安全

　　网络层按照主要是设置防火墙的入侵以及检测等，第一要科学合理地设置防火墙，通过防火墙能够阻断网络的外在攻击状况，并且详细探查出非法网络访问情况。第二通过入侵检测系统了解监视网络的通信装置，要在寻求已知攻击模式后，检测到是否有授权的各类互动，通过预定的方式做好应对计划，包括报告攻击的模式，结合其他安全机制做好协同工作，提供安全有效的保障体系。

　　2.2 管理层面上

　　2.2.1 健全政策与法规

　　第一，要针对网络设计人员、系统维护人员和业务人员的状况做好工作职责的划分，建立明确的责任管理模式，便于分清楚各类职责，也能让他们彼此之间做好监督和管理;第二，建立密码管理制度，密码不应由一人全部掌握，最好是开展分段展望，配合定期更换和变化位置的方式，避免密码外泄，即使外泄也是一小部分，因而不能获取资料库，并密码更换和调换顺序需要严格地根据批准程序进行，并且在档案内做好记录，记录时需要严格的保管好记录文档;第三，要建立严格的机房管理制度，不能因为信任忽略制度;第四，依法管理，如果出现问题以后，要及时追究相关责任人或者事故人的责任，并且对于故意或者无意泄露的行为进行法律追究，绝不姑息。

　　2.2.2 加大内容人员管理

　　管理工作开展的同时需要做好内部人员培训，并且制定相关的操作规章，在确保信息能够正确运用的前提下，在安全合理的环境内操作。更要树立全面的网络安全意识，在严格政策法规限定的基础上，降低内部人员的做案几率，加强内容人员的防范以及管理，将相关的安全规章制度落实到实处，不要做太多表面文章，忽视管理的实效性。第一，要了解各个岗位人员的责任以及权限，最好做到专人专岗，不能一人多岗;第二，安全管理人员需要做好各个岗位的审核，了解工作人员的工作状况，让管理工作做到按部就班，通过相互之间的制约以及牵制，尽量减少内部人员作案的可能性。

　　3 结束语

　　烟草行业在管理时需应对内部和外部的威胁，同时要建立整体的动态信息安全保障模式，可以从安全组织保障、安全流程进展和安全技术推行的角度考虑问题，借此系统以及科学的定位烟草行业的信息安全状况，并做好基础安全及时结构保障，进而通过系统安全的建设，推行业务系统的高效和稳定。

　　作者：于晓振 来源：科技创新与应用 2016年21期