朱益旻

（安徽省煙草公司池州市公司，安徽 池州 247000）

煙草行業(yè)信息安全風(fēng)險(xiǎn)分析與控制策略研究

朱益旻

（安徽省煙草公司池州市公司，安徽 池州 247000）

煙草行業(yè)作為我國(guó)經(jīng)濟(jì)的主要來源之一，在我國(guó)社會(huì)經(jīng)濟(jì)發(fā)展過程中占有舉足輕重的地位。隨著經(jīng)濟(jì)全球化與市場(chǎng)信息化的不斷深入，煙草行業(yè)信息系統(tǒng)的安全性也將面臨著巨大挑戰(zhàn)。本文分析了信息化時(shí)代背景下，煙草行業(yè)信息安全風(fēng)險(xiǎn)的特征以及在信息安全方面所存在的風(fēng)險(xiǎn)，并提出了控制煙草行業(yè)信息安全的幾點(diǎn)策略，旨在提升信息系統(tǒng)安全性和可靠性。

煙草行業(yè)；信息安全；風(fēng)險(xiǎn)分析；控制策略

信息化時(shí)代，信息是各行業(yè)發(fā)展所需的重要資源和資產(chǎn)，而信息安全性在企業(yè)經(jīng)營(yíng)發(fā)展中的地位變得越來越高。所謂信息安全，指的是企業(yè)信息、企業(yè)信息系統(tǒng)及其所處環(huán)境安全性的綜合。它包括企業(yè)信息的安全性、完整性、可靠性和真實(shí)性等。近年來，信息技術(shù)在煙草行業(yè)得到了普遍應(yīng)用，并對(duì)煙草行業(yè)的信息整合、資源優(yōu)化配置、管理理念更新等發(fā)揮了無可比擬的作用。然而其信息安全性卻存在著很多風(fēng)險(xiǎn)，如何控制好這些風(fēng)險(xiǎn)已成為煙草行業(yè)當(dāng)前所迫切需要解決的一個(gè)問題。

1　信息安全風(fēng)險(xiǎn)的特征

信息安全風(fēng)險(xiǎn)主要具有以下幾地特征。第一，動(dòng)態(tài)性與可變性。信息安全風(fēng)險(xiǎn)在其生命周期內(nèi)是動(dòng)態(tài)進(jìn)行著變化的，所以其具有動(dòng)態(tài)性與可變性。第二，多樣性與多層次。信息安全風(fēng)險(xiǎn)既有管理方面的，也有技術(shù)和環(huán)境方面的，因而具有多樣性；同時(shí)，網(wǎng)絡(luò)層、物理層、鏈路層、應(yīng)用層等都是信息安全風(fēng)險(xiǎn)作用的層面，所以又具有多層次特點(diǎn)。第三，可預(yù)測(cè)性。信息安全風(fēng)險(xiǎn)可以通過各種定量、定性分析方法來進(jìn)行預(yù)測(cè)和判斷。第四，客觀性與不確定性。信息安全風(fēng)險(xiǎn)客觀存在于信息系統(tǒng)生命周期的各個(gè)階段和各個(gè)層級(jí)中，且會(huì)隨著各種不確定因素的變化而變化。

2　煙草行業(yè)存在的信息安全風(fēng)險(xiǎn)

2.1內(nèi)部安全存在隱患

隨著信息技術(shù)應(yīng)用的日益普遍和成熟，各煙草企業(yè)已建立起屬于自己的內(nèi)部局域網(wǎng)，并開發(fā)出各種所需信息系統(tǒng)，包括信息管理系統(tǒng)、生產(chǎn)銷售系統(tǒng)、辦公系統(tǒng)、綜合服務(wù)系統(tǒng)、決策系統(tǒng)等。這些系統(tǒng)共同支撐起企業(yè)經(jīng)營(yíng)決策管理，大大提高了企業(yè)辦公的效率。然而，信息系統(tǒng)在給企業(yè)帶來巨大便利的同時(shí)，也給企業(yè)信息安全帶來了更多、更大的風(fēng)險(xiǎn)，如不良信息對(duì)員工思想的沖擊，員工結(jié)構(gòu)頻繁的變化流動(dòng)等，都給企業(yè)的內(nèi)部安全控制造成了很大隱患。

2.2易受外部干擾和攻擊

通常，煙草企業(yè)為方便基層員工，要求基層部門通過VPN來訪問企業(yè)內(nèi)部信息系統(tǒng)，同時(shí)企業(yè)內(nèi)部網(wǎng)絡(luò)經(jīng)常會(huì)有存儲(chǔ)設(shè)備和電腦供應(yīng)商的介入。企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的頻繁連接，為外部網(wǎng)絡(luò)中病毒、木馬、黑客等對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的干擾、攻擊與破壞創(chuàng)造了便利的通道。一旦企業(yè)內(nèi)部網(wǎng)絡(luò)遭受外部干擾和攻擊，將很可能導(dǎo)致企業(yè)信息系統(tǒng)遭受不良影響而中斷，甚至造成整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓和計(jì)算機(jī)的崩潰，給企業(yè)造成巨大的經(jīng)濟(jì)損失。

3　煙草行業(yè)信息安全風(fēng)險(xiǎn)的控制策略

3.1加強(qiáng)數(shù)據(jù)備份與恢復(fù)，提高數(shù)據(jù)安全

數(shù)據(jù)安全是信息系統(tǒng)最為核心的一個(gè)部分，它具有兩種含義。其一，數(shù)據(jù)本身的安全，指通過數(shù)據(jù)完整性、數(shù)據(jù)加密等現(xiàn)代使用較為廣泛的加密算法對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)，提高數(shù)據(jù)本身的安全性。其二，數(shù)據(jù)防護(hù)的安全，指以現(xiàn)代數(shù)據(jù)存儲(chǔ)為主要工具對(duì)數(shù)據(jù)進(jìn)行安全防護(hù)，如數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)、磁盤陣列等。對(duì)于煙草行業(yè)而言，宜采用統(tǒng)一的數(shù)據(jù)備份系統(tǒng)和性能良好的數(shù)據(jù)備份軟件，以提高數(shù)據(jù)的備份和恢復(fù)功能，并按照備份策略對(duì)所有需要備份的數(shù)據(jù)進(jìn)行增量和完全備份，以提高數(shù)據(jù)的安全性。此外，應(yīng)指派專業(yè)人員對(duì)數(shù)據(jù)備份情況進(jìn)行定期檢查，以確保數(shù)據(jù)備份進(jìn)行的及時(shí)準(zhǔn)確、可靠完整。同時(shí)對(duì)數(shù)據(jù)進(jìn)行定期恢復(fù)測(cè)試，對(duì)其可用性進(jìn)行檢驗(yàn)，根據(jù)數(shù)據(jù)可用性情況和備份、恢復(fù)情況對(duì)數(shù)據(jù)備份策略和恢復(fù)策略進(jìn)行及時(shí)恰當(dāng)?shù)恼{(diào)整，保障數(shù)據(jù)備份策略與恢復(fù)策略可以滿足數(shù)據(jù)備份與恢復(fù)需要。

3.2提高信息系統(tǒng)的物理安全

在信息系統(tǒng)當(dāng)中，物理安全指的是系統(tǒng)運(yùn)行時(shí)所需的各種硬件設(shè)備及硬件環(huán)境的安全，這些硬件設(shè)備主要有機(jī)房及機(jī)房中的各種計(jì)算機(jī)、設(shè)備、數(shù)據(jù)存儲(chǔ)所需的各種介質(zhì)等。信息系統(tǒng)具備良好的物理安全是企業(yè)內(nèi)部控制安全中的一項(xiàng)重要內(nèi)容，是網(wǎng)絡(luò)與計(jì)算機(jī)設(shè)備硬件自身安全及信息系統(tǒng)各種硬件安全穩(wěn)定運(yùn)行的可靠保障。提高煙草企業(yè)信息系統(tǒng)的物理安全，需要企業(yè)對(duì)系統(tǒng)硬件運(yùn)行狀態(tài)進(jìn)行定期檢查，及時(shí)排除硬件故障，為硬件運(yùn)行提供安全可靠的外界環(huán)境。

3.3提高系統(tǒng)運(yùn)維安全

為確保信息系統(tǒng)可以長(zhǎng)期安全穩(wěn)定運(yùn)行，需要對(duì)信息系統(tǒng)進(jìn)行定期維護(hù)，需要對(duì)系統(tǒng)內(nèi)各相關(guān)軟件進(jìn)行升級(jí)。在這一環(huán)節(jié)當(dāng)中，信息部門作為信息系統(tǒng)運(yùn)行與維護(hù)的主要承擔(dān)者和主要責(zé)任者，應(yīng)對(duì)其職責(zé)范圍內(nèi)的信息安全有所了解，并以此為基礎(chǔ)做好系統(tǒng)運(yùn)維記錄，做好系統(tǒng)資料與各種軟件程序的防護(hù)工作，建立完整詳細(xì)的軟硬件資源庫(kù)。在強(qiáng)化運(yùn)維人員對(duì)信息安全重要性認(rèn)識(shí)的同時(shí)，對(duì)信息系統(tǒng)中可能存在的安全風(fēng)險(xiǎn)進(jìn)行定期檢查與排除，及時(shí)獲得相應(yīng)的漏洞補(bǔ)丁，及時(shí)修復(fù)信息系統(tǒng)出現(xiàn)的各種安全問題。

4　結(jié) 語(yǔ)

通過上文分析可知，若想要煙草企業(yè)信息系統(tǒng)處于相對(duì)安全的運(yùn)行狀態(tài)下，就需要采取各種有效的對(duì)策來對(duì)信息系統(tǒng)中存在的各種安全風(fēng)險(xiǎn)進(jìn)行有效控制，確保全方位提高信息系統(tǒng)的安全性。只有信息安全風(fēng)險(xiǎn)得到了有效控制，只有信息系統(tǒng)的安全性得到了切實(shí)提高，煙草行業(yè)才會(huì)快速穩(wěn)定、可持續(xù)發(fā)展下去，才會(huì)為我國(guó)經(jīng)濟(jì)發(fā)展貢獻(xiàn)一份力量。

主要參考文獻(xiàn)

［1］肖峰.煙草信息安全風(fēng)險(xiǎn)分析及策略控制［J］.現(xiàn)代商業(yè)，2015（23）.

［2］周肖肖.煙草行業(yè)電子政務(wù)項(xiàng)目建設(shè)中的風(fēng)險(xiǎn)管理實(shí)踐［D］.北京：北京郵電大學(xué)，2009.

［3］陳永泰.安全域在甘肅煙草安全防護(hù)體系中的應(yīng)用研究［D］.蘭州：蘭州理工大學(xué)，2012.

10.3969/j.issn.1673 - 0194.2015.24.140

TP309

A

1673-0194（2015）24-0182-01

2015-10-19