辛志斌

山西省煙草專賣(mài)局(公司) 山西 太原 030021

隨著網(wǎng)絡(luò)在煙草領(lǐng)域的應(yīng)用和發(fā)展,煙草企業(yè)逐漸將網(wǎng)絡(luò)引入到了企業(yè)內(nèi)部的管理、生產(chǎn)及辦公等環(huán)節(jié),逐步促進(jìn)了煙葉生產(chǎn)收購(gòu)、卷煙加工、卷煙營(yíng)銷、專賣(mài)稽查等活動(dòng),以及企業(yè)日常的人力、財(cái)力等要素管理的效果。例如,網(wǎng)絡(luò)在煙草營(yíng)銷管理中的應(yīng)用,實(shí)現(xiàn)了產(chǎn)品庫(kù)存的自動(dòng)化清點(diǎn)和產(chǎn)品信息的一鍵式調(diào)閱;在卷煙產(chǎn)品銷售環(huán)節(jié)中的應(yīng)用,實(shí)現(xiàn)了客戶通過(guò)手機(jī)APP的遠(yuǎn)程網(wǎng)絡(luò)下單。當(dāng)然,網(wǎng)絡(luò)在給煙草企業(yè)優(yōu)化管理、提高營(yíng)銷效果等方面帶來(lái)便利的同時(shí),也增加了企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),使企業(yè)在信息安全方面面臨較大的難題?；诰W(wǎng)絡(luò)在煙草企業(yè)中的不斷深化應(yīng)用,以及網(wǎng)絡(luò)自身的安全性隱患,有必要從技術(shù)、管理等方面尋求應(yīng)對(duì)煙草企業(yè)網(wǎng)絡(luò)安全的科學(xué)策略,促進(jìn)網(wǎng)絡(luò)安全問(wèn)題的有效解決。

1 煙草企業(yè)網(wǎng)絡(luò)安全建設(shè)中存在的問(wèn)題

1.1 企業(yè)網(wǎng)絡(luò)安全問(wèn)題重視度不高 在行業(yè)快速發(fā)展的背景下,部分煙草企業(yè)經(jīng)營(yíng)管理主體將關(guān)注的重點(diǎn)多放在營(yíng)銷方面,內(nèi)部管理人員對(duì)網(wǎng)絡(luò)的關(guān)注也主要放在拓展客戶源、優(yōu)化供應(yīng)鏈條等與業(yè)務(wù)關(guān)系密切的方面,對(duì)存儲(chǔ)于網(wǎng)絡(luò)信息系統(tǒng)中的信息的安全性問(wèn)題缺乏基本的重視。甚至有些管理者雖然在意識(shí)上認(rèn)識(shí)到了網(wǎng)絡(luò)安全隱患,在思想上仍然保持麻痹、大意和僥幸的心理,認(rèn)為網(wǎng)絡(luò)運(yùn)營(yíng)商可以充分保障自身的網(wǎng)絡(luò)安全,自己不需要太過(guò)于擔(dān)心網(wǎng)絡(luò)安全。

1.2 企業(yè)網(wǎng)絡(luò)安全制度不完善 在制度內(nèi)容上,企業(yè)雖然依據(jù)相關(guān)法律法規(guī)和企業(yè)發(fā)展的實(shí)際,在企業(yè)內(nèi)部管理制度中增加了相應(yīng)的網(wǎng)絡(luò)安全管理內(nèi)容,但這些內(nèi)容大多均過(guò)于簡(jiǎn)單、粗糙,缺乏現(xiàn)實(shí)的可行性,這就導(dǎo)致網(wǎng)絡(luò)安全管理制度缺乏真正執(zhí)行的效力。例如,企業(yè)只是明確內(nèi)部職工不得通過(guò)網(wǎng)絡(luò)系統(tǒng)搜集、傳播企業(yè)重要的信息,但制度中關(guān)于“重要信息”的判斷標(biāo)準(zhǔn)缺乏明確的說(shuō)明,導(dǎo)致一些職工在制度理解和執(zhí)行方面存在較大的靈活性,難以實(shí)現(xiàn)制度的約束性功能。在制度執(zhí)行方面,企業(yè)并沒(méi)有從組織體系上明確網(wǎng)絡(luò)安全制度執(zhí)行的責(zé)任分工,導(dǎo)致各部門(mén)、各崗位職工在網(wǎng)絡(luò)安全責(zé)任落實(shí)方面存在理解模糊、執(zhí)行不到位的問(wèn)題,并且設(shè)計(jì)到跨部門(mén)、跨崗位協(xié)作的網(wǎng)絡(luò)安全管理內(nèi)容,更是容易出現(xiàn)推諉扯皮等情況,嚴(yán)重增加了企業(yè)遭受網(wǎng)絡(luò)安全侵襲的可能性。

1.3 企業(yè)網(wǎng)絡(luò)安全技術(shù)應(yīng)用滯后 在傳統(tǒng)管理理念的影響下,企業(yè)往往表現(xiàn)出不愿意投入足夠的資金來(lái)引進(jìn)先進(jìn)的網(wǎng)絡(luò)技術(shù)設(shè)備或網(wǎng)絡(luò)安全管理人才,導(dǎo)致一些新的網(wǎng)絡(luò)安全技術(shù)手段并沒(méi)有得到充分的應(yīng)用。例如,部分企業(yè)普遍存在網(wǎng)絡(luò)安全設(shè)備配備不齊全、區(qū)域分級(jí)分域不到位、邊界缺少安全防護(hù),以及在密碼安全、系統(tǒng)漏洞、數(shù)據(jù)安全、工控安全等方面存在短板的情況,而這些均構(gòu)成了企業(yè)網(wǎng)絡(luò)安全問(wèn)題產(chǎn)生的隱患。同時(shí),雖然部分企業(yè)投入大量資金購(gòu)置了不少安全設(shè)備,但片面地認(rèn)為這些設(shè)備具有較高的自動(dòng)化運(yùn)行功能,忽視對(duì)設(shè)備的后續(xù)維護(hù)升級(jí),導(dǎo)致設(shè)備逐漸出現(xiàn)滯后性,無(wú)法對(duì)新的網(wǎng)絡(luò)安全問(wèn)題進(jìn)行識(shí)別和處理。

2 強(qiáng)化煙草企業(yè)網(wǎng)絡(luò)安全建設(shè)的策略

2.1 深化企業(yè)對(duì)內(nèi)部網(wǎng)絡(luò)安全問(wèn)題的重視 網(wǎng)絡(luò)安全是煙草企業(yè)安全中的重要內(nèi)容,也是當(dāng)前背景下威脅企業(yè)安全的重要因素。企業(yè)只有從內(nèi)部形成普遍關(guān)注網(wǎng)絡(luò)安全的良好思想氛圍,才能夠確保網(wǎng)絡(luò)的真正運(yùn)行和使用安全?？紤]到當(dāng)前發(fā)展的實(shí)際情況,煙草企業(yè)需要從兩個(gè)方面加強(qiáng)對(duì)網(wǎng)絡(luò)安全的重視度。

首先,強(qiáng)化企業(yè)管理層的網(wǎng)絡(luò)安全認(rèn)知。管理層作為企業(yè)領(lǐng)導(dǎo)管理的主體,要充分認(rèn)清企業(yè)經(jīng)營(yíng)管理面臨的嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),從思想上認(rèn)識(shí)到網(wǎng)絡(luò)安全建設(shè)的必要性和緊迫性。同時(shí),管理層要加強(qiáng)網(wǎng)絡(luò)安全問(wèn)題的集中研討,通過(guò)討論統(tǒng)一企業(yè)在網(wǎng)絡(luò)安全方面的認(rèn)知,實(shí)現(xiàn)內(nèi)部管理層在網(wǎng)絡(luò)安全認(rèn)知方面的統(tǒng)一化、規(guī)范化。

其次,企業(yè)要強(qiáng)化基層職工的網(wǎng)絡(luò)安全意識(shí)。職工,作為煙草企業(yè)運(yùn)營(yíng)的基礎(chǔ),其對(duì)待網(wǎng)絡(luò)安全的態(tài)度會(huì)直接影響到企業(yè)對(duì)網(wǎng)絡(luò)安全問(wèn)題的發(fā)現(xiàn)和處置進(jìn)度與結(jié)果。因此,企業(yè)要將提高職工網(wǎng)絡(luò)安全意識(shí),作為發(fā)展中的重要事項(xiàng)。通過(guò)組織集中培訓(xùn)學(xué)習(xí)、典型案例宣講等方式,增強(qiáng)職工對(duì)網(wǎng)絡(luò)安全問(wèn)題的清晰認(rèn)知,并引導(dǎo)職工立足本職崗位,分析、把握網(wǎng)絡(luò)安全問(wèn)題隱患,切實(shí)提升職工防范和應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題的意識(shí)。同時(shí),企業(yè)要細(xì)化網(wǎng)絡(luò)安全意識(shí)培養(yǎng)內(nèi)容,結(jié)合職工崗位工作開(kāi)展中的細(xì)節(jié)性內(nèi)容來(lái)強(qiáng)化網(wǎng)絡(luò)安全意識(shí)培養(yǎng)的實(shí)效性。例如,對(duì)于基層職工的網(wǎng)絡(luò)安全意識(shí),可以通過(guò)職工賬號(hào)密碼泄露可能出現(xiàn)的安全問(wèn)題的動(dòng)態(tài)演示,引導(dǎo)職工較為真實(shí)地感受到泄露對(duì)自身、部門(mén)和企業(yè)發(fā)展的負(fù)面影響,使職工真正感知網(wǎng)絡(luò)安全防范的必要性和現(xiàn)實(shí)性。

2.2 完善企業(yè)網(wǎng)絡(luò)安全管理制度 無(wú)規(guī)矩不成方圓。構(gòu)建完善的網(wǎng)絡(luò)安全管理制度,是企業(yè)在網(wǎng)絡(luò)化環(huán)境下不斷保證網(wǎng)絡(luò)安全的科學(xué)性措施?？紤]到煙草企業(yè)當(dāng)前網(wǎng)絡(luò)安全管理制度中存在的問(wèn)題和不足,企業(yè)要著重從內(nèi)容完善和方法規(guī)范兩個(gè)方面進(jìn)行落實(shí)。

首先,要完善網(wǎng)絡(luò)安全管理制度內(nèi)容。企業(yè)除了按照《網(wǎng)絡(luò)安全法》、等級(jí)保護(hù)2.0等網(wǎng)絡(luò)安全法律法規(guī),建立自己的網(wǎng)絡(luò)安全制度體系以外,還要結(jié)合企業(yè)內(nèi)部經(jīng)營(yíng)管理的實(shí)際情況,對(duì)經(jīng)營(yíng)管理中的各個(gè)環(huán)節(jié)、各個(gè)流程中可能出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題進(jìn)行明確,使網(wǎng)絡(luò)安全問(wèn)題得到制度性的規(guī)范說(shuō)明。同時(shí),企業(yè)要圍繞網(wǎng)絡(luò)安全管理進(jìn)行細(xì)化的責(zé)任分工,明確各部門(mén)、各崗位職工應(yīng)當(dāng)履行的網(wǎng)絡(luò)安全管理主體責(zé)任,使企業(yè)網(wǎng)絡(luò)安全管理責(zé)任在制度上得到明確的說(shuō)明和要求。

其次,要構(gòu)建以責(zé)任為主體的網(wǎng)絡(luò)安全管理制度執(zhí)行體系?？紤]到內(nèi)部經(jīng)營(yíng)管理工作的分工化、分散化的特點(diǎn),煙草企業(yè)宜采取專項(xiàng)管理的網(wǎng)絡(luò)安全管理方法,即根據(jù)網(wǎng)絡(luò)安全管理制度中明確的責(zé)任分工,成立專門(mén)的網(wǎng)絡(luò)安全問(wèn)題管理小組,由負(fù)責(zé)公司安全的副經(jīng)理?yè)?dān)任組長(zhǎng),其他各部門(mén)主管作為組員參與。在日常的網(wǎng)絡(luò)安全管理中,各部門(mén)主管在制度明確的范圍內(nèi)履行本部門(mén)的網(wǎng)絡(luò)安全管理責(zé)任,對(duì)于涉及到跨部門(mén)的網(wǎng)絡(luò)安全管理事務(wù),則由組長(zhǎng)協(xié)調(diào)、組員參與落實(shí),這樣可以保證網(wǎng)絡(luò)安全管理制度真正落實(shí)到位,避免跨部門(mén)協(xié)作造成的困難和問(wèn)題。

2.3 強(qiáng)化網(wǎng)絡(luò)安全技術(shù)的應(yīng)用 網(wǎng)絡(luò)的技術(shù)性,以及網(wǎng)絡(luò)安全問(wèn)題產(chǎn)生的技術(shù)性原因,決定了網(wǎng)絡(luò)安全問(wèn)題的防范與解決需要有技術(shù)的支撐。針對(duì)當(dāng)前煙草企業(yè)存在的網(wǎng)絡(luò)安全技術(shù)應(yīng)用程度偏低的情況,企業(yè)要從網(wǎng)絡(luò)安全管理的角度加以彌補(bǔ)和完善。

首先,企業(yè)要以等級(jí)保護(hù)2.0和《煙草行業(yè)信息安全基線管理技術(shù)規(guī)范》為抓手,持續(xù)加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防護(hù)。在日常的網(wǎng)絡(luò)運(yùn)行管理中,要圍繞防范網(wǎng)站篡改、APT攻擊、釣魚(yú)攻擊、DDoS、勒索病毒等潛在的網(wǎng)絡(luò)威脅,進(jìn)行相應(yīng)的技術(shù)性應(yīng)對(duì)策略構(gòu)建,從技術(shù)上防范安全問(wèn)題的產(chǎn)生。同時(shí),企業(yè)要在內(nèi)部推動(dòng)使用用戶名密碼、CA認(rèn)證、訪問(wèn)控制、入侵防護(hù)、終端加密等進(jìn)一步的安全防護(hù)技術(shù)措施,提供網(wǎng)絡(luò)系統(tǒng)身份認(rèn)知、訪問(wèn)控制、內(nèi)容甄別、監(jiān)控審計(jì)、備份恢復(fù)等網(wǎng)絡(luò)安全防范技術(shù)管控,切實(shí)保障網(wǎng)絡(luò)的安全運(yùn)行。

其次,要重視既有網(wǎng)絡(luò)系統(tǒng)和設(shè)備的維護(hù)。企業(yè)要招聘擅長(zhǎng)網(wǎng)絡(luò)安全管理的技術(shù)人員,負(fù)責(zé)企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)和設(shè)備的運(yùn)維和管理,便于及時(shí)發(fā)現(xiàn)和解決企業(yè)發(fā)展中面臨的網(wǎng)絡(luò)安全問(wèn)題。通過(guò)為防止基層員工因?yàn)橄到y(tǒng)賬號(hào)口令管理不嚴(yán)和系統(tǒng)權(quán)限濫用的情況,企業(yè)要通過(guò)網(wǎng)絡(luò)系統(tǒng)功能的規(guī)范和優(yōu)化,實(shí)現(xiàn)流程和權(quán)限的固化,以及在線審核、溯源追蹤等技術(shù)功能,實(shí)現(xiàn)以技術(shù)性管理替代人員管理的安全管理目標(biāo)。

結(jié)語(yǔ)

煙草企業(yè)是關(guān)系國(guó)家經(jīng)濟(jì)發(fā)展的重要經(jīng)濟(jì)主體。近年來(lái),在市場(chǎng)化的背景下,煙草企業(yè)持續(xù)加大了網(wǎng)絡(luò)資源的開(kāi)發(fā)與利用,拓展了企業(yè)營(yíng)銷的渠道。但是,伴隨而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)峻。面對(duì)企業(yè)經(jīng)營(yíng)管理中面臨的一系列網(wǎng)絡(luò)安全問(wèn)題,煙草企業(yè)要能明確當(dāng)前網(wǎng)絡(luò)安全管理存在問(wèn)題和短板,從問(wèn)題出發(fā),通過(guò)深化企業(yè)對(duì)內(nèi)部網(wǎng)絡(luò)安全問(wèn)題的重視、完善企業(yè)網(wǎng)絡(luò)安全管理制度、強(qiáng)化網(wǎng)絡(luò)安全技術(shù)的應(yīng)用等措施來(lái)提高網(wǎng)絡(luò)安全問(wèn)題管理的能力,以保障企業(yè)網(wǎng)絡(luò)的安全和持續(xù)平穩(wěn)健康發(fā)展。