辛志斌

山西省煙草專賣局(公司) 山西 太原 030021

隨著網(wǎng)絡在煙草領域的應用和發(fā)展,煙草企業(yè)逐漸將網(wǎng)絡引入到了企業(yè)內(nèi)部的管理、生產(chǎn)及辦公等環(huán)節(jié),逐步促進了煙葉生產(chǎn)收購、卷煙加工、卷煙營銷、專賣稽查等活動,以及企業(yè)日常的人力、財力等要素管理的效果。例如,網(wǎng)絡在煙草營銷管理中的應用,實現(xiàn)了產(chǎn)品庫存的自動化清點和產(chǎn)品信息的一鍵式調閱;在卷煙產(chǎn)品銷售環(huán)節(jié)中的應用,實現(xiàn)了客戶通過手機APP的遠程網(wǎng)絡下單。當然,網(wǎng)絡在給煙草企業(yè)優(yōu)化管理、提高營銷效果等方面帶來便利的同時,也增加了企業(yè)面臨的網(wǎng)絡安全風險,使企業(yè)在信息安全方面面臨較大的難題?；诰W(wǎng)絡在煙草企業(yè)中的不斷深化應用,以及網(wǎng)絡自身的安全性隱患,有必要從技術、管理等方面尋求應對煙草企業(yè)網(wǎng)絡安全的科學策略,促進網(wǎng)絡安全問題的有效解決。

1 煙草企業(yè)網(wǎng)絡安全建設中存在的問題

1.1 企業(yè)網(wǎng)絡安全問題重視度不高 在行業(yè)快速發(fā)展的背景下,部分煙草企業(yè)經(jīng)營管理主體將關注的重點多放在營銷方面,內(nèi)部管理人員對網(wǎng)絡的關注也主要放在拓展客戶源、優(yōu)化供應鏈條等與業(yè)務關系密切的方面,對存儲于網(wǎng)絡信息系統(tǒng)中的信息的安全性問題缺乏基本的重視。甚至有些管理者雖然在意識上認識到了網(wǎng)絡安全隱患,在思想上仍然保持麻痹、大意和僥幸的心理,認為網(wǎng)絡運營商可以充分保障自身的網(wǎng)絡安全,自己不需要太過于擔心網(wǎng)絡安全。

1.2 企業(yè)網(wǎng)絡安全制度不完善 在制度內(nèi)容上,企業(yè)雖然依據(jù)相關法律法規(guī)和企業(yè)發(fā)展的實際,在企業(yè)內(nèi)部管理制度中增加了相應的網(wǎng)絡安全管理內(nèi)容,但這些內(nèi)容大多均過于簡單、粗糙,缺乏現(xiàn)實的可行性,這就導致網(wǎng)絡安全管理制度缺乏真正執(zhí)行的效力。例如,企業(yè)只是明確內(nèi)部職工不得通過網(wǎng)絡系統(tǒng)搜集、傳播企業(yè)重要的信息,但制度中關于“重要信息”的判斷標準缺乏明確的說明,導致一些職工在制度理解和執(zhí)行方面存在較大的靈活性,難以實現(xiàn)制度的約束性功能。在制度執(zhí)行方面,企業(yè)并沒有從組織體系上明確網(wǎng)絡安全制度執(zhí)行的責任分工,導致各部門、各崗位職工在網(wǎng)絡安全責任落實方面存在理解模糊、執(zhí)行不到位的問題,并且設計到跨部門、跨崗位協(xié)作的網(wǎng)絡安全管理內(nèi)容,更是容易出現(xiàn)推諉扯皮等情況,嚴重增加了企業(yè)遭受網(wǎng)絡安全侵襲的可能性。

1.3 企業(yè)網(wǎng)絡安全技術應用滯后 在傳統(tǒng)管理理念的影響下,企業(yè)往往表現(xiàn)出不愿意投入足夠的資金來引進先進的網(wǎng)絡技術設備或網(wǎng)絡安全管理人才,導致一些新的網(wǎng)絡安全技術手段并沒有得到充分的應用。例如,部分企業(yè)普遍存在網(wǎng)絡安全設備配備不齊全、區(qū)域分級分域不到位、邊界缺少安全防護,以及在密碼安全、系統(tǒng)漏洞、數(shù)據(jù)安全、工控安全等方面存在短板的情況,而這些均構成了企業(yè)網(wǎng)絡安全問題產(chǎn)生的隱患。同時,雖然部分企業(yè)投入大量資金購置了不少安全設備,但片面地認為這些設備具有較高的自動化運行功能,忽視對設備的后續(xù)維護升級,導致設備逐漸出現(xiàn)滯后性,無法對新的網(wǎng)絡安全問題進行識別和處理。

2 強化煙草企業(yè)網(wǎng)絡安全建設的策略

2.1 深化企業(yè)對內(nèi)部網(wǎng)絡安全問題的重視 網(wǎng)絡安全是煙草企業(yè)安全中的重要內(nèi)容,也是當前背景下威脅企業(yè)安全的重要因素。企業(yè)只有從內(nèi)部形成普遍關注網(wǎng)絡安全的良好思想氛圍,才能夠確保網(wǎng)絡的真正運行和使用安全?？紤]到當前發(fā)展的實際情況,煙草企業(yè)需要從兩個方面加強對網(wǎng)絡安全的重視度。

首先,強化企業(yè)管理層的網(wǎng)絡安全認知。管理層作為企業(yè)領導管理的主體,要充分認清企業(yè)經(jīng)營管理面臨的嚴峻的網(wǎng)絡安全形勢,從思想上認識到網(wǎng)絡安全建設的必要性和緊迫性。同時,管理層要加強網(wǎng)絡安全問題的集中研討,通過討論統(tǒng)一企業(yè)在網(wǎng)絡安全方面的認知,實現(xiàn)內(nèi)部管理層在網(wǎng)絡安全認知方面的統(tǒng)一化、規(guī)范化。

其次,企業(yè)要強化基層職工的網(wǎng)絡安全意識。職工,作為煙草企業(yè)運營的基礎,其對待網(wǎng)絡安全的態(tài)度會直接影響到企業(yè)對網(wǎng)絡安全問題的發(fā)現(xiàn)和處置進度與結果。因此,企業(yè)要將提高職工網(wǎng)絡安全意識,作為發(fā)展中的重要事項。通過組織集中培訓學習、典型案例宣講等方式,增強職工對網(wǎng)絡安全問題的清晰認知,并引導職工立足本職崗位,分析、把握網(wǎng)絡安全問題隱患,切實提升職工防范和應對網(wǎng)絡安全問題的意識。同時,企業(yè)要細化網(wǎng)絡安全意識培養(yǎng)內(nèi)容,結合職工崗位工作開展中的細節(jié)性內(nèi)容來強化網(wǎng)絡安全意識培養(yǎng)的實效性。例如,對于基層職工的網(wǎng)絡安全意識,可以通過職工賬號密碼泄露可能出現(xiàn)的安全問題的動態(tài)演示,引導職工較為真實地感受到泄露對自身、部門和企業(yè)發(fā)展的負面影響,使職工真正感知網(wǎng)絡安全防范的必要性和現(xiàn)實性。

2.2 完善企業(yè)網(wǎng)絡安全管理制度 無規(guī)矩不成方圓。構建完善的網(wǎng)絡安全管理制度,是企業(yè)在網(wǎng)絡化環(huán)境下不斷保證網(wǎng)絡安全的科學性措施?？紤]到煙草企業(yè)當前網(wǎng)絡安全管理制度中存在的問題和不足,企業(yè)要著重從內(nèi)容完善和方法規(guī)范兩個方面進行落實。

首先,要完善網(wǎng)絡安全管理制度內(nèi)容。企業(yè)除了按照《網(wǎng)絡安全法》、等級保護2.0等網(wǎng)絡安全法律法規(guī),建立自己的網(wǎng)絡安全制度體系以外,還要結合企業(yè)內(nèi)部經(jīng)營管理的實際情況,對經(jīng)營管理中的各個環(huán)節(jié)、各個流程中可能出現(xiàn)的網(wǎng)絡安全問題進行明確,使網(wǎng)絡安全問題得到制度性的規(guī)范說明。同時,企業(yè)要圍繞網(wǎng)絡安全管理進行細化的責任分工,明確各部門、各崗位職工應當履行的網(wǎng)絡安全管理主體責任,使企業(yè)網(wǎng)絡安全管理責任在制度上得到明確的說明和要求。

其次,要構建以責任為主體的網(wǎng)絡安全管理制度執(zhí)行體系。考慮到內(nèi)部經(jīng)營管理工作的分工化、分散化的特點,煙草企業(yè)宜采取專項管理的網(wǎng)絡安全管理方法,即根據(jù)網(wǎng)絡安全管理制度中明確的責任分工,成立專門的網(wǎng)絡安全問題管理小組,由負責公司安全的副經(jīng)理擔任組長,其他各部門主管作為組員參與。在日常的網(wǎng)絡安全管理中,各部門主管在制度明確的范圍內(nèi)履行本部門的網(wǎng)絡安全管理責任,對于涉及到跨部門的網(wǎng)絡安全管理事務,則由組長協(xié)調、組員參與落實,這樣可以保證網(wǎng)絡安全管理制度真正落實到位,避免跨部門協(xié)作造成的困難和問題。

2.3 強化網(wǎng)絡安全技術的應用 網(wǎng)絡的技術性,以及網(wǎng)絡安全問題產(chǎn)生的技術性原因,決定了網(wǎng)絡安全問題的防范與解決需要有技術的支撐。針對當前煙草企業(yè)存在的網(wǎng)絡安全技術應用程度偏低的情況,企業(yè)要從網(wǎng)絡安全管理的角度加以彌補和完善。

首先,企業(yè)要以等級保護2.0和《煙草行業(yè)信息安全基線管理技術規(guī)范》為抓手,持續(xù)加強網(wǎng)絡安全技術防護。在日常的網(wǎng)絡運行管理中,要圍繞防范網(wǎng)站篡改、APT攻擊、釣魚攻擊、DDoS、勒索病毒等潛在的網(wǎng)絡威脅,進行相應的技術性應對策略構建,從技術上防范安全問題的產(chǎn)生。同時,企業(yè)要在內(nèi)部推動使用用戶名密碼、CA認證、訪問控制、入侵防護、終端加密等進一步的安全防護技術措施,提供網(wǎng)絡系統(tǒng)身份認知、訪問控制、內(nèi)容甄別、監(jiān)控審計、備份恢復等網(wǎng)絡安全防范技術管控,切實保障網(wǎng)絡的安全運行。

其次,要重視既有網(wǎng)絡系統(tǒng)和設備的維護。企業(yè)要招聘擅長網(wǎng)絡安全管理的技術人員,負責企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)和設備的運維和管理,便于及時發(fā)現(xiàn)和解決企業(yè)發(fā)展中面臨的網(wǎng)絡安全問題。通過為防止基層員工因為系統(tǒng)賬號口令管理不嚴和系統(tǒng)權限濫用的情況,企業(yè)要通過網(wǎng)絡系統(tǒng)功能的規(guī)范和優(yōu)化,實現(xiàn)流程和權限的固化,以及在線審核、溯源追蹤等技術功能,實現(xiàn)以技術性管理替代人員管理的安全管理目標。

結語

煙草企業(yè)是關系國家經(jīng)濟發(fā)展的重要經(jīng)濟主體。近年來,在市場化的背景下,煙草企業(yè)持續(xù)加大了網(wǎng)絡資源的開發(fā)與利用,拓展了企業(yè)營銷的渠道。但是,伴隨而來的網(wǎng)絡安全問題也日益嚴峻。面對企業(yè)經(jīng)營管理中面臨的一系列網(wǎng)絡安全問題,煙草企業(yè)要能明確當前網(wǎng)絡安全管理存在問題和短板,從問題出發(fā),通過深化企業(yè)對內(nèi)部網(wǎng)絡安全問題的重視、完善企業(yè)網(wǎng)絡安全管理制度、強化網(wǎng)絡安全技術的應用等措施來提高網(wǎng)絡安全問題管理的能力,以保障企業(yè)網(wǎng)絡的安全和持續(xù)平穩(wěn)健康發(fā)展。