烟草行业信息安全风险分析与控制

1信息安全风险的特征

信息安全风险主要具有以下几地特征。第一，动态性与可变性。信息安全风险在其生命周期内是动态进行着变化的，所以其具有动态性与可变性。第二，多样性与多层次。信息安全风险既有管理方面的，也有技术和环境方面的，因而具有多样性；同时，网络层、物理层、链路层、应用层等都是信息安全风险作用的层面，所以又具有多层次特点。第三，可预测性。信息安全风险可以通过各种定量、定性分析方法来进行预测和判断。第四，客观性与不确定性。信息安全风险客观存在于信息系统生命周期的各个阶段和各个层级中，且会随着各种不确定因素的变化而变化。

2烟草行业存在的信息安全风险

2.1内部安全存在隐患

随着信息技术应用的日益普遍和成熟，各烟草企业已建立起属于自己的内部局域网，并开发出各种所需信息系统，包括信息管理系统、生产销售系统、办公系统、综合服务系统、决策系统等。这些系统共同支撑起企业经营决策管理，大大提高了企业办公的效率。然而，信息系统在给企业带来巨大便利的同时，也给企业信息安全带来了更多、更大的风险，如不良信息对员工思想的冲击，员工结构频繁的变化流动等，都给企业的内部安全控制造成了很大隐患。

2.2易受外部干扰和攻击

通常，烟草企业为方便基层员工，要求基层部门通过VPN来访问企业内部信息系统，同时企业内部网络经常会有存储设备和电脑供应商的介入。企业内部网络与外部网络的频繁连接，为外部网络中病毒、木马、黑客等对企业内部网络的干扰、攻击与破坏创造了便利的通道。一旦企业内部网络遭受外部干扰和攻击，将很可能导致企业信息系统遭受不良影响而中断，甚至造成整个网络系统瘫痪和计算机的崩溃，给企业造成巨大的经济损失。

3烟草行业信息安全风险的控制策略

3.1加强数据备份与恢复，提高数据安全

数据安全是信息系统最为核心的一个部分，它具有两种含义。其一，数据本身的安全，指通过数据完整性、数据加密等现代使用较为广泛的加密算法对数据进行主动保护，提高数据本身的安全性。其二，数据防护的安全，指以现代数据存储为主要工具对数据进行安全防护，如数据备份、数据恢复、磁盘阵列等。对于烟草行业而言，宜采用统一的数据备份系统和性能良好的数据备份软件，以提高数据的备份和恢复功能，并按照备份策略对所有需要备份的数据进行增量和完全备份，以提高数据的安全性。此外，应指派专业人员对数据备份情况进行定期检查，以确保数据备份进行的及时准确、可靠完整。同时对数据进行定期恢复测试，对其可用性进行检验，根据数据可用性情况和备份、恢复情况对数据备份策略和恢复策略进行及时恰当的调整，保障数据备份策略与恢复策略可以满足数据备份与恢复需要。

3.2提高信息系统的物理安全

在信息系统当中，物理安全指的是系统运行时所需的各种硬件设备及硬件环境的安全，这些硬件设备主要有机房及机房中的各种计算机、设备、数据存储所需的各种介质等。信息系统具备良好的物理安全是企业内部控制安全中的一项重要内容，是网络与计算机设备硬件自身安全及信息系统各种硬件安全稳定运行的可靠保障。提高烟草企业信息系统的物理安全，需要企业对系统硬件运行状态进行定期检查，及时排除硬件故障，为硬件运行提供安全可靠的外界环境。

3.3提高系统运维安全

为确保信息系统可以长期安全稳定运行，需要对信息系统进行定期维护，需要对系统内各相关软件进行升级。在这一环节当中，信息部门作为信息系统运行与维护的主要承担者和主要责任者，应对其职责范围内的信息安全有所了解，并以此为基础做好系统运维记录，做好系统资料与各种软件程序的防护工作，建立完整详细的软硬件资源库。在强化运维人员对信息安全重要性认识的同时，对信息系统中可能存在的安全风险进行定期检查与排除，及时获得相应的漏洞补丁，及时修复信息系统出现的各种安全问题。

4结语

通过上文分析可知，若想要烟草企业信息系统处于相对安全的运行状态下，就需要采取各种有效的对策来对信息系统中存在的各种安全风险进行有效控制，确保全方位提高信息系统的安全性。只有信息安全风险得到了有效控制，只有信息系统的安全性得到了切实提高，烟草行业才会快速稳定、可持续发展下去，才会为我国经济发展贡献一份力量。

作者:朱益旻 单位:安徽省烟草公司池州市公司