烟草行业信息安全风险与防控

时间:2022-07-10 04:13:59

烟草行业信息安全风险与防控

摘要:在企业信息化建设中,网络架构以及应用系统等的平稳应用,是信息化建设的核心目标。日益积累应用数据是企业信息化的重要方向之一,而信息安全风险隐患是造成应用数据丢失的重要因素之一,影响了企业信息化成果的有效性。笔者结合自身实际工作经验,在分析烟草行业信息安全风险的基础上,提出具有建设性的烟草行业信息安全防控策略。

关键词:烟草行业;信息安全;数据备份

在烟草行业运营与生产管理活动中,信息化工具发挥着较为重要的作用,已初步搭建了较为完善的网络架构与内部信息系统环境,成为烟草行业提升核心竞争力的重要基础。与此同时,信息安全问题也日益突出,已成为导致烟草行业数据丢失等的关键因素。因而,深入分析烟草行业信息安全风险与防控策略至关重要。

1烟草行业信息安全风险

烟草行业在信息化建设中,主要具有如下几个方面的信息安全问题。

1.1缺乏信息安全整体规划

整体而言,相比于西方等经济发达国家,国内信息安全技术发展相对滞后于网络技术,这必然会造成烟草行业在应用新型网络技术产品时,信息安全技术显得稍落后,难以保障烟草行业的信息安全。比如,部分烟草企业可能会选择使用PS防御系统,但是在综合权衡经济预算、信息安全实际应用需求等后,最终并没有决定使用性能最佳的信息安全产品,最终导致硬件难以满足信息安全风险防控的要求,这些均与烟草企业未制订积极有效的信息安全整体规划有较为紧密的关系。

1.2面临外部信息安全威胁攻击

在烟草企业经营管理活动中,为了便于管理员工高效工作,允许企业员工在外网通过VPN的方式访问烟草企业内部的信息系统。另外,在烟草企业内部网络应用过程中会有信息设备供应商以及其他信息系统服务商等第三方的介入,这也会导致烟草企业在网络应用中会频繁进行内外网连接,这给木马、黑客等攻击烟草企业网络架构以可乘之机。当烟草企业网络遭受攻击后,很有可能会导致烟草行业信息系统无法正常应用,致使烟草企业面临来自外部的信息安全风险。

1.3内部信息安全控制不力

信息技术在持续发展,可供烟草企业选择的信息设备以及信息系统也越来越多,大多数烟草企业已搭建起相对较为完整的基础网络架构以及应用系统服务群,包括生产销售管理平台、OA办公平台、综合服务管理平台等,这对于烟草企业正常的经营管理以及决策管理起到关键的作用,大大提升了烟草企业的办公效率。然而,烟草企业在利用信息技术获得便利的同时,也面临着来自内部信息安全控制不力的风险,包括不良网络信息冲击员工正确价值观,以及烟草企业内部员工较大的流动性给信息安全风险防控所带来的负面影响。

1.4员工信息安全意识薄弱

较强的员工信息安全意识,是提升烟草行业信息安全等级的重要渠道。在信息技术应用持续深化的情况下,传统的管理人员已难以满足信息时代下企业发展的需求。另外,当前部分烟草企业信息安全管理团队不完善,以及管理人员自身的信息安全意识较为薄弱,领导对信息安全管理工作不重视,或者员工存在侥幸心理,都会致使烟草企业产生不同程度的信息安全事故。

2烟草行业信息安全防控策略

针对当前烟草企业所面临的信息安全风险,建议从如下几个方面制定防范策略。

2.1科学高效地开展信息安全规划

科学、合理地规划烟草企业信息安全架构,是烟草企业防范信息安全风险的重要基础。首先,应根据信息安全的未来发展方向制订烟草企业的信息安全发展规划,以确保烟草企业所采取的防范措施符合整体发展方向,避免走错方向、浪费资金投入。其次,应紧密结合烟草企业的信息化建设现状与存在的问题规划信息安全发展方向。烟草企业的不同发展规划,对信息安全的管理需求有所不同,这就要求烟草企业紧密结合自身的信息安全发展需求,制定更具针对性的信息安全风险防控策略,以更高效地规避内部隐患、外部攻击。

2.2完善加密手段,构建加密渠道

在制订了科学合理的信息安全防范规划后,就应采取加密信息的手段,构建更为合理的加密渠道。比如,烟草企业在信息化建设中应要求信息技术人员研发信息加密的多样化手段,构建更为丰富的加密渠道,从而提升烟草信息平台的安全性。同时,还应加强烟草企业内部应用系统以及数据库的备份工作。再如,在实际管理中,烟草企业可以要求信息技术人员通过访问控制、数字签名、身份认证多种方式,以达到烟草企业防范信息安全风险的要求,还可以要求各个信息系统使用方妥善保管各个信息系统的登录密码,不允许使用复杂度过低的密码,应根据信息安全规范要求制定密码复杂度规则,以提升信息系统访问安全性。同时,还应定期提醒或要求用户更改密码,以达到安全管控的目的。

2.3做好企业内部数据备份与恢复工作

内部数据丢失风险,是当前烟草企业信息安全风险之一。积极做好企业内部数据备份与恢复工作,是规避数据丢失风险的重要方式之一。首先,应做好内部数据备份工作。比如,积极搭建异地数据灾备中心,选择一个相对安全的地方进行数据备份。选择性能更为强大、安全等级更高的备份系统,以更高效地执行数据备份,并且不影响其他应用系统的正常使用。其次,定期执行数据模拟恢复操作。部分烟草企业认为,只要定期完成内部数据备份工作便可确保烟草企业数据安全,忽视了备份数据的有效性。而积极开展模拟恢复操作,是确保所备份数据有效性的重要方法。因而,烟草企业应定期开展积极有效的模拟恢复操作,以确保所备份的数据是可用的,切实保护烟草企业的信息安全。

2.4重视培训提升员工信息安全意识

员工较高的信息安全意识,是烟草企业防范各种信息安全风险的重要保障。首先,应重视员工信息安全意识培训工作。烟草企业信息主管部门,在实际信息管理活动中,应定期或者不定期组织员工参与安全培训,或者通过微课的方式向员工们宣传信息安全知识。其次,应重视网络使用规范或者应用系统应用规范,以在规范员工信息行为的同时提升所有员工的信息安全意识,从而更为有效地规避信息安全风险。对于员工使用基础网络或系统过程中所存在的信息安全隐患,信息主管部门应针对这些案例进行整理,形成宣传文案,以提高所有员工的警惕性。

3结语

烟草业在信息建设中将面临着各种信息安全隐患,这要求信息建设管理人员从制订信息安全建设规划、完善加密手段、做好内部数据备份工作以及提升员工安全意识等方面入手,切实提升信息安全等级,保护信息建设成果。

作者:毛纪辉 单位:辽宁省烟草公司丹东市公司

参考文献

[1]刘轲.论烟草行业信息安全风险及防控[J].重庆与世界:学术版,2014(11):97-100.

[2]彭志勇.烟草行业信息安全风险及其防控策略探究[J].技术与市场,2016(12):217.

[3]谢宜俊.浅析烟草行业信息安全风险防控[J].科技视界,2016(19):271,281.