淺談煙草行業(yè)信息安全風(fēng)險(xiǎn)控制策略

張 睿

在現(xiàn)代信息社會(huì)中各行各業(yè)都依賴于互聯(lián)網(wǎng)技術(shù)搭建內(nèi)部信息管理系統(tǒng)和對外交易體系，我國煙草行業(yè)從管理層到基層職工都已配備完善的聯(lián)網(wǎng)辦公設(shè)備和數(shù)據(jù)庫，極大地提高了日常工作效率，但因技術(shù)與人力資源配置等因素限制，大部分煙草業(yè)公司的信息交流和數(shù)據(jù)存儲(chǔ)體系都隱藏著安全漏洞，容易遭到不法分子網(wǎng)絡(luò)攻擊，以此必須盡快提高煙草業(yè)信息管理水平，確保這一關(guān)乎國計(jì)民生的支柱型企業(yè)穩(wěn)定運(yùn)轉(zhuǎn)。

1 煙草業(yè)信息安全風(fēng)險(xiǎn)的基本概念和重要性

信息安全風(fēng)險(xiǎn)控制的具體含義是對企業(yè)內(nèi)部信息管理系統(tǒng)的軟硬件設(shè)備以及數(shù)據(jù)庫實(shí)施嚴(yán)密管理，減輕企業(yè)交易信息的泄露風(fēng)險(xiǎn)，及時(shí)修補(bǔ)系統(tǒng)中的容易遭受攻擊或可能被黑客利用的安全漏洞，使企業(yè)能夠穩(wěn)定運(yùn)轉(zhuǎn)，不受不確定的信息風(fēng)險(xiǎn)影響。信息安全風(fēng)險(xiǎn)控制是一門隨著互聯(lián)網(wǎng)技術(shù)在各行各業(yè)逐步普及而興起的新興學(xué)科，要想保證煙草行業(yè)安全運(yùn)營，就必須重視信息安全風(fēng)險(xiǎn)管控，加大對相關(guān)領(lǐng)域建設(shè)的支持，構(gòu)建一套完善可靠的網(wǎng)絡(luò)監(jiān)管體系，隨著全球化經(jīng)濟(jì)體系的逐步擴(kuò)張，怎樣在網(wǎng)路信息自由高速傳播的新時(shí)代保護(hù)煙草行業(yè)的信息安全，是企業(yè)管理者必須盡快解決的關(guān)鍵問題。

網(wǎng)絡(luò)世界沒有明確邊界，網(wǎng)絡(luò)環(huán)境中龍蛇混雜，對外開放的信息渠道使煙草行業(yè)等國家命脈產(chǎn)業(yè)容易遭受外國網(wǎng)絡(luò)犯罪團(tuán)伙的攻擊和刺探，一旦泄露重要交易信息和詳細(xì)業(yè)務(wù)數(shù)據(jù)，就會(huì)為國家?guī)韲?yán)重的經(jīng)濟(jì)損失，而且這種不對稱的網(wǎng)絡(luò)犯罪具備準(zhǔn)入門檻較低、付出成本少而受益大，按司法程序跨國追責(zé)較為困難等特點(diǎn)，難以完全從社會(huì)層面杜絕，我國煙草企業(yè)只能被動(dòng)強(qiáng)化自身的信息管控能力，避免因遭受不法侵害導(dǎo)致國有資產(chǎn)流失。

2 煙草業(yè)信息安全風(fēng)險(xiǎn)管控體系的主要問題

2.1 企業(yè)未能從物理設(shè)備層面加強(qiáng)信息安全防控，缺少可靠的信息管控手段

現(xiàn)階段企業(yè)信息安全管理屬于企業(yè)自負(fù)的基本責(zé)任之一，不受外部干涉，完全屬于內(nèi)部解決問題，然而我國煙草業(yè)從業(yè)者普遍習(xí)慣于使用外國進(jìn)口設(shè)備，例如Windows操作系統(tǒng)和英特爾處理器[1]，在使用進(jìn)口設(shè)備時(shí)沒有采用任何可靠的安全防護(hù)手段加密業(yè)務(wù)信息，如果外國設(shè)備供應(yīng)商留下系統(tǒng)后門，則我國煙草行業(yè)將完全喪失信息安全。而且目前煙草業(yè)的部分企業(yè)未能及時(shí)對安全防護(hù)系統(tǒng)進(jìn)行更新?lián)Q代，依舊在使用落后于科技發(fā)展潮流的老舊設(shè)備，這些傳統(tǒng)設(shè)備已經(jīng)沒有相應(yīng)的安全升級和漏洞修復(fù)支持，入侵難度較低，難以被納入信息安全防控體系之中。

2.2 行業(yè)內(nèi)部缺乏憂患意識，沒有建立完善的工作人員監(jiān)管體系

煙草行業(yè)的大多數(shù)高層管理人員尚未意識到企業(yè)信息系統(tǒng)的漏洞，對信息安全風(fēng)險(xiǎn)管控機(jī)制的現(xiàn)實(shí)意義沒有明確認(rèn)識，沒有將信息安全管控納入內(nèi)控管理制度之中，造成大多數(shù)員工思想松懈、行為不端，未能積極捍衛(wèi)我國煙草業(yè)的信息安全[2]，部分員工甚至主動(dòng)泄露工作涉及機(jī)密信息，并以此為傲。煙草企業(yè)管理層放縱基層員工在工作中私自使用單位設(shè)備聯(lián)網(wǎng)和接入其他信息終端等違規(guī)行為，未能嚴(yán)厲打擊這些極易招致網(wǎng)絡(luò)攻擊的錯(cuò)誤行為。

3 現(xiàn)階段可行的信息安全風(fēng)險(xiǎn)管控手段研究

3.1 企業(yè)全部使用國產(chǎn)信息設(shè)備，采用多樣化的信息安全防控手段

要想提高煙草企業(yè)的信息安全，有效控制內(nèi)部信息泄露的風(fēng)險(xiǎn)，首先必須確保硬件、軟件設(shè)備安全，我國煙草企業(yè)除涉外業(yè)務(wù)較多的企業(yè)外均應(yīng)使用全國產(chǎn)信息處理設(shè)備，例如“鴻蒙系統(tǒng)”“龍芯處理器”“中標(biāo)麒麟Linux”等國產(chǎn)操作系統(tǒng)和硬件設(shè)備，這些技術(shù)設(shè)備的生產(chǎn)商政治上可靠，技術(shù)上已經(jīng)接近國際先進(jìn)水平，全部采用國產(chǎn)設(shè)備完全不會(huì)影響正常的日常辦公活動(dòng)，僅需流出一段時(shí)間讓員工逐步適應(yīng)。企業(yè)必須在要害部門使用本國生產(chǎn)的沒有外國企業(yè)代工的信息設(shè)備，確保具體操作信息的安全，打破外國科技設(shè)備的行業(yè)壟斷，為煙草行業(yè)營造一個(gè)安全穩(wěn)定的運(yùn)營環(huán)境[3]。

企業(yè)還應(yīng)定期停機(jī)檢測設(shè)備的安全性，通過技術(shù)設(shè)備掃描探明網(wǎng)絡(luò)系統(tǒng)中的漏洞，修改不正確的網(wǎng)絡(luò)協(xié)議，堵住黑客入侵能夠利用的漏洞，排除設(shè)備中的移植木馬和隱藏后門。在信息設(shè)備中使用準(zhǔn)入白名單機(jī)制限制外網(wǎng)不明來源用戶的訪問，從信息渠道層面隔絕交流，達(dá)到絕對安全的實(shí)際效果，不給外國黑客集團(tuán)實(shí)施攻擊的機(jī)會(huì)。

企業(yè)還可建立的安全風(fēng)險(xiǎn)管控隊(duì)伍的人才儲(chǔ)備庫，有條件的企業(yè)還可建立獨(dú)立的信息安全防控小組，該小組負(fù)責(zé)研發(fā)并構(gòu)建獨(dú)立與其他行業(yè)和公司的企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，對企業(yè)所購進(jìn)的網(wǎng)絡(luò)設(shè)備進(jìn)行全方位的掃描測評，保證軟、硬件安全，信息安全防控小組還可采用新型加密算法對重要的文件和交易信息進(jìn)行加密處理，避免內(nèi)部信息被截流查看，也可預(yù)防工作人員私自復(fù)制文件，定期組織企業(yè)內(nèi)部安全防控演練，培育各級工作人員的安全防衛(wèi)意識，提高企業(yè)的信息安全性，將安全風(fēng)險(xiǎn)控制到最小程度。

3.2 煙草行業(yè)監(jiān)管部門和企業(yè)高層強(qiáng)化信息安全風(fēng)險(xiǎn)管控

企業(yè)管理人員和行業(yè)監(jiān)管機(jī)構(gòu)必須著力于行業(yè)信息安全管控體系的建設(shè)，設(shè)立專業(yè)的信息管理機(jī)構(gòu)，對其日常工作進(jìn)行大力支持，為升級新型安全系統(tǒng)投入足夠的資金，為信息管理隊(duì)伍的建設(shè)調(diào)配足夠的人才，將企業(yè)管理重點(diǎn)從提升經(jīng)濟(jì)利潤轉(zhuǎn)向確保企業(yè)信息安全之上，在企業(yè)內(nèi)部為各級管理人員開辦信息安全知識講座，從上到下逐級傳遞信息安全防護(hù)知識與領(lǐng)導(dǎo)指示，由部門管理者帶動(dòng)部門基層工作者，改變原有惡習(xí)，杜絕各類有可能危害企業(yè)信息安全的違規(guī)行為，例如不再將未殺毒的移動(dòng)硬盤連接在單位電腦上，不再將工作文件上傳至微信和QQ群組中，不再與親人朋友討論行業(yè)的機(jī)密和具體數(shù)據(jù)等。

企業(yè)的信息安全需要所有員工的積極配合才能保證，只有工作人員的密切配合，才能顯著降低企業(yè)信息安全風(fēng)險(xiǎn)，從最大程度上減少信息外泄的可能。管理人員可設(shè)計(jì)嚴(yán)密的行為獎(jiǎng)懲制度，將職業(yè)信息安全防護(hù)與員工的升職加薪掛鉤，驅(qū)動(dòng)員工盡快改變?nèi)粘Ｐ袨榕e止，由專職監(jiān)管小組定期抽查檢測各部門員工的信息安全防范意識高低和行為活動(dòng)，通過為表現(xiàn)良好的員工提供獎(jiǎng)勵(lì)形成群體示范效應(yīng)，對屢教不改的違紀(jì)者進(jìn)行嚴(yán)肅處理，絕不姑息縱容。管理者還應(yīng)減少行業(yè)交易信息流通涉及的環(huán)節(jié)，明確劃分各單位各部門的信息管理權(quán)限，建立信息訪問分級制度，只有具備特殊任務(wù)的職工或一定級別的領(lǐng)導(dǎo)者才能訪問企業(yè)的機(jī)密數(shù)據(jù)庫，通過這種手段能夠?qū)⑵髽I(yè)內(nèi)部員工泄密的風(fēng)險(xiǎn)降到最低。

4 結(jié)論

企業(yè)信息風(fēng)險(xiǎn)防控工作是一項(xiàng)較為復(fù)雜的涉及不同領(lǐng)域知識與技術(shù)的工作，為了保證煙草行業(yè)的信息安全，管理人員必須樹立安全防控意識，鼓勵(lì)基層員工參與到信息安全防控工作中來，建立專業(yè)的安全技術(shù)防控小組，采用可靠的信息防護(hù)設(shè)備，自行研發(fā)構(gòu)建獨(dú)立的信息交換系統(tǒng)，有效防范網(wǎng)絡(luò)非法入侵，減少信息泄露風(fēng)險(xiǎn)，為煙草行業(yè)的健康發(fā)展保駕護(hù)航。