朱益旻

【摘要】我国烟草行业在信息化不断普及和发展的过程中，遭遇网络信息安全的种种问题，本文主要对这些问题进行分析，并提出针对性策略，以期更好地建设烟草行业信息现代化道路。

【关键词】烟草行业 网络信息安全 问题及对策

【中图分类号】TN915.08 【文献标识码】A 【文章编号】1672-5158（2013）04-0339-01

现代信息技术的快速发展，使得计算机网络广泛应用于各行各业，对于促进信息交流共享、提高行业经济效益有着重要的意义。目前，我国烟草行业正处于信息化不断普及和发展的进程中，然而却遭遇网络信息安全的种种问题，包括黑客入侵、蠕虫病毒、非授权访问、内部攻击等威胁和干扰等等，给我国烟草行业带来了很大的行业风险，因此，提高网络信息的安全保障能力，确保烟草行业网络信息系统的可靠、稳定的运行，对于烟草行业可持续发展有着至关重要的意义。

1.烟草行业中网络信息安全存在的问题分析

我国烟草行业计算机网络（行业内联网）是由国家烟草专卖局、各省级局、各地市级局、各县级局，以及各烟草工业企业局域网（园区网）互连组成的广域计算机网络，有着规模大、层次多、系统分散、应用复杂、网络环境开放等特点，该网络提供的信息与烟草行业生产经营管理活动关系密切，因此，烟草行业将网络信息安全当做首要任务来抓，采取了部署网络防病毒体系、出口位置部署防火墙等措施来维护网络安全，并且烟草行业信息化系统的建设应用日趋规模化，但也应看到其中仍存在不少问题，给全网的安全体系造成严重威胁。

一是信息安全人才的缺乏，一些烟草公司尤其是县级基层烟草公司严重匮乏具备一定信息安全理论和技术能力的网络安全负责人员。二是烟草行业安全总体意识比较薄弱，并且没有制定较健全的安全管理制度，普遍存在“重技术、轻管理”的现象，即虽然行业信息网络从技术层面上先后采取了一系列安全技术设施，但安全管理层面薄弱，尤其是安全管理制度未发挥其充分的作用，缺乏制定针对性、实践性的制度以及对其及时地更新修正。例如，部分烟草单位不按照管理制度，私自将Internet直接与内部网络连接，很可能导致黑客从某一Internet接口处侵入行业内联网，进行数据窃取或攻击网络，可能将给行业带来了巨大的损失。三是联网内鉴别与访问控制措施力度有待加强。烟草行业内联网采用的是TCP/IP协议，但由于互联单位多、开放性高，再加上一些公司未统一对用户进行管理，因此隐藏着地址欺骗、连接盗用等潜在的安全威胁。四是缺少严密的网络安全监控措施，尤其是主动监控措施。目前许多烟草公司对网络安全的监控是被动的防御，在预警和报警两方面做得不到位，也给给网络信息安全带来隐患。此外，缺乏数据备份措施和灾难恢复机制、信息安全设备和技术落后、网络安全意识淡薄等等也是现阶段烟草行业中网络信息安全存在问题的表现。

2.烟草行业中网络信息安全问题的应对策略

2.1 构建烟草行业计算机网络信息系统安全体系

构建烟草行业计算机网络信息系统安全体系是解决行业网络信息安全问题的关键环节，它是一项极其复杂的系统工程，并且涉及到烟草总公司和各个子公司，包括建设目标、原则、安全结构和安全产品的部署、联网内鉴别与访问控制、网络安全监控等内容。在此过程中，烟草行业要从系统工程的观点，对计算机网络信息系统安全体系作全面、综合的考虑，在符合国家法律法规以及相关计算机信息安全管理部门的、有关规定的基础上，本着实用、经济、完整的行业信息化建设的基本原则，制定出切实可行的系统安全体系，以确保网络和系统实体的安全性，信息的安全性、保密性和可靠性，整体系统运行状态的可控性，安全系统的可管理性，做到总体规划、分步实施。

例如，在体系中，通信系统安全结构属于安全体系设计和安全产品部署工作范围，包括通信系统物理安全、通信系统加密及其部署两个方面，前者主要在机房环境、机房建设等基础设施采取一些保护措施，使其具备一定的抵御自然灾害能力，而后者主要是对数据链路层以及网络层通信进行加密处理，并进行存储和备份介质的管理，以防止关键数据泄露等安全事故的发生。又如，在系统中网络系统安全结构设计中，包括安全路由器、防火墙、入侵检测系统网络、安全审计系统等的选择和部署，来进一步维护行业网络信息的安全。

2.2 建立并完善行业网络安全管理制度

烟草行业的网络信息安全工作“三分靠技术、七分靠管理”，因此，建立并完善烟草行业网络安全管理制度至关重要。

首先，总公司、省公司和工业企业都要建立一系列安全组织机构，一般以小组为单位，如有的烟草企业就将网络安全机构分为安全管理中心（小组）和技术保障中心（小组），前者负责网络安全管理制度的制定、运行管理和事件处理等等，而后者主要是由技术人员构成，以技术交流、技术咨询工作为主。其次，安全机构的每一个成员都要积极落实责任管理，做到“责任到人”，即制度中明确管理人员应该做的和不能做的，并严格落实网络信息安全事件责任，对因人员失职问题造成的网络安全事故，应该通过一定的手段进行处罚，这是管理制度保障实施的关键。此外，行业网络安全管理制度还包括人事事管理制度、联网登记制度、安全事故审计处理和汇报等，总之要确保各项网络操作都应有章可循。

2.3 营造网络安全文化，重视人才培养

一方面，烟草行业要强化各个企业员工互联网安全意识，将信息安全培训纳入员工岗位培训体系，通过定期培训、组织学习、企业间交流活动等等，强化关于信息安全技术、信息安全保密知识、安全联网等的学习，提高对来路不明的软件、邮件和网页的警惕性，在行业上下心中筑起信息安全的“防火墙”。另外，烟草企业还可以利用宣传栏、条幅、标语等，加大网络信息安全重要性的宣传，并由此形成浓厚的网络安全的企业文化。

另一方面，烟草行业要重视行业专业技术人才队伍的建设，为行业网络信息安全提供坚强的人才保证和智力支持，这也在走烟草行业网络信息化建设道路中，解决种种新困难的必要措施。现代信息更新速度快，行业应当加强信息中心网络安全人员培训，不断掌握网络信息安全管理的新理论和新技术，了解网络安全变化的新趋势，才能为烟草行业的网络信息安全保驾护航。

3.结束语

综上所述，烟草行业的网络信息安全管理是一项复杂的系统工程，保障信息安全可以说是任重而道远，针对我国烟草行业在信息化不断普及和发展的过程中，存在的信息安全人才缺乏等问题，提出构建烟草行业计算机网络信息系统安全体系、建立并完善行业网络安全管理制度以及营造网络安全文化、重视人才培养等策略，以期为烟草行业网络信息安全保驾护航，更好地走信息现代化道路。