罗晓龙

摘 要：近年来，烟草行业选择了用信息化带动烟草行业现代化的道路，信息化手段为烟草行业创造了越来越高的经济效益。随着烟草行业信息化建设规模日趋扩大，其信息安全管理工作也面临越来越多的挑战。文章从烟草行业信息安全管理的现状出发，对加强烟草行业信息安全管理的对策进行探讨。

关键词：烟草行业；信息安全；系统；管理

我国卷烟市场是全球最大的市场，一直以来，我国烟草行业都保持者稳定的经济效益。为了推进烟草行业信息化的建设，进一步加快烟草行业的发展步伐，国家烟草部门提出了用信息化技术推动烟草行业现代化建设的理念，并通过一些文件对烟草行业信息安全技术体系和信息安全运维体系等建设工作提出了意见与要求。然而，网络信息技术应用的日益广泛，安全问题就日益凸显，网络非法攻击行为对烟草行业信息安全造成了极大的威胁，烟草行业信息安全管理工作亟待改革。

1 烟草行业信息安全的相关论述

信息安全主要是对信息网络中的软件、硬件及系统数据等方面进行的保护，若不对其加以保护，就会造成系统数据被破坏或窃取，甚至造成系统运行或网络服务中断的问题。随着烟草行业市场竞争压力的加剧，烟草行业在烟草制造及销售方面对信息技术的应用不断增加，其信息安全程度对烟草行业的发展起着决定性的作用。在烟草行业信息化建设的网络环境下，信息安全体系对保证烟草行业的信息安全极为重要。

近年来，随着烟草行业大规模重组合并，烟草企业的网络拓扑结构日益复杂、信息集成共日益广泛，给烟草行业的信息安全带来了诸多的威胁。一方面，烟草行业信息系统在设计本身存在一些不安全因素与薄弱环节，如系统内部保密不到位、内部管理存在漏洞等，都有可能在一定条件下造成对系统数据的破坏。另一方面，一些非法分子容易利用信息安全系统自身的漏洞而肆意闯入，破坏系统的安全稳定运行；在烟草企业局域网与外部网络连接的情况下，也难免会存在病毒侵入的情况，给烟草行业信息系统带来较大隐患。

2 当前烟草行业信息安全管理现状

2.1 网络基础设施不健全

虽然近年来我国烟草行业信息化建设和网络安全建设在不断优化，但由于我国烟草行业中企业的大范围兼并与重组，使得较多烟草企业新建的网络基础设施还不够健全，信息系统设备的安全稳定性不强，尤其没有重视到系统设备的监控功能及容灾功能，导致烟草企业的网络信息系统的功能与作用不能充分发挥出来，同时给信息安全管理工作带来麻烦。

2.2 信息安全管理制度实施不到位

当前，我国烟草企业都基本建立了适合于国家颁布的烟草信息安全管理制度的企业自身的管理制度，但从其制度实施的成效来看，其效果不容乐观。有些烟草企业仅将信息安全管理制度流于形式，不重视信息安全管理工作，存储设备的管理要求也难以落实。另外，烟草行业信息系统具有较强的动态性，对其系统工作人员的要求较高，但是在较多的烟草企业中，其系统操作人员的素质却无法得到保证，企业的培训工作也较为滞后，导致信息化建设与总体的技术规范和要求不统一，在很大程度上制约了信息安全管理工作的开展，难以保护信息系统的安全。

2.3 缺乏整体防护

对烟草行业进行信息安全管理，其包含对烟草企业信息系统的全局管理，漏洞评估、入侵检查、加密设置等都需要从全局出发，进行整体性的额防护。然而，在现阶段烟草行业信息安全保障体系中，对于烟草信息系统的全盘考虑较少，预算管理不力，导致烟草信息系统缺乏整体的防护措施。烟草行业仅仅是盲目的效仿国外信息安全管理手段，不能在企业自身信息化建设的实际情况下进行整体信息安全管理。

3 加强烟草行业信息安全管理的有效对策

3.1 管理方面的对策

烟草行业的信息安全管理，首先，需要从管理层面上改革和加强，通过完善和优化信息安全管理体系和实施相应的信息安全管理措施来提高烟草信息安全管理与监督能力。为此，烟草企业应该在国家烟草颁布的烟草信息安全管理制度基础上制定科学可行的管理政策，成立专门的信息安全管理小组，并规范信息管理人员的工作行为，以保证信息系统的安全运行。另外，要实行严格的密码管理制度，对使用安全体系网络的人员进行权限分离与身份识别，全面检测信息系统使用。最后，要加强对网络信息安全专业人才的培养，加强对工作人员的培训，提升信息安全管理工作人员的安全意识与安全技术。并加强烟草行业安全文化建设，以此构建烟草行业网络信息的安全氛围。

3.2 技术方面的对策

3.2.1 构建健全的安全运维事件响应系统

安全运维事件响应系统是有效实现烟草行业安全运维工作无人化模式的重要信息技术，也是避免人为操作错误出现和提高工作效率的有效方式。现代烟草行业信息化安全建设，要在IT服务及信息系統基础设施库的实践基础上建立安全运维事件响应系统，并积极采取工作流的模式进行设计，为烟草行业构建一套图形化、可配置的业务工作管理系统，并保持系统与烟草企业的运维管理工作规章相一致，以此促进烟草企业各环节监督、追踪及审计工作的智能化，促进信息网络安全运行。

3.2.2 优化数据加密技术

在信息化建设领域，确保信息安全的重要措施是数据加密技术。烟草行业信息安全保障同样需要优化其数据加密技术。通常情况下，加密算法是数据加密技术的原理，其通过对明文加密而使其转换为不能直接读取的密文，只有通过预先设计好的相匹配的密钥才能还原明文，致使非法用户无法获取数据信息。当前，烟草行业应该积极的运用数据加密技术，如对称性加密技术与非对称加密技术、数字摘要加密技术、数字信封、数字证书等，其能承受严格的检查与验证，并能主动地抵御病毒，是烟草行业信息系统数据安全完整的保障。

3.2.3 加强入侵检测技术的利用

入侵检测技术是一种新型的网络安全技术，是通过软硬件的方法对信息系统中的数据与检测系统中的数据进行分析对比后，当系统出现被攻击迹象时，由防火墙主动调整网络访问的控制策略，以此保障系统的安全性。为此，烟草行业信息系统中应该加强入侵检测功能的设计，加强常用的黑客入侵识别手段，并实时监测和处理信息网络中的通信异常现象，对烟草行业信息系统的漏洞进行修复与处理，达到对烟草行业信息系统漏洞扫描、病毒防御及进攻识别的检测，以此确保信息安全结构的完整性。

3.2.4 加强网络安全身份认证

由于网络空间具有较强的虚拟特性，访问的用户具有极大的不确定性，因而网络安全身份认证作为一种系统确认用户身份的技术，对于确保网络安全、控制用户访问具有重要的意义。对于烟草企业而言，用户对其信息系统进行访问其达成交易的重要环节。烟草企业要有效避免非法用户的访问，为此就必须加强网络身份认证，使用户身份信息通过监控器而传递给授权数据库，以此确定访问用户的真实性与安全性。烟草企业要对授权数据库进行配置，可以通过口令方式、秘密信息的认证方式及动态口令身份认证等方式来认证用户的身份信息，进而控制用户访问系统的权限。

4 结束语

在日益复杂的网络环境下，我国烟草行业信息安全面临诸多的安全隐患。烟草行业要从管理层面及技术层面加强信息安全管理措施的实施，努力更新现代化信息技术，建立一个健全的现代化信息安全管理体系，以此促进烟草行业信息化建设水平的提升与核心竞争力的增强。

参考文献

[1]杨欣.烟草行业信息安全应对策略探讨[J].中小企业管理与科技，2013（5）.

[2]陈宇明.烟草行业信息安全管理的研究与探索[J].计算机安全，2011（9）.

[3]高萍，黄伟达.烟草企业信息安全方面的思考[J].黑龙江科技信息，2010（31）.