谢宜俊

[摘要]当前。世界各国纷纷加快推进信息技术研发和应用，综合信息网络向宽带、融合、泛在方向演进，信息技术、产品、内容、网络和平台等加速融合，新一代信息及时快速发展。正在引领新一轮技术革命和产业变革，全球正处在重塑发展理念、重构竞争优势的关键节点上。随着企业信息化建设的发展和完善，各种信息系统的应用使大量的企业经营信息和组织的运作控制流程高度集中于企业信息系统之中。信息系统安全问题日益引起人们的关注。本文分析了信息化时代背景下，企业信息安全的基本概念、企业信息安全的基本特征以及在信息安全方面所存在的风险，并提出了控制烟草行业信息安全的几点策略，旨在提升信息系统安全性和可靠性。

[关键词]烟草行业：风险分析：控制策略：信息安全

当前，世界各国纷纷加快推进信息技术研发和应用，综合信息网络向宽带、融合、泛在方向演进，信息技术、产品、内容、网络和平台等加速融合，新一代信息及时快速发展，正在引领新一轮技术革命和产业变革，全球正处在重塑发展理念、重构竞争优势的关键节点上。党的十八大提出坚持走中国特色新型工业化、信息化、城镇化、农业现代化道路，推动信息化和工业化深度融合，促进工业化、信息化、城镇化、农业现代化同步发展。大力推动“两化”深度融合、“四化”同步发展，是党中央准确把握全球新一轮科技革命和产业变革趋势，统筹经济社会发展全局，抢占未来产业竞争制高点作出的重大战略决策。

2016年4月19日，中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平在京主持召开网络安全和信息化工作座谈会并发表重要讲话。这一讲话在业内引起热烈反响，“习总书记高屋建瓴，将网络安全和信息化工作置于宏观背景中，作出了一系列凝聚中国智慧的论断和决策，为把我国建设成网络强国指出了一条正确的道路。习近平总书记在中央网络安全和信息化领导小组第一次会议讲话中强调，“网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施”，“没有网络安全就没有国家安全，没有信息化就没有现代化”。中央的要求进一步表明，网络安全和信息化已真正上升为国家发展战略，信息化已成为经济与社会发展的重要驱动力，是衡量一个企业乃至国家整体实力的重要标志。

国家烟草专卖局党组高度重视信息化建设和信息安全工作，以决策管理系统为代表的一系列重点工程项目建设取得了丰硕成果，信息化在规范卷烟生产经营业务、提高行业宏观调控和科学决策能力等方面发挥了重要作用，为行业持续稳定健康发展提供了有力支撑。随着烟草企业信息化的不断推进，以“一号工程”为基础，以“三流合一”为目标，以“一个平台、五大应用、五大保障”为基本框架，整合兼容、互联互通、先进实用、改造升级，推进一体化数字烟草建设的总体发展思路，网络规模和应用系统的不断扩大，凸显应用系统部署缺乏明确的指导原则，网络结构层次不清、系统管理维护困难，随之带来安全防护困难，

1企业信息安全的基本概念

企业是创造社会财富的源泉，企业信息化水平代表了一个国家整体信息化水平的高低，“企业利用现代信息技术手段，在生产、经营、管理过程中，有效地开发、利用和传播信息资源的过程”，称之为企业信息化。信息化时代，信息是各行业发展所需的重要资源和资产，而信息安全性在企业经营发展中的地位变得越来越高。所谓信息安全，指的是企业信息、企业信息系统及其所处环境安全性的综合。它包括企业信息的安全性、完整性、可靠性和真实性等内容，它涵盖了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多个方面的安全需要。包括信息不受威胁和危险、信息系统的安全、信息数据的安全和信息内容的安全等。

2企业信息安全的基本特征

2.1数据的有效性、保密性

有效性是指信息所涉及的内容是真实有效的，在法律上可界定：保密性是信息不被泄露给非授权的用户、实体或过程，或供其利用的特性，即防止信息泄露给非授权个人或实体，信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段，

2.2身份的真实性

真实性是指用户的身份是真实的。例如在较大企业内，用户张三声明他是张三，但是网络能够相信他吗？会不会是李四冒充张三呢？因此，如何能对通讯实体身份的真实性进行鉴别？如何保证用户的身份不会被别人冒充？尤其在信息系统中，绝对不允许冒充、伪造等现象的存在，这是真实性所需要解决的问题。

2.3系统的可靠性

可靠性是指系统能够在规定条件和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基础要求之一，是所有企业信息系统的建设和运行的基本目标。

2.4数据的完整性

完整性是信息未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样。即信息的正确生成、正确存储和正确传输。

2.5数据的不可否认性

不可否认性也称作不可抵赖性。在网络信息系统的信息交互过程中，确信参与者的真实唯一性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认己发送信息。利用递交接收证據可以防止收信方事后否认已经接收的信息。数字签名技术是解决不可否认性的手段之一。

2.6数据的可用性

可用性是信息可被授权实体访问并被按需求使用的特性，即信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是信息系统面向用户的安全性能。信息系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的，有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。

2.7数据的可控性

可控性是对信息的传播及内容具有控制能力的特性。不允许不良内容通过公共网络进行传输。对于企业信息系统而言，可控性是十分重要的特点，所有需要公开发布的信息必须通过审计后才能发布，

3烟草行业存在的信息安全风险

3.1内部安全存在隐患

随着信息技术应用的日益普遍和成熟，各烟草企业已建立起属于自己的内部局域网，并开发出各种所需信息系统，包括信息管理系统、生产销售系统、办公系统、综合服务系统、决策系统等。这些系统共同支撑起企业经营决策管理，大大提高了企业办公的效率。然而，信息系统在给企业带来巨大便利的同时，也给企业信息安全带来了更多、更大的风险，如不良信息对员工思想的冲击，员工结构频繁的变化流动等，都给企业的内部安全控制造成了很大隐患。

3.2易受外部干扰和攻击

通常，烟草企业为方便基层员工，要求基层部门通过VPN来访问企业内部信息系统，同时企业内部网络经常会有存储设备和电脑供应商的介入。企业内部网络与外部网络的频繁连接。为外部网络中病毒、木马、黑客等对企业内部网络的干扰、攻击与破坏创造了便利的通道。一旦企业内部网络遭受外部干扰和攻击，将很可能导致企业信息系统遭受不良影响而中断，甚至造成整个网络系统瘫痪和计算机的崩溃，给企业造成巨大的经济损失。

4烟草行业信息安全风险的控制策略

4.1加强数据备份与恢复，提高数据安全

数据安全是信息系统最为核心的一个部分，它具有两种含义。其一，数据本身的安全，指通过数据完整性、数据加密等现代使用较为广泛的加密算法对数据进行主动保护，提高数据本身的安全性。其二，数据防护的安全，指以现代数据存储为主要工具对数据进行安全防护，如数据备份、数据恢复、磁盘阵列等。对于烟草行业而言，宜采用统一的数据备份系统和性能良好的数据备份软件，以提高数据的备份和恢复功能，并按照备份策略对所有需要备份的数据进行增量和完全备份，以提高数据的安全性。此外，应指派专业人员对数据备份隋况进行定期检查，以确保数据备份进行的及时准确、可靠完整。同时对数据进行定期恢复测试，对其可用性进行检验，根据数据可用性情况和备份、恢复情况对数据备份策略和恢复策略进行及时恰当的调整，保障数据备份策略与恢复策略可以满足数据备份与恢复需要。

4.2提高信息系统的物理安全

在信息系统当中，物理安全指的是系统运行时所需的各种硬件设备及硬件环境的安全，这些硬件设备主要有机房及机房中的各种计算机、设备、数据存储所需的各种介质等。信息系统具备良好的物理安全是企业内部控制安全中的一项重要内容，是网络与计算机设备硬件自身安全及信息系统各种硬件安全稳定运行的可靠保障，提高烟草企业信息系统的物理安全，需要企业对系统硬件运行状态进行定期检查，及时排除硬件故障，为硬件运行提供安全可靠的外界环境。

4.3提高系统运维安全

为确保信息系統可以长期安全稳定运行，需要对信息系统进行定期维护，需要对系统内各相关软件进行升级。在这一环节当中，信息部门作为信息系统运行与维护的主要承担者和主要责任者，应对其职责范围内的信息安全有所了解，并以此为基础做好系统运维记录，做好系统资料与各种软件程序的防护工作，建立完整详细的软硬件资源库。在强化运维人员对信息安全重要性认识的同时，对信息系统中可能存在的安全风险进行定期检查与排除，及时获得相应的漏洞补丁，及时修复信息系统出现的各种安全问题。

5结语

通过上文分析可知。信息安全是一项涉及技术、设备、管理等多方面复杂的系统工程，若想要烟草企业信息系统处于相对安全的运行状态下，就需要采取各种有效的对策来对信息系统中存在的各种安全风险进行有效控制，确保全方位提高信息系统的安全性，只有信息安全风险得到了有效控制，只有信息系统的安全性得到了切实提高，烟草行业才会快速稳定、可持续发展下去，才会为我国经济发展贡献一份力量。

[责任编辑：王伟平]