赵晓红

摘 要：本文简要介绍了当前互联网环境下，网络信息時代的特征、影响和趋势，指出了烟草商业企业所面临的信息安全新形势、新环境、新挑战；在此基础上，系统分析了当前烟草商业企业网络信息安全管理的现状和存在问题，提出了信息安全管理的探索性思路、方法和措施。

关键词：信息安全；网络信息技术；烟草企业

1 背景介绍

互联网时代的到来，特别是移动互联网技术的广泛应用，打破了各个地区、组织、个体交流的壁垒，加速了科技开发与创新的步伐，改变了人们的思维观念和生活习惯。如何保障烟草企业网络信息系统高质量运行，有效杜绝或减少潜在的信息安全风险，已成为行业信息管理工作的一个重要课题。

2 烟草商业企业面临的网络信息安全形势和挑战

互联网构建了烟草企业全新的发展空间，成为了企业发展新的价值要地，但同时网络安全面临新的挑战。就当前来看，网络攻击日趋复杂，网络黑客呈现出规模化、组织化、产业化和专业化等发展特点，攻击手段日新月异、攻击频率日益频繁、攻击规模日益庞大。以微信、QQ等为代表的社交平台软件已经成为网络攻击的重要工具和阵地，其影响力、破坏力越来越大，对保障企业的商业秘密和个人隐私等都造成了极大影响。

3 烟草商业企业网络信息安全现状分析

1）信息安全的重要性。近年来，国家对网络信息安全尤为重视。习近平总书记曾在全国网络安全和信息化工作会议上指出，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。为强化网络安全管理，国家专门颁布了《中华人民共和国网络安全法》、《计算机信息系统安全保护条例》等法律法规；烟草行业先后制定了《计算机保密管理规定》、《计算机网络安全管理规定》等规范性文件；省局（公司）也召开网络安全专题会议，组织开展针对培训，就网络安全管理提出新要求。

2）当前信息安全存在的问题。一是网络安全意识淡薄。认识是第一位的，没有认识上的提高就不可能产生行动上的积极性，当然也不可能取得好的效果。在烟草企业，一些部门、人员往往将网络安全管理单纯的看作信息部门甚至信息管理员个人的事情，不严格遵守信息管理有关规定，对网络安全事不关心、高高挂起，认为网络安全是小题大做。二是网络信息知识贫乏。就当前情况来看，烟草员工队伍的信息化学习培训相对滞后，许多员工缺乏对网络信息技术的学习、认识和了解，缺乏对信息安全基础常识的了解，缺乏必要的网络安全自我管理的经验和措施，容易因操作不当等引发网络安全漏洞和隐患。三是日常检查维护不足。任何网络系统都存在一定的瑕疵，因此网络系统维护是保证网络安全的第一防线。但就实际情况来看，一些烟草企业内部的日常网络维护存在“三天打鱼、两天撒网”的情况，网络信息系统维护不及时、监测不到位，缺乏维护检查的主动性，甚至等出现问题了再来解决。

4 烟草商业企业信息安全管理方法和措施

面对烟草企业在网络安全管理上存在的问题，我们必须树立正确的网络安全观，加强信息基础设施的网络安全防护，完善相关规章制度，做到关口前移，防患于未然。

1）强化全员网络安全责任意识。维护企业网络安全是一项系统工程，必须全员参与，为此要进一步明确各单位（部门）的领导责任和工作责任。信息中心作为网络安全的技术保障部门，要做好网络安全的顶层设计和技术防护工作；各单位（部门）要加强责任意识、保密意识，认真做好网络安全的日常工作，包括网络安全检查的各项工作，将网络安全当做部门的大事来抓。要将网络安全作为企业安全管理承诺的重要部分，与全员签订安全责任状，落实网络安全责任制，从源头上做好网络安全工作。结合实际开展全员网络安全活动，层层落实、全员参与，进一步提高了全员网络安全意识，着力构建 “人人都重视、人人都遵守、人人都维护”的网络安全氛围。

2）着力提高全员网络信息技术水平。结合烟草商业企业的业务体征，紧密围绕当前网络安全新形势、新问题，开展全员网络信息安全教育培训，提升全员网络信息应用能力；选派信息岗位业务骨干，到网络公司进行学习交流，提升专业人员业务水平。在各部门设立“兼职信息员”，发挥“兼职信息员”在部门信息维护、网络监测、问题处理等方面的作用。建立网络信息学习交流群，通过内部交流、信息共享等方式，相互促进，相互提升。

3）健全完善网络安全运行各项制度。全面梳理企业网络信息安全运行中涉及的各个环节、节点，有针对性的建立网络安全相关制度和标准，加强对系统安全、机房、介质、防病毒、密码、变更控制、数据备份等重点环节的管理和监控，不断强化网络安全信息内部管控；落实数据分级分类管理，积极采取防护措施，努力做到“防攻击、防篡改、防病毒、防瘫痪、防泄密”。制定网络安全突发事件的相关预案，加强对突发网络安全事件的应急处理能力。

4）注重日常检查和安全风险评估。结合当前烟草企业网络信息安全现状，以及笔者信息化安全管理工作经历，对烟草企业网络安全管理，可建立“四检查一评估”机制。一是常态化检查。制定网络信息安全检查清单，科学合理设定检查项目、检查内容等，常态化开展漏洞扫描、渗透测试、安全配置核查等工作，做好服务器和计算机终端感染病毒、木马等情况的检测和排查；二是专项性检查。由信息中心牵头，组织各单位（部门）信息专业人员，组成专项检查小组，就网络信息安全的重点环节进行检查；三是交叉性检查。建立季度（或半年）信息化交叉检查制度，通过各单位之间的交叉检查，及时发现问题，沟通交流经验；四是不定时抽查。不打招呼、直奔主题，不定期对各单位（部门）信息管理情况进行突击检查，通过突击抽查掌握各单位（部门）网络应用、系统维护和运行管理等情况，发现问题，督促整改；五是定期做好工控系统安全评估，邀请专业人员，对企业全域网络信息安全情况进行检查评估和风险测试。对在检查和评估中发现的问题，要列出问题清单，通报所在部门，督促限时整改，进一步增强网络安全防护能力。

5）狠抓网络安全防护设施建设。加强网络安全防护设施建设，部署入侵检测、防病毒、数据备份、运维管理、数据流量分析等防护系统，及时做好互联网系统安全设备升级完善，实现系统性的分级分域、整体防护、积极防御以及动态管理，增强安全防护能力。针对当前云计算、大数据、移动互联网等新技术的发展，逐步建立全区商业系统漏洞预警及加固管理平台、网络日常数据梳理及预警平台，切实加强新技术应用方面的安全防护能力。对关键技术设备的系统漏洞检测评估，要做到定期开展，从而发掘深层次隐患，提出相应的加固解决办法。

5 结束语

结合当前企业内部计算机维护和网络安全管理工作中存在的不足和问题，我们应该深入总结分析，构建一套科学的工作机制，提升工作效能，实现对企业高质量发展的有效支持和保障。

参考文献

[1]刘光强.论网络信息安全的重要性[J].城市地理.2015（06）：249-50.

[2]蒋天超.探究大数据云计算环境下的数据安全[J].信息与电脑（理论版），2018（02）：168～169.

[3]李银超.计算机网络安全技术及其完善对策探究[J].信息记录材料，2018（4）：121.

[4]严文启.浅析计算机网络安全问题及其防范措施[J].通讯世界，2017（11）：102-103.