辛志斌

山西省烟草专卖局(公司) 山西 太原 030021

随着网络在烟草领域的应用和发展,烟草企业逐渐将网络引入到了企业内部的管理、生产及办公等环节,逐步促进了烟叶生产收购、卷烟加工、卷烟营销、专卖稽查等活动,以及企业日常的人力、财力等要素管理的效果。例如,网络在烟草营销管理中的应用,实现了产品库存的自动化清点和产品信息的一键式调阅;在卷烟产品销售环节中的应用,实现了客户通过手机APP的远程网络下单。当然,网络在给烟草企业优化管理、提高营销效果等方面带来便利的同时,也增加了企业面临的网络安全风险,使企业在信息安全方面面临较大的难题。基于网络在烟草企业中的不断深化应用,以及网络自身的安全性隐患,有必要从技术、管理等方面寻求应对烟草企业网络安全的科学策略,促进网络安全问题的有效解决。

1 烟草企业网络安全建设中存在的问题

1.1 企业网络安全问题重视度不高 在行业快速发展的背景下,部分烟草企业经营管理主体将关注的重点多放在营销方面,内部管理人员对网络的关注也主要放在拓展客户源、优化供应链条等与业务关系密切的方面,对存储于网络信息系统中的信息的安全性问题缺乏基本的重视。甚至有些管理者虽然在意识上认识到了网络安全隐患,在思想上仍然保持麻痹、大意和侥幸的心理,认为网络运营商可以充分保障自身的网络安全,自己不需要太过于担心网络安全。

1.2 企业网络安全制度不完善 在制度内容上,企业虽然依据相关法律法规和企业发展的实际,在企业内部管理制度中增加了相应的网络安全管理内容,但这些内容大多均过于简单、粗糙,缺乏现实的可行性,这就导致网络安全管理制度缺乏真正执行的效力。例如,企业只是明确内部职工不得通过网络系统搜集、传播企业重要的信息,但制度中关于“重要信息”的判断标准缺乏明确的说明,导致一些职工在制度理解和执行方面存在较大的灵活性,难以实现制度的约束性功能。在制度执行方面,企业并没有从组织体系上明确网络安全制度执行的责任分工,导致各部门、各岗位职工在网络安全责任落实方面存在理解模糊、执行不到位的问题,并且设计到跨部门、跨岗位协作的网络安全管理内容,更是容易出现推诿扯皮等情况,严重增加了企业遭受网络安全侵袭的可能性。

1.3 企业网络安全技术应用滞后 在传统管理理念的影响下,企业往往表现出不愿意投入足够的资金来引进先进的网络技术设备或网络安全管理人才,导致一些新的网络安全技术手段并没有得到充分的应用。例如,部分企业普遍存在网络安全设备配备不齐全、区域分级分域不到位、边界缺少安全防护,以及在密码安全、系统漏洞、数据安全、工控安全等方面存在短板的情况,而这些均构成了企业网络安全问题产生的隐患。同时,虽然部分企业投入大量资金购置了不少安全设备,但片面地认为这些设备具有较高的自动化运行功能,忽视对设备的后续维护升级,导致设备逐渐出现滞后性,无法对新的网络安全问题进行识别和处理。

2 强化烟草企业网络安全建设的策略

2.1 深化企业对内部网络安全问题的重视 网络安全是烟草企业安全中的重要内容,也是当前背景下威胁企业安全的重要因素。企业只有从内部形成普遍关注网络安全的良好思想氛围,才能够确保网络的真正运行和使用安全。考虑到当前发展的实际情况,烟草企业需要从两个方面加强对网络安全的重视度。

首先,强化企业管理层的网络安全认知。管理层作为企业领导管理的主体,要充分认清企业经营管理面临的严峻的网络安全形势,从思想上认识到网络安全建设的必要性和紧迫性。同时,管理层要加强网络安全问题的集中研讨,通过讨论统一企业在网络安全方面的认知,实现内部管理层在网络安全认知方面的统一化、规范化。

其次,企业要强化基层职工的网络安全意识。职工,作为烟草企业运营的基础,其对待网络安全的态度会直接影响到企业对网络安全问题的发现和处置进度与结果。因此,企业要将提高职工网络安全意识,作为发展中的重要事项。通过组织集中培训学习、典型案例宣讲等方式,增强职工对网络安全问题的清晰认知,并引导职工立足本职岗位,分析、把握网络安全问题隐患,切实提升职工防范和应对网络安全问题的意识。同时,企业要细化网络安全意识培养内容,结合职工岗位工作开展中的细节性内容来强化网络安全意识培养的实效性。例如,对于基层职工的网络安全意识,可以通过职工账号密码泄露可能出现的安全问题的动态演示,引导职工较为真实地感受到泄露对自身、部门和企业发展的负面影响,使职工真正感知网络安全防范的必要性和现实性。

2.2 完善企业网络安全管理制度 无规矩不成方圆。构建完善的网络安全管理制度,是企业在网络化环境下不断保证网络安全的科学性措施。考虑到烟草企业当前网络安全管理制度中存在的问题和不足,企业要着重从内容完善和方法规范两个方面进行落实。

首先,要完善网络安全管理制度内容。企业除了按照《网络安全法》、等级保护2.0等网络安全法律法规,建立自己的网络安全制度体系以外,还要结合企业内部经营管理的实际情况,对经营管理中的各个环节、各个流程中可能出现的网络安全问题进行明确,使网络安全问题得到制度性的规范说明。同时,企业要围绕网络安全管理进行细化的责任分工,明确各部门、各岗位职工应当履行的网络安全管理主体责任,使企业网络安全管理责任在制度上得到明确的说明和要求。

其次,要构建以责任为主体的网络安全管理制度执行体系。考虑到内部经营管理工作的分工化、分散化的特点,烟草企业宜采取专项管理的网络安全管理方法,即根据网络安全管理制度中明确的责任分工,成立专门的网络安全问题管理小组,由负责公司安全的副经理担任组长,其他各部门主管作为组员参与。在日常的网络安全管理中,各部门主管在制度明确的范围内履行本部门的网络安全管理责任,对于涉及到跨部门的网络安全管理事务,则由组长协调、组员参与落实,这样可以保证网络安全管理制度真正落实到位,避免跨部门协作造成的困难和问题。

2.3 强化网络安全技术的应用 网络的技术性,以及网络安全问题产生的技术性原因,决定了网络安全问题的防范与解决需要有技术的支撑。针对当前烟草企业存在的网络安全技术应用程度偏低的情况,企业要从网络安全管理的角度加以弥补和完善。

首先,企业要以等级保护2.0和《烟草行业信息安全基线管理技术规范》为抓手,持续加强网络安全技术防护。在日常的网络运行管理中,要围绕防范网站篡改、APT攻击、钓鱼攻击、DDoS、勒索病毒等潜在的网络威胁,进行相应的技术性应对策略构建,从技术上防范安全问题的产生。同时,企业要在内部推动使用用户名密码、CA认证、访问控制、入侵防护、终端加密等进一步的安全防护技术措施,提供网络系统身份认知、访问控制、内容甄别、监控审计、备份恢复等网络安全防范技术管控,切实保障网络的安全运行。

其次,要重视既有网络系统和设备的维护。企业要招聘擅长网络安全管理的技术人员,负责企业内部网络系统和设备的运维和管理,便于及时发现和解决企业发展中面临的网络安全问题。通过为防止基层员工因为系统账号口令管理不严和系统权限滥用的情况,企业要通过网络系统功能的规范和优化,实现流程和权限的固化,以及在线审核、溯源追踪等技术功能,实现以技术性管理替代人员管理的安全管理目标。

结语

烟草企业是关系国家经济发展的重要经济主体。近年来,在市场化的背景下,烟草企业持续加大了网络资源的开发与利用,拓展了企业营销的渠道。但是,伴随而来的网络安全问题也日益严峻。面对企业经营管理中面临的一系列网络安全问题,烟草企业要能明确当前网络安全管理存在问题和短板,从问题出发,通过深化企业对内部网络安全问题的重视、完善企业网络安全管理制度、强化网络安全技术的应用等措施来提高网络安全问题管理的能力,以保障企业网络的安全和持续平稳健康发展。