浅析烟草行业信息安全风险防控

许巍涛

【摘要】本文对信息技术角度下烟草行业运行的安全风险进行分析，重点阐述信息安全风险防控，主要有完善信息加密形式、设置信息安全防控计划和重视数据的备份和恢复等环节，旨在提升烟草行业信息安全，促进行业快速、持久的发展。

【关键词】烟草行业  信息安全  风险防控

现在，很多企业使用信息技术进行工作，烟草行业也不例外，但是网络技术受各种因素的影响，容易产生信息的泄露和丢失，这种情况对烟草行业中重要信息的储存有巨大威胁，因此，要提升信息安全的风险防控，增强对重要信息的储存和保护。

一、烟草行业信息安全风险

（一）信息系统整体安全性低

随着科学社会的发展，很多企业都自行研发信息系统，适当引入其他企业优良功能，这种形式造成系统的整体安全性低，主要有：数据的传输、整合和储存形式传统、系统设计缺陷等，特别是数据的传输，仍以明文形式，这种形式导致文件安全性较低，很容易出现信息的窃取或者篡改，系统中用户认证方式老旧，一般是口令认证形式，没有加密口令。

（二）内部安全隐患

随着信息技术在烟草行业中运用范围的加大，很多部门都建立了相应的局域网络。另外，出现很多工作软件，例如物流查询平台、办公平台和综合服务平带等，提升了工作效率，但是随着信息技术使用的普及化，烟草行业内部出现的问题凸显而出，例如企业内部结构和岗位的变化，规模不断扩大等造成内部信息量增多，信息设备复杂化，工作人员使用过程中出现信息破坏，失误篡改数据等情况发生，出现信息安全风险。

（三）外部安全隐患

现在烟草行业计算机使用情况来说，企业内部的网络和储存设备、接入服务的供方计算机有密切的关系，所以内部和外界交流密切，提升了外界病毒或者黑客攻击的可能性。例如网络型病毒、木马和蠕虫等攻击，产生重要信息丢失、系统崩溃等情况发生，严重影响烟草企业正常业务进行和管理。

二、烟草行业信息安全防控措施

（一）完善加密形式

烟草行业内部使用计算机时要进行信息加密手段，建立合理的加密渠道。例如进行信息化建设时，有技术人员研发出多元化的信息加密形式，建立更加复杂的加密渠道，提升烟草信息行业信息平台建设的可靠性。或者上技术人员可以利用数字签名、访问控制和身份认证等多种形式，工作人员要想进入服务平台时要经过一系列的身份验证手段，对风险进行防范，每个登录系统都要设置登录账号和密码，严禁使用简单的密码，严格按照信息安全管理规范进行密码的制定，提升系统访问的安全性，另外，定期进行密码的更换。

（二）科学设置信息安全防控计划

烟草行业要科学规划企业内部信息安全框架，这是阻挡风险的主要手段。第一，结合信息技术的未来发展方向，制定企业内信息安全发展规划，保证规划方向的正确性，防止走错方向，浪费大量人力、物力和财力。第二，和烟草行业现在发展状况和主要信息风险内容为主要方向，不同部门建立有差异性的信息安全防控计划，对信息安全的管理需求的不同制定更加有针对性的防控手段，规避企业内部和外部网络安全隐患。

（三）加强数据的备份和恢复

烟草行业中信息技术的运用，最重要的就是数据的安全性，主要包括了兩层含义，第一层是数据集本身的安全，利用信息的完整性，对其进行加密等手段，是现在使用比较广泛的加密方法对数据进行保护，提升烟草行业数据的安全性。第二层，数据信息的保护，主要是指利用数据信息储存为主，对重要信息进行保护，例如磁盘列阵、备份和数据恢复等。烟草行业中，使用数据备份软件进行重要数据的备份，提升数据的安全性。另外，由专业人员对备份的数据进行定期的检查，保证以往信息完整性和准确性，对数据进行恢复测试，测验实用性，根据数据的使用情况对其进行备份和恢复策略进行适当的调整。

（四）提升工作人员信息安全意识

烟草行业利用信息技术进行管理工作的时候，需要对上岗人员进行培训，提升工作人员对计算机使用的重视，制定科学规章制度，确保员工在安全的环境中利用信息技术进行工作，降低信息安全风险，员工要建立全面的网络安全意识，在我国法律法规下执行工作，约束自身行为，阻止内部人员通过信息技术进行相关违法行为。为了防止工作人员工作浮于表面，行业领导要重视工作的时效性，一方面，对企业内部所有工作岗位进行了解，人员的配置上，尽量保证专人专岗，严禁出现一人多岗情况，这不但给工作人员带来巨大压力，还降低工作量。另一方面，信息技术管理人员要对每个岗位人员使用计算机情况进行审核，掌握每名员工的工作情况，有针对性的进行改进，利用互相制约等手段，减少工作人员利用网络进行违规行为，在企业内部降低烟草行业受网络攻击的几率。

（五）保证终端用户合法操作

企业运行时，烟草企业不同层次的管理人员和员工作在计算机中的访问权限是不同的。所以行业领导可以利用对用户的统一管理提升信息防范的有效性。对顶层领导的账户进行权限分割和实时监测，这些用户进行信息化工作时，使用更加严格的访问管理，例如电子证书等。一旦账号密码多次输入错误，就启动相关报警措施，并限制登录，防止烟草行业内部高级机密泄露。关键时刻还要对有关员工进行审计，由网络监察人员对其网络使用情况进行跟踪，检测是否有违规行为发生。除此之外，还要建立安全的使用环境，建立服务器和机密数据系统，在每个工作部门就设置磁卡门，并配有多个磁卡阅读器，对重要的机密要求多名工作人员一同进入才能进行有关工作的操作。利用这种形式，提升对信息的风险防控，保证烟草行业的基本利益。

三、结论

综上所述，烟草行业进行信息化安全管理防控时，不但要阻止外部威胁，还要积极防范内部威胁，通过一系列的手段，加强信息技术工作环节的安全性，实现烟草企业健康、快速的发展。

参考文献：

[1]彭志勇.烟草行业信息安全风险及其防控策略探究[J].技术与市场，2016，（12）.

[2]朱益旻.烟草行业信息安全风险分析与控制策略研究[J].中国管理信息化，2015，（24）.