在当今数字化时代,烟草行业作为国民经济的重要组成部分,其网络安全至关重要。随着信息技术在烟草行业的广泛应用,网络安全问题日益凸显。一方面,烟草行业涉及大量敏感信息,如生产配方、销售数据、客户信息等,这些信息一旦泄露,将对企业造成严重损失,甚至影响国家经济安全。据统计,仅在 2007 年上半年我国处理的非扫描类的信息安全时间近达 2000 起,其中包括病毒木马、网页篡改和假冒网站等威胁网络信息安全的行为。另一方面,烟草行业面临着来自外部的各种网络攻击威胁,如黑客攻击、恶意软件感染、数据泄露等。例如,世界上有至少二十万个黑客网站向广大网民传授攻击系统的技术以及方略,使得掌握黑客技术的人员数量急剧增多。此外,内部员工的安全意识薄弱也给网络安全带来了隐患。员工对保密、安全意识淡薄,可能会因疏忽或错误操作导致网络安全事故。
探讨建立全国烟草行业网络安全信息系统具有重要的现实意义。首先,全国性的网络安全信息系统可以实现信息共享和协同防护,提高整个行业的网络安全防护水平。通过整合行业内的安全资源,及时发现和应对网络安全威胁,降低安全风险。其次,该系统可以规范行业内的网络安全管理,制定统一的安全标准和策略,加强对各企业的安全监管。再者,建立全国网络安全信息系统有助于提升烟草行业的竞争力。在日益激烈的市场竞争中,网络安全是企业可持续发展的重要保障。只有确保网络安全,才能保护企业的核心竞争力,实现行业的稳定发展。
一、烟草行业网络安全现状分析
1、 行业内网络安全技术措施
结合某某市局、某某卷烟厂等案例,分析网络安全技术措施。
风险隐患消除
某某市局严格实行内、外网隔离,明确网络边界,对数据备份、文件传输、移动存储设备使用等方面进行严格规定,定期进行弱口令探测和规则修改,这一系列措施对消除风险隐患起到了关键作用。严格的内外网隔离有效防止了外部网络攻击直接渗透到内网,减少了病毒、恶意软件等入侵的风险。对数据备份、文件传输等方面的规定,确保了数据的安全性和可恢复性。定期进行弱口令探测和规则修改,能及时发现并纠正潜在的安全漏洞,提高系统的安全性。
日常保障工作
网络安全检查和设备使用台账对日常保障具有重要意义。某某市局对网络安全情况和设备使用情况进行检查,建立应用系统及设备使用台账,定期查杀病毒和升级补丁。网络安全检查能够及时发现系统中的安全隐患,如漏洞、异常行为等,以便及时采取措施进行修复。设备使用台账则可以清晰地记录设备的使用情况、维护记录等信息,便于管理和追溯。定期查杀病毒和升级补丁可以有效防止病毒感染和利用已知漏洞进行的攻击,确保系统的稳定运行。
2、网络安全现状与挑战
以烟草制品行业网络安全与威胁防护文档为例,分析现状与挑战。
网络攻击复杂
随着黑客技术的不断发展,烟草行业面临的网络攻击日益复杂。烟草制品行业网络攻击主要来自内部和外部两个方面。外部威胁包括黑客、竞争对手、间谍等,他们可能通过网络钓鱼、恶意软件、勒索软件、分布式拒绝服务攻击等方式对企业网络系统进行攻击和渗透。内部威胁则包括企业员工、供应商、分销商等内部人员的不当行为,如泄露敏感信息、滥用权限等。未来,烟草行业将面临更加精细化和个性化的钓鱼攻击,利用社交媒体和手机应用程序进行钓鱼诈骗的风险也在增加。同时,随着移动设备和物联网的普及,针对移动设备和物联网设备的恶意软件攻击也将增多。
数据安全问题
烟草制品行业涉及大量敏感信息,包括研发数据、客户信息、供应链信息等。这些数据一旦泄露,将对企业造成严重损失,同时也可能损害客户和合作伙伴的利益。数据泄露可能导致企业的商业机密被竞争对手获取,影响企业的市场竞争力。对于客户而言,个人敏感信息的泄露可能导致隐私被侵犯,甚至遭受财产损失。例如,客户的购买记录、消费习惯等信息泄露后,可能被不法分子利用进行诈骗等犯罪活动。
二、烟草行业对网络安全的需求
1、技术防护需求
以某某区局为例,阐述 “盾防、安防、技防、人防” 四项防护措施。
PDCA 闭环管理
某某区局运用 PDCA 闭环管理模式推进信息安全建设。在计划阶段(Plan),制定网络信息安全规划,做好顶层设计,统筹开展防护体系建设。明确了信息安全的目标和方向,为后续的实施提供了指导。在执行阶段(Do),严格依据规划,自上而下,全员参与网络安全管理。通过专题培训、日常管理,做到安全文化宣贯与安全制度执行同步落实。例如,开展网络安全知识讲座,提高员工对信息安全的认识;制定严格的网络使用规范,确保员工在日常工作中遵守安全制度。在检查阶段(Check),定期开展网络安全、信息系统自查。通过现场检查,查找网络安全管理不到位和安全运营防护能力较弱的问题。利用专业的网络安全检测工具,对网络系统进行全面扫描,及时发现潜在的安全隐患。在处理阶段(Action),针对检查中发现的问题,做好跟踪处理和结果确认。及时对信息安全检查工作进行总结,延续良好经验做法,补齐短板弱项,并将其纳入下一阶段的工作中。形成了一个不断循环、持续改进的信息安全管理体系,做到网络信息风险早识别、早预警、早发现、早处置。
综合性信息安全措施
某某区局目前使用的安全数字化管理平台涉及电气、消防、安防、应急四大应用模块,主要采取综合性信息安全措施以确保信息安全。利用数据加密技术,对关键数据进行加密处理,防止数据在传输和存储过程中被窃取或篡改。例如,对客户信息、财务数据等敏感信息进行加密,确保其安全性。网络防火墙的设置有效隔离了内部网络和外部网络,阻止外部攻击的入侵。同时,合理设置入侵检测和防御系统,能够及时发现并抵御外部攻击。通过备份一体机,定期备份关键数据,结合专业备份数据库设备,确保数据的恢复能力。在发生数据丢失或损坏的情况下,能够快速恢复数据,保障业务的连续性。设置人员访问权限,确保只有经过授权的员工才能接触到关键系统部分,防止内部人员的不当操作和数据泄露。同时,定期开展安全检查和风险评估也是确保信息安全的关键举措。有助于及时发现系统的弱点并加以修补,不断提升信息安全防护水平。
2、教育引导需求
结合网络安全治理模式向事前预防转型,强调教育引导的重要性。
构建安全屏障
通过真实案例等形式提高员工网络安全意识。例如,某某烟草公司开展 “防范电信网络诈骗” 宣传教育工作,以张贴宣传海报、设立展架等方式开展宣传教育,对公司财会人员、保卫人员开展重点教育,提升源头防范水平。要求员工关注上海公安等微信公众号,加强防范电信网络诈骗的日常培训学习,切实增强员工的防范意识和能力。再如,某某区局(分公司)结合 “网络安全宣传周” 活动,组织全员开展网络安全专题培训学习和系列宣传教育。提醒大家树立 “网络安全无小事” 的理念,认真做好重要数据备份、强化计算机密码设置等工作,规范网络言行,注重网络行为,保护个人信息。这些真实案例表明,通过教育引导可以提高员工的网络安全意识,构建起一道坚实的安全屏障。
培育治理文化
营造用网管网治网的良好氛围。某某区局科学谋划全年教育培训内容,制定 “最美安全卫士训练营” 系列培训计划,开展更具针对性、循序渐进式的网络信息安全培训。全体人员全面学,并熟悉网络安全基本常识,认识常见的网络攻击,进而更好地理解网络攻击的手法和防范方法。根据管理员、一线人员等不同岗位实际,有针对性地教育员工识别和应对网络威胁,切实提高员工网络防范意识和抵抗网络风险能力。关键岗位深入学,加强对保密员、安全管理员与信息管理员等关键人员的技能培训,确保他们能够有效应对工作中可能遇到的安全问题,并定期对涉密设备进行检查,对办公电脑设备开展系统和应用程序的安全更新,规范修补漏洞,切实做到网络安全践于行。通过这些培训活动,培育了良好的网络安全治理文化,使员工在日常工作中自觉遵守网络安全规定,共同维护网络安全。
三、全国行业内网络安全信息系统建设案例分析
1、中央企业优秀案例借鉴
案例特点分析
中央企业在 “十三五” 期间涌现出了许多网络安全优秀案例,如中智关爱通入选中央企业 “十三五” 网络安全和信息化优秀案例名单,其一站式全场景员工服务平台在消费购物、节日福利等多维度场景实现落地探索,展现了信息化创新应用成效。中国电科的 “云和大数据技术实现精准抗‘疫’” 以及 “新能源汽车充电服务互联互通应用创新项目” 成功入选,在疫情防控和新能源汽车充电服务领域发挥了重要作用。集团智慧旅游管理体系也入选优秀案例,通过三个核心业务平台和三个服务支持中心,实现了旅游业务的数字化管理及四个统一目标。这些案例的特点在于:一是注重技术创新,如中国电科运用云和大数据技术实现精准抗 “疫”;二是强调业务与网络安全的融合,关爱通的全场景员工服务平台和集团智慧旅游管理体系都是在业务开展的同时,注重网络安全建设;三是具有行业引领性,为其他企业提供了可借鉴的经验。
对烟草行业的启示
这些中央企业的优秀案例对烟草行业网络安全建设具有重要启示。首先,烟草行业可以借鉴技术创新的经验,加大在网络安全技术方面的投入,如利用大数据、人工智能等技术提高网络安全防护水平。其次,烟草行业应将网络安全与业务发展紧密结合,在推进数字化转型的过程中,同步考虑网络安全问题,确保业务的安全稳定运行。例如,在烟草生产、销售等环节,加强数据安全保护,防止敏感信息泄露。最后,烟草行业可以学习中央企业的行业引领作用,积极参与行业标准制定,推动全国烟草行业网络安全信息系统建设,提升整个行业的网络安全水平。
2、其他行业案例启示
工业互联网信息安全建设
洋河酒厂工业互联网信息安全建设实现了工业网络与办公网络物理隔离、厂区内环网、工业网络接入设备端与端逻辑隔离,构建了主机防御平台、工控网络安全运营平台等多个平台。烟草行业可以借鉴洋河酒厂的经验,加强网络隔离,明确网络边界,防止外部攻击渗透到内网。同时,构建类似的安全平台,对烟草生产、销售等环节的网络进行全方位的安全监控和防护。例如,建立烟草生产工控网络安全运营平台,实时监测生产环节的网络安全状况,及时发现并处理安全隐患。
电信运营商数据安全建设
电信运营商面临着多种业务系统中数据泄密的风险,为此采取了数据安全分类分级实施、数据安全技术防护能力建设等措施。烟草行业也涉及大量敏感数据,如客户信息、销售数据等。可以借鉴电信运营商的数据安全分类分级管理方法,对烟草行业的数据进行全面清查,输出数据资源分类分级清单,识别重要数据。同时,加强数据安全技术防护能力建设,围绕数据全生命周期,从采集、传输、存储、处理、共享、销毁等环节,提供相应的数据安全保护服务,如数据加密、数据脱敏、用户行为分析等,全方位提升烟草行业核心应用、业务及数据的安全防护能力。
四、烟草行业建立全国网络安全信息系统的可行性
1、技术可行性分析
安全策略体系建立
在全国烟草行业网络安全信息系统建设中,建立策略体系至关重要。企业可以按照安全策略文档结构建立起安全策略文档体系,包含最高方针、技术标准和规范、管理制度和规定、组织机构和人员职责、操作流程、用户协议等。这一体系的建立将为全国系统建设提供明确的指导和规范。全国烟草行业可以统一制定策略文档规定,各地区机构结合自身状况进一步细化,确保策略体系的完整性和适用性。例如,在系统建设初期,明确代码的安全要求,避免应用系统带病上线,降低安全隐患。在系统运行阶段,定期进行安全检查、及时更新系统版本、修补漏洞,提高系统的安全性和稳定性。
安全防护策略
平台安全方面,大数据平台是数据存储与流转的核心,确保平台自身安全可控是安全管理的首要任务。可以采用漏洞扫描器对系统和基本组件进行定期扫描,结合手工办法及时发现和修复漏洞。对于全国烟草行业网络安全信息系统,可建立统一的漏洞扫描机制,对各个节点的平台进行实时监测,确保平台的安全性。
病毒防护方面,企业级防病毒软件能够实现入侵实时监测和系统动态防护,提升系统整体的防护性能。在全国系统建设中,可以统一部署企业级防病毒软件,实现对全国烟草行业网络的全面防护。同时,加强防病毒特征码的更新管理,确保软件的有效性,防止病毒的入侵和传播。
2、管理可行性分析
日常管理措施
遵循网络安全系统建设原则,明确各个部分工作的实际情况,对安全防护等级进行划分,使不同区域的安全防护更具针对性,降低网络维护难度。在全国网络安全信息系统建设中,可根据不同地区、不同业务环节的特点,制定相应的安全防护等级,实现精准防护。
合理确定网络安全区域,对烟草企业网络系统进行有针对性的划分,提高最终防护效果。全国系统建设中,可将重点防护区域如财务、生产等部门与非重点防护区域进行区分管理,加强对重点区域的安全防护。
动态防护方面,分析烟草公司所受威胁,构建备份还原模块、网络应急机制。全国系统建设中,可建立统一的应急响应机制,在系统遭受外部攻击时,能够迅速启动应急预案,恢复系统基本功能,关闭内网防止病毒进一步入侵。
人才队伍建设
人才是全国烟草行业网络安全信息系统建设的关键。结合高校展开联合培训模式,针对岗位特点进行技术培训,积极同病毒防护企业合作,引进高素质网络安全技术人才。同时,提高工作人员的安全防护意识,加强账号使用、信息发布、权限确定等方面的监督管理,杜绝违规操作。在全国系统建设中,需要培养一支专业的网络安全人才队伍,为系统的建设、运行和维护提供有力保障。可以定期组织全国性的网络安全培训和交流活动,提高人才的专业水平和综合素质。
五、结论与展望
1、研究结论总结
建立全国烟草行业网络安全信息系统具有较高的可行性。从技术可行性方面来看,通过建立安全策略体系,能够为系统建设提供明确的指导和规范。在平台安全上,利用漏洞扫描器可以及时发现和修复漏洞,确保大数据平台的安全可控。企业级防病毒软件的统一部署能有效提升系统的整体防护性能。从管理可行性方面,日常管理措施如遵循建设原则、合理划分安全区域以及实施动态防护等,能够降低网络维护难度,提高防护效果,在全国系统建设中具有可操作性。人才队伍建设方面,联合高校培训、与企业合作以及加强内部监督管理等措施,能够为全国系统建设提供有力的人才保障。总之,建立全国烟草行业网络安全信息系统对于提升行业网络安全防护水平、规范行业管理、增强竞争力具有重要意义。
2、未来研究方向展望
首先,随着技术的不断发展,未来应持续关注网络安全技术的创新,如量子加密技术、区块链技术等在烟草行业网络安全中的应用,以进一步提高系统的安全性。其次,加强对网络安全人才的培养和引进,建立更加完善的人才培养体系,提高人才的专业素养和综合能力。再者,深入研究网络安全风险评估模型,不断优化评估方法,提高风险评估的准确性和有效性。同时,进一步探索跨行业的网络安全合作模式,借鉴其他行业的先进经验和技术,共同应对日益复杂的网络安全挑战。最后,持续关注国家网络安全政策法规的变化,及时调整全国烟草行业网络安全信息系统的建设策略,确保系统建设符合国家要求。
重庆中烟,以新质生产力推动企业高质量发展