烟草在线专稿 本文分析了当前烟草企业网络安全方面面临的一些威胁,提出了烟草企业网络安全防护体系建设的策略,希望能够进一步强化烟草企业网络安全水平。
一、烟草企业信息网络安全面临的威胁
信息网络安全的威胁主要来自于内部破坏和外部攻击,是一个动态的复杂过程,它贯穿于信息资产和信息网络系统的整个生命周期。当前,地市级烟草企业网络主要面临下面几方面的威胁。
1.1外部威胁
病毒传播、黑客攻击等已成为影响最为广泛的安全威胁。
(1)计算机病毒
计算机病毒具有传染性、隐蔽性、潜伏性、可激发性、破坏性等特点,令人防不胜防,计算机病毒已经成为计算机网络最大的安全隐患之一。计算机病毒对信息网络安全威胁极大,轻者影响计算机运行速度,抢占资源,重者破坏数据文件,窃取秘密资料,造成信息网络系统瘫痪。目前,烟草行业网络建设相当完善,主干网络通过网络专线连接各县局,市级公司有独立的互联网出口,日常经营活动工作主要依靠信息网络平台支撑实现,信息网络资源也为病毒传播提供了便捷,一旦病毒泛滥,造成的损失将是不可估量的。
(2)黑客攻击
黑客攻击是指黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络。黑客攻击是一种高智能、高技术的犯罪形式,并且随着各种攻击软件日益增多,黑客攻击也变得越来越普遍,据不完全统计,85%个人计算机使用者担心黑客入侵,由此可见黑客攻击的普遍性。黑客攻击给信息网络系统与用户信息的安全带来严重的威胁与挑战。
1.2 内部威胁
公安部曾作过统计,70%的泄密犯罪来自于内部,80%未设立相应的安全管理体系,58%无严格的管理制度。目前烟草企业存在信息安全管理制度不健全或贯彻落实不够;员工的安全防范意识不强;构建安全体系的资金投入与运维现状需求存在矛盾等因素,导致安全管理层面的安全措施及安全技术难以有效实施。如果相关技术人员违规操作,即便有最好的安全技术的支持,也保证不了信息网络安全。另外由于认知能力和技术发展的局限性,在软件和硬件设计的过程中,难免留下技术缺陷,存在一定的薄弱环节和不安全因素,造成信息网络的安全隐患。
二、烟草企业网络安全防护体系建设的策略
2.1 依据网络防护基础原则
地市级烟草企业在构建网络安全防护体系的过程中,必须要明确防护的目标以及基本原则,只有这样,才能够从逻辑层面正确划分网络安全防护体系,从而开展更具有针对性的防护策略,提升烟草企业网络安全防护体系的防护能力。与此同时,还应该对工作过程中发现的一些安全问题开展更加深入的探讨,并对其拆分、归类、总结,把抽象的问题具象化、把繁杂的问题简单化,从而使得网络防护工作更容易进行开展。对烟草企业本身的内部网络安全防护工作来讲,应该按照不同的功能对其进行划分,并采取针对性的策略对不同区域进行防护。还有,应该持续健全网络安全防护体系标准,使得多种网络安全防护体系实现良好沟通,从而使得各种资源得到更加充分的运用,最终有效增强烟草企业网络安全防护能力。
2.2 合理划分网络安全区域
地市级烟草企业的网络担负着很多不同种类的工作,不同方面的工作又会对网络安全水平有不同的要求。所以,地市级烟草企业在网络设计时一定要综合考量各方面工作特性,科学的、合理的来构建网络安全防护体系。另外,考虑到烟草销售环节的网络开放性,应该严格控制烟草企业外网权限,为了提升内部网络的安全系数,加强外网权限的审批流程,从而实现将外部的安全威胁成功隔离。
2.3 构建动态防护机制
从以往的网络安全事件经验我们可以得知,导致网络安全问题的主要原因为网络病毒入侵方式多样、种类多变、软件对病毒的防护效果滞后等。所以,地市级烟草企业在建设现代化网络安全防护体系时,应该重视动态防护机制的构建,使用企业级防病毒软件,实现入侵实时监测和系统动态防护,提升系统整体的防护性能。
2.4 提升网络安全工作人员的专业素养
网络安全工作成效的根本在于从事网络安全工作人员的专业素养,如果烟草企业网络安全防护工作人员专业素养较差,那么即便有优秀的网络安全防护体系,那么也可能无法确保企业信息的安全。鉴于烟草企业网络安全防护的特殊性,该企业的网络安全工作人员不但要具备深厚的网络安全专业素养,同时也要对烟草企业的管理和销售、专卖等方面有较为深入的了解。所以,烟草企业要提升对网络安全工作人员的专业素养的重视程度,加强企业内部培训和外部交流,不断提升相关工作人员专业素养,为建设更加优秀的网络安全防护体系打下坚实基础。
2.5 健全网络安全防护制度
构建一套切合实际、行之有效的安全制度是信息安全体系发展的基础。任何一个成功的机构、组织、企业的背后,一定有它们规范性与创新性的管理制度作为支持,在规范性地管理着日常活动,保证流程和效率。在信息网络安全管理方面也是同样如此,管理制度的是否完善、规范,一定程度上决定了一个企业信息网络安全的程度。企业网络安全管理的组织构架:实行主要领导负责制,主要领导直接负责领导信息化建设,信息化领导小组下设办公室在信息中心,负责网络安全方面的具体事务,各县局设兼职或专职负责安全的系统管理员,在组织构架上保证企业安全体系的执行。
三、结束语
总之,对计算机网络信息安全的防护是一项系统工程,任何单一的防护措施都不是万无一失的。烟草企业在建设网络安全防护体系的过程中需要建立完善的机制,有效的监督执行,实时动态调整,变被动防御为主动防御,这样才能真正保障整个企业网的安全、稳定运行。
参考文献:
[1] 匡建华. 新技术发展环境下的烟草网络安全建设和管理[J]. 中国新通信. 2016(18)
[2] 赖如勤,郭翔飞,于闽. 地市烟草信息安全防护模型的构建与应用[J]. 中国烟草学报. 2016(04)
[3] 杨波. 基于安全域的烟草工业公司网络安全防护体系研究[J]. 计算机与信息技术. 2012(05)
重庆中烟,以新质生产力推动企业高质量发展