烟草在线专稿 引:“天下之患,最不可为者,名为治平无事,而其实有不测之忧”出自苏轼的《晁错论》。随着以互联网为代表的信息高新技术的发展,一方面,烟草企业经营管理在享受互联网带来的便利的同时,另一方面,也面临着互联网所带来的信息安全威胁,如何保证烟草企业信息安全就成为烟草企业信息化推进的重要课题
一、烟草企业信息安全的重要性
随着我国烟草企业信息建设不断推进、在信息时代下,信息技术对烟草企业越来越重要,网络改变了传统的商务运作模式,烟草企业的信息交换和传播都依赖网络的传输,影响了烟草企业原来的生产方式和思想观念。烟草企业信息安全对于烟草企业越来越重要。
一是信息安全是时代发展的需要。烟草企业对信息安全也越来越重视。烟草企业信息多种多样,无论烟草企业规模大小,每天都会产生很多的信息,一份报表,一张订单,一张发票,一张收据等等,都透露着烟草企业的信息,而这些信息都是烟草企业的资源,都存在它的价值。如果这些信息泄露,将可能对烟草企业带来损失。时代的发展也离不开信息安全,信息安全是基础,只有信息安全有了保障,社会才能稳步前进,烟草企业才能得到稳定发展的根基。
二是烟草企业的正常运作离不开信息资源的支持,包括烟草企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源以及各种重要数据等,这些都是烟草企业全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶,是烟草企业发展的方向和动力,关乎着烟草企业的生存与发展,烟草企业的重要信息一旦被泄露会使烟草企业顿失市场竞争优势,甚至给未来发展埋下了巨大隐患。
三是信息安全促进烟草企业稳定发展。烟草企业要想稳步发展,必须有健全的信息安全保障。烟草企业的信息化程度越高,烟草企业的数据安全越重要。信息安全是烟草企业发展的基础,要充分认识信息安全工作的紧迫性和长期性。从烟草企业的稳定与安全,经济的发展和保护烟草企业利益的角度来看,一定要搞好基础性工作和基础设施建设,建立信息安全保障的同时,搞好连接信息安全保障体系建设安全、建设健康的网络环境和促进信息化的建设。无论科技多发达,技术多高超,那也是人类创造的,因此,信息安全也是离不开人的。很多的烟草企业信息泄露,都是人为原因造成,滥用烟草企业信息的行为,给烟草企业带来了极大损失。
四是好的信息安全保障系统在烟草企业信息化建设中有重要作用。随着信息技术和网络技术的发展,各种信息数据的安全问题成为烟草企业的重要任务。信息安全就是保护烟草企业不受各方面威胁,确保各项工作的连续性,将信息安全带来的损失降到最小,使烟草企业获得最大的利益。烟草企业的数据有多重形式存在,有纸质的、电子档的,一般以电子文档的形式存在。而这些重要的数据关系到一个烟草企业的安全,是关系生死存亡的大事。
二、烟草企业信息安全方面的不足
随着我国烟草企业信息化不断持续推进,烟草企业信息安全越来越受到重视,但是由于烟草企业信息安全复杂性和深层次性,与西方发达国烟草企业相比,还有不少的差距,主要存在以下四个方面的不足:
一是烟草企业信息安全意识有待加强。烟草企业的信息安全是一个系统工程,不仅是需要烟草企业信息部门的努力,更需要烟草企业全体职工参与的。然而在烟草企业经营的现实中,很多管理者和普通职工缺乏信息安全意识,有意或者无意导致了烟草企业信息泄露,这也是烟草企业信息泄露主要途径。尽管管理者也重视烟草企业信息化,但是没有充分认识到信息化负面效应,可能带来的信息泄露风险,更没有认识到建立与烟草企业信息化相配套的信息安全机制。而没有重视与烟草企业的信息化推进战略相相结合,这样,造成信息系统与自身信息安全系统不匹配。针对内部员工的泄密行为,目前还没有成熟的、全面的解决方案,对于来自烟草企业信息内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。
二是信息安全实践过程有待加强管理。信息安全意识较低的必然结果就是导致信息安全实践水平较差。不仅是烟草企业对于信息安全的意识淡漠,还有,广大职能部门也对信息安全认识层次较浅,直接表现为缺乏有效地信息安全保障措施。在实践上,有关部门不仅不能推行有力烟草企业信息安全保障措施,更是难以做到行之有效监管。虽然,这是一个全球性的问题,但是我国烟草企业信息安全在这一方面与西方发达国家大烟草企业集团还有一定差距。
三是烟草企业缺少信息安全管理制度。当前,至于烟草企业信息安全是一个全新的高科技领域,我国还缺少比较完善的法律法规呢。现有的法规,只是规定了一些大体的原则,没有做出相关具体的可操作性的规定,也没有跟上信息化高速发展的要求,再加上,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行,安全标准和规范的缺少,导致无从制定合理的安全策略并确保此策略能被有效执行。
四是烟草企业信息系统缺乏信息安全技术。由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,网络硬件、软件系统多数依靠进口,由此可造成烟草企业信息安全的隐患,现在黑客的攻击并不是为了破坏底层系统,而是为了入侵应用,窃取数据,带有明显的商业目的,许多黑客就是通过计算机操作系统的漏洞和后门程序进入烟草企业信息系统。随着网络应用要求的越来越多,针对应用的攻击也越来越多,除了在管理制度上确保信息安全外,还要在技术上确保信息安全。
三、针对烟草企业信息安全方面,须采取的措施
古人云:“不谋万世者,不足谋一时;不谋全局者,不足谋一域”。烟草企业的信息系统安全问题是一个系统工程,不仅涉及到计算机技术和网络技术以方面,还涉及烟草企业心信息人才的因素。随着信息系统的延伸和新兴技术集成应用升级换代,它又是一个不断发展的动态过程。因此,做好烟草企业信息安全,不仅需要从全局考虑,更需要从长远着眼。
(一)提升烟草企业信息安全意识。古人云:“往者不可谏,来者犹可追”,无论过去烟草企业信息安全意识淡薄与否都不重要,重要的是,今后,在思想上,真正重视烟草企业信息安全,无论是烟草企业管理层,还是普通职工,争取人人都要绷紧烟草企业信息安全这根弦,只有这样才能做好烟草企业信息安全工作。具体包括几个方面:一是树立超前意识,紧跟当前信息化发展的潮流。烟草企业信息部门不仅熟练掌握烟草企业的信息生产管理流程,熟悉烟草企业行业商业秘密管理,了解烟草企业信息安全的更新与发展的动态,时刻保持清醒与戒备。二是加大烟草企业管理层和职工的信息安全培训教育。在烟草企业的管理过程中,烟草企业为职工搭建信息安全学习平台,应当加强信息安全、风险意识方面的培训和教育,增进广大职工与技术人员的面对面的沟通与交流,开展有效的安全意识活动。三是制定与烟草企业信息化相匹配的信息安全机制,更要与烟草企业整体发展战略相结合。
(二)烟草企业加强信息安全技术建设。“工欲善其事,必先利其器。”出自《论语·魏灵公》。计算机信息安全技术是一门由密码应用技术、信息安全技术、数据灾难与数据恢复技术、操作系统维护技术、局域网组网与维护技术、数据库应用技术等组成的计算机综合应用学科。烟草企业信息部门通过信息技术手段对本身信息系统和数据库服务器等设定了信息的访问权限,提高对恶意代码和未授权移动代码的防范和检测;遵循信息安全管理体系中的权限最小化原则,即受保护的烟草企业信息只能在限定范围内共享。职工根据工作需要,在合理访问敏感信息权限内授权。另一方面,烟草企业采用最新网络防火墙技术,控制内部和外部网络的访问,通过明确访问权限的设置和申请流程,网络监视和流量分配,始终保持高度戒备。烟草企业对于核心数据实行加密传输,对需保密的信息进行加密处理,使只有拥有密钥的授权人才能解密获取信息,防止烟草商业秘密流失。
(三)造就高素质的烟草企业信息安全专业人才队伍。邓小平:“靠空讲不能实现现代化,必须有知识,有人才。没有知识,没有人才怎么上得去”。随着当今信息网络技术的快速发展,烟草企业管理和生产越来越依赖信息技术,这就要求信息安全人才不仅具有良好的职业素养和风险意识,还要掌握扎实的现代信息科技知识。烟草企业都应当采取多种途径和方法,招聘引进一流信息人才,尤其重视掌握计算机网络技术为代表的信息技术高端人才,这就烟草企业信息安全打下一个良好的人才基础。对于信息高端人才,在工作条件和生活待遇上给予关心和照顾,解除其后顾之忧;以形成最佳的烟草企业信息风险管理信息人才配置机制。在日常工作管理上,千方百计地用好信息人才,激发人才的活力,使他们创造性工作。
(四)加强信息管理,做好烟草企业内部规章制度。孟子:“离娄之明,公输子之巧,不以规矩,不成方圆”。一方面,烟草专卖局根据国家有关信息安全法律法规,制定适应烟草企业信息安全规章制度,为烟草企业开展信息安全打下良好的制度基础。和国家有关部门加强监管,督促烟草企业落实信息安全措施。另一方面,烟草企业积极落实国家烟草部门制定的规章制度,并制定符合本身烟草企业需要的管理规章制度,构建信息安全长效机制,有效保障自身信息安全。
最后,随着全球信息技术的日新月异,给烟草企业信息化建设拓展了广阔空间,但也带来信息安全和风险问题。尽管当前我国烟草企业信息安全建设与发达国家烟草企业相比,还有差距,但是各方面人才的努力下,我相信未来必将是“山重水复疑无路,柳暗花明又一村”。
重庆中烟,以新质生产力推动企业高质量发展