李钥
四川省烟草公司 四川 成都 610000
摘要:自第三次科技革命以来,信息技术在世界范围内发展迅速。信息技术对经济的影响越来越具有导向性。也有一些行业完全依靠信息技术盈利,造成了信息网络的安全问题。如今,信息网络的普及也引起了企业之间的竞争。因此,烟草行业在利用信息网络带来的成果时存在许多问题,其中企业的网络信息安全问题尤为突出。
关键词:现代企业;信息化建设;网络安全管理;
信息化是时代发展的重要方向,在国内经济发展形势下,更多行业进行了信息化建设,优化了工作模式,提高了工作效率。但随着信息技术的不断发展,频频发生的网络攻击已经严重威胁到企业的发展,企业在网络安全管理方面的问题易导致企业重要信息泄露,或者重要信息系统遭受病毒攻击等,严重影响了企业生产经营。
一、充分认识网络安全管理对烟草行业的重要性
网络信息既是一个分享平台,也是一个方便巨大的信息储存库。伴随着信息化的工作和生活,信息系统中储存了许多真实、有价值的私人或企业机密的信息,这些信息诱惑着一些不法之徒,因此企业网络信息就成了许多黑客的攻击对象,且攻击手段越来越复杂,隐蔽性及破坏性越来越大,使企业防不胜防,措手不及。在我国加入世界贸易组织后,国内烟草与国外烟草行业的竞争日趋激烈,为提高竞争力有些企业不择手段,导致烟草行业的网络安全出现很多问题,近些年来,我国烟草专卖局也相继出台了一些有关烟草行业中网路安全管理的法律法规,如《全国烟草行业信息化工作管理方法》、《烟草行业计算机网络和信息安全技术与管理方法》、《烟草行业计算机信息系统保密管理暂行规定》等。可见,网络信息安全管理不仅在其他行业重要,在烟草行业也是相当重要的。
二、分析烟草企业的网络安全现有问题
1.企业网络安全重视程度不够。信息科技的发展日新月异,在高速的科技发展背景下,部分烟草企业内管理层人员的管理意识、管理思想以及企业的经营模式等等都逐步和现代化的企业信息化需求出现偏差。例如部分管理者的信息化意识不足,对网络安全重要性认识不到位,对网络安全面临的严峻形势认识不清,企业内部仍旧留有传统经营及管理方式的影子,信息化部门和业务部门沟通不足等等。企业在信息化建设和发展的过程中,对网络安全建设考虑不够,网络安全资金投入不足,网络安全人才缺失等问题,最终会导致网络安全事件的发生,严重影响企业发展。
2.企业网络安全制度体系不健全。“无规矩不成方圆”,网络安全管理也需要一个完整的制度体系来支撑,但部分企业往往忽视了这一点,没有建立网络安全相关的管理制度,或者建立的制度不完整、不完善,有的单位制度建立了但缺少必要的宣贯,束之高阁,制度更新不及时,制度执行过程和记录不到位,导致网络安全制度体系形同虚设。例如信息系统建设的安全管理就需要一个完整的制度进行约束。有的单位在系统建设初期,将主要精力投入到系统功能的实现上,忽略了代码的安全要求,导致应用系统存在安全漏洞,造成系统带病上线,存在严重的安全隐患。在系统运行阶段,有的单位又忽略了有效的安全维护,没有对系统进行定期的安全检查,没有对系统版本进行及时更新,没有对漏洞进行及时修补,致使很多安全漏洞没能及时发现和修补,导致安全事件的发生。因此需要建立一套信息系统全生命周期管理制度,加强在信息系统立项、采购、开发、实施、上线等环节的网络安全审核。
3.企业网络安全管理不严格。
网络信息安全管理是管理者为实现网络安全目标而进行计划、组织、指挥、协调和控制的一系列活动,只有将有效的网络安全管理从始至终贯彻落实于网络安全建设的方方面面,网络安全的长期性和稳定性才能有所保证。但在烟草企业中,有的单位存在重建设、轻管理,重应用、轻安全的现象。在机房管理、网络管理、信息系统运维管理、安全服务管理等方面管理存在漏洞。主要体现在机房人员和设备进出管理不严格、员工连接公司内部网络缺少实名认证准入、信息系统账号长期不清理、系统漏洞整改缺少闭环跟踪、运维人员运维权限管理不严格、运维操作无法审计、第三方公司外包服务管理松散等。这些管理方面存在的问题往往是导致网络安全事件发生的重要诱因,而且发生安全事件后往往又由于管理不严格导致无法追踪溯源,对企业造成无法估量的损失。
三、针对烟草企业网络安全现有问题的对策
1. 提高网络安全的重视程度。烟草企业要充分认清当前网络安全的严峻形势,提高网络安全防范意识,进一步落实国家有关法律法规和网络安全工作责任制要求,严格执行烟草行业网络安全工作责任制实施办法,切实履行网络安全主体责任,企业党组(党委)主要负责同志履行网络安全第一责任人责任,分管网络安全工作的党组(党委)成员履行网络安全直接责任人责任,把网络安全体系纳入党组(党委)重要议事议程,将网络安全责任细化到具体部门、岗位和人员。配齐网络安全专职队伍,加强网络安全技能培训,强化全员网络安全教育。加大网络安全工作保障力度,切实保证经费投入。
2.建立完善网络安全管理制度体系。烟草企业要依照《中华人民共和国网络安全法》、等级保护 2.0 等网络安全法律法规,建立自己的网络安全制度体系。制度体系范围应覆盖所有信息化建设管理应用范围,应包括人员管理、资产管理、开发建设管理、运维管理、外包管理、安全检查、教育培训等方面,制度应划分层次、形成体系,至少应划分为网络安全总体方针和安全策略、安全管理制度、安全管理人员或操作人员执行的日常管理操作规程等层次。针对信息系统建设要形成包含立项、采购、开发、实施、上线等各个环节的全生命周期安全管理制度,对于外部网站、邮件系统等具有内容管理或其他管理要求的信息系统,宜制订专项安全管理制度。
3. 加强网络安全管理。烟草企业要加强网络安全所涉领域的全方位管理,在机房、网络、终端安全、信息系统、安全运维服务等各个方面明确安全管理要求,强化过程记录和管控。具体来说,加强机房基础设施管理,要明确机房人员和设备进出入管理的要求,确保人员进出和设备上架下线有记录、可追溯;加强网络管理,行业网络和互联网络应采取隔离措施,实行网络分区分域,根据安全需求在内部网络划分不同的网络安全域;加强终端安全管理,对接入行业内部网络的终端计算机进行准入控制,并纳入统一管理,统一采取防病毒木马、防止非法外联、补丁分发等措施;加强信息系统安全管理,强化全生命周期的安全审核;加强安全运维服务管理,采取技术措施对运维人员操作进行全过程审计。
4.强化网络安全技术防护措施。烟草企业要以等级保护 2.0 和《烟草行业信息安全基线管理技术规范》为抓手,加强网络安全技术防护。围绕防范网站篡改、数据泄露、钓鱼攻击、DDoS、勒索病毒和 APT攻击等威胁,配齐符合标准的安全设备设施,细化安全策略,把设施设备真正用起来,发挥实效。对内部网络进行分区分域隔离并加强防护,安全域之间配置细粒度双向白名单访问控制策略。坚持集中管控互联网接入口,完善内部网络与互联网严格隔离措施,加强边界安全防护,防止黑客“内网漫游”。强化网络安全检查,定期对信息系统、办公终端等进行漏洞扫描、渗透测试等技术检测,对发现的漏洞等问题实行闭环管理,确保发现一个、整改一个。
总之,烟草企业的发展关系着国内的经济发展,在现代化的生产背景下,烟草企业做好信息化建设,并保障网络安全是一项重要工作。
参考文献:
[1]李东升.对企业信息化建设中网络安全管理问题的思考.2019.
[2]张永琪.浅谈企业信息化建设中网络安全管理.2020.