《烟草行业信息安全风险分析与控制策略研究.pdf》由会员分享,可在线阅读,更多相关《烟草行业信息安全风险分析与控制策略研究.pdf(5页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、烟草行业信息安全风险分析与控制策略研究 信息安全风险是指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。摘要:烟草行业作为我国经济的主要来源之一,在我国社会经济发展过程中占有举足轻重的地位。随着经济全球化与市场信息化的不断深入,烟草行业信息系统的安全性也将面临着巨大挑战。本文分析了信息化时代背景下,烟草行业信息安全风险的特征以及在信息安全方面所存在的风险,并提出了控制烟草行业信息安全的几点策略,旨在提升信息系统安全性和可靠性。关键词:烟草行业;风险分析;控制策略;信息
2、安全 信息化时代,信息是各行业发展所需的重要资源和资产,而信息安全性在企业经营发展中的地位变得越来越高。所谓信息安全,指的是企业信息、企业信息系统及其所处环境安全性的综合。它包括企业信息的安全性、完整性、可靠性和真实性等。近年来,信息技术在烟草行业得到了普遍应用,并对烟草行业的信息整合、资源优化配置、管理理念更新等发挥了无可比拟的作用。然而其信息安全性却存在着很多风险,如何控制好这些风险已成为烟草行业当前所迫切需要解决的一个问题。一、信息安全风险的特征 信息安全风险主要具有以下几地特征。第一,动态性与可变性。信息安全风险在其生命周期内是动态进行着变化的,所以其具有动态性与可变性。第二,多样性与
3、多层次。信息安全风险既有管理方面的,也有技术和环境方面的,因而具有多样性;同时,网络层、物理层、链路层、应用层等都是信息安全风险作用的层面,所以又具有多层次特点。第三,可预测性。信息安全风险可以通过各种定量、定性分析方法来进行预测和判断。第四,客观性与不确定性。信息安全风险客观存在于信息系统生命周期的各个阶段和各个层级中,且会随着各种不确定因素的变化而变化。二、烟草行业存在的信息安全风险 2.1 内部安全存在隐患 随着信息技术应用的日益普遍和成熟,各烟草企业已建立起属于自己的内部局域网,并开发出各种所需信息系统,包括信息管理系统、生产销售系统、办公系统、综合服务系统、决策系统等。这些系统共同支
4、撑起企业经营决策管理,大大提高了企业办公的效率。然而,信息系统在给企业带来巨大便利的同时,也给企业信息安全带来了更多、更大的风险,如不良信息对员工思想的冲击,员工结构频繁的变化流动等,都给企业的内部安全控制造成了很大隐患。2.2 易受外部干扰和攻击 通常,烟草企业为方便基层员工,要求基层部门通过 VPN 来访问企业内部信息系统,同时企业内部网络经常会有存储设备和电脑供应商的介入。企业内部网络与外部网络的频繁连接,为外部网络中病毒、木马、黑客等对企业内部网络的干扰、攻击与破坏创造了便利的通道。一旦企业内部网络遭受外部干扰和攻击,将很可能导致企业信息系统遭受不良影响而中断,甚至造成整个网络系统瘫痪
5、和计算机的崩溃,给企业造成巨大的经济损失。三、烟草行业信息安全风险的控制策略 3.1 加强数据备份与恢复,提高数据安全 数据安全是信息系统最为核心的一个部分,它具有两种含义。其一,数据本身的安全,指通过数据完整性、数据加密等现代使用较为广泛的加密算法对数据进行主动保护,提高数据本身的安全性。其二,数据防护的安全,指以现代数据存储为主要工具对数据进行安全防护,如数据备份、数据恢复、磁盘阵列等。对于烟草行业而言,宜采用统一的数据备份系统和性能良好的数据备份软件,以提高数据的备份和恢复功能,并按照备份策略对所有需要备份的数据进行增量和完全备份,以提高数据的安全性。此外,应指派专业人员对数据备份情况进
6、行定期检查,以确保数据备份进行的及时准确、可靠完整。同时对数据进行定期恢复测试,对其可用性进行检验,根据数据可用性情况和备份、恢复情况对数据备份策略和恢复策略进行及时恰当的调整,保障数据备份策略与恢复策略可以满足数据备份与恢复需要。3.2 提高信息系统的物理安全 在信息系统当中,物理安全指的是系统运行时所需的各种硬件设备及硬件环境的安全,这些硬件设备主要有机房及机房中的各种计算机、设备、数据存储所需的各种介质等。信息系统具备良好的物理安全是企业内部控制安全中的一项重要内容,是网络与计算机设备硬件自身安全及信息系统各种硬件安全稳定运行的可靠保障。提高烟草企业信息系统的物理安全,需要企业对系统硬件
7、运行状态进行定期检查,及时排除硬件故障,为硬件运行提供安全可靠的外界环境。3.3 提高系统运维安全 为确保信息系统可以长期安全稳定运行,需要对信息系统进行定期维护,需要对系统内各相关软件进行升级。在这一环节当中,信息部门作为信息系统运行与维护的主要承担者和主要责任者,应对其职责范围内的信息安全有所了解,并以此为基础做好系统运维记录,做好系统资料与各种软件程序的防护工作,建立完整详细的软硬件资源库。在强化运维人员对信息安全重要性认识的同时,对信息系统中可能存在的安全风险进行定期检查与排除,及时获得相应的漏洞补丁,及时修复信息系统出现的各种安全问题。四、结语 通过上文分析可知,若想要烟草企业信息系统处于相对安全的运行状态下,就需要采取各种有效的对策来对信息系统中存在的各种安全风险进行有效控制,确保全方位提高信息系统的安全性。只有信息安全风险得到了有效控制,只有信息系统的安全性得到了切实提高,烟草行业才会快速稳定、可持续发展下去,才会为我国经济发展贡献一份力量。参考文献:1肖峰.烟草信息安全风险分析及策略控制J.现代商业,2015(23).2周肖肖.烟草行业电子政务项目建设中的风险管理实践D.北京:北京邮电大学,2009.3陈永泰.安全域在甘肃烟草安全防护体系中的应用研究D.兰州:兰州理工大学,2012.
限制150内