烟草行业信息安全风险防控研究

辛志斌

（山西省烟草专卖局（公司），山西 太原 030021）

0 引言

近年来，在国家政策和市场环境的综合作用下，烟草行业发展呈现出了自动化、智能化、集约化和少人化发展特点，一方面，诸如信息技术、人工智能技术等先进技术手段被广泛应用于卷烟的生产、销售和运输等领域，实现了行业的技术性发展，另一方面，技术的应用降低了行业发展对人力要素的依赖度，诸如制丝生产等环节基本实现无人化作业，行业发展的工艺和流程持续优化升级。当然，技术的发展虽然优化了烟草行业的发展方式方法，但也给行业发展带来了新的不安全性因素，其中较为突出的就是信息安全风险。行业内企业信息网络架构的漏洞，以及市场主体薄弱的信息安全风险防控意识，使得行业信息安全风险事件时有发生。基于此，有必要对行业信息安全风险防控进行针对性的研究，以推动行业整体信息安全风险防控能力的提高[1]。

1 烟草行业信息安全风险防控的特点

1.1 参与主体多元化

网络在烟草生产、销售、存储、运输等环节的广泛而深入应用，使得与烟草行业发展相关的生产商、销售商、物流运输商，以及终端的消费者逐渐形成了链条和网络，并且这些多元化主体的网络信息和行为轨迹在网络中均有存储，这使得信息安全风险防控成为不同主体共同关注的安全问题。在这样的情况下，多元主体愿意共同参与到行业信息安全风险防控中，以保护自身的信息安全。

1.2 防控手段的综合性

影响烟草行业信息安全的风险来源比较多，其中既包括人为操作失误造成的账号密码等操作信息泄露，也包括不良网络主体采用技术手段对网络信息系统的破坏和系统信息的窃取、篡改。显然，这种人为因素与技术因素并存的风险格局下，烟草行业的信息安全防控需要采取管理与技术结合的综合性防控手段，通过加强人的管理和技术的管控来提高行业信息安全防控的整体能力和效果。

2 烟草行业面临的信息安全风险问题

2.1 行业信息安全风险防控力量分散

在当前的烟草行业发展中，不同行业主体所从事的活动和扮演的角色存在明显的差异。虽然不同主体之间可能会因为业务活动开展而产生直接性的联系，但这种联系均较为分散。例如，虽然同属于行业主体，但下游的消费者更多地是与中游的经销商产生信息或者产品的联系，而并为与上游的卷烟生产商发生直接性的关系。在这种不同节点主体之间缺乏直接联系的情况下，烟草行业主体之间很难就信息安全风险防控形成统一的认知和行为方式，这就造成烟草行业整体防范和控制信息安全的能力薄弱[2]。

2.2 行业信息安全管理机制不健全

目前，虽然在国家层面形成了以国家烟草专卖局为主体的烟草行业信息管理系统，定期向行业主体和社会披露烟草行业发展相关信息，但地区层面的烟草行业信息管理机制建设却相对滞后，导致一些行业信息难以在社会范围内尤其是行业范围内共享、传播，这就导致部分行业主体出于获取信息的需要，采取非法手段窃取或者购买行业信息，导致烟草行业整体的安全管理机制运行迟缓，甚至出现漏洞，造成信息安全风险防控阻力大。

2.3 行业信息安全风险防控缺乏持续性

行业的动态发展，使得烟草行业信息安全防控所处的环境和面临的要求呈现出持续变化的特点，这就要求烟草行业的信息安全防控活动要保持持续性，根据不同阶段的信息安全风险制定和采取相应的防控策略。但是，就目前的信息安全防控行为来说，更多地是以政策制度为导向的被动式风险防控，即政府相关部门下发信息安全风险管理制度或者要求文件后，行业主体才开始按照文件要求进行信息安全风险问题自检自查和整改，这种被动式的防控缺乏持续性，并且防控的内在动力不足，难以真正达到防控的效果。

3 防控烟草行业信息安全风险的策略

3.1 整合行业整体信息安全风险防控力量

力量的整合，既可以壮大烟草行业防控信息安全风险的实力，也能够弥补行业内部局部性的信息安全风险防控漏洞，从而提高行业整体的信息安全风险防控能力与效果。针对当前行业主体信息安全风险防控力量分散的问题，要通过行业管理的优化来加以解决。

首先，推动行业发展扁平化。行业发展扁平化，是压缩行业发展的中的中间环节，使行业上游与行业下游之间实现短距离、高效率的联通。体现到烟草行业发展之中，就是实现产供销的一体化，这样一方面可以减少行业发展信息在不同主体之间的传递频次和流程，减少因为信息传递而出现的安全风险，另一方面可以增强行业主体对信息安全风险的管控力度，提高信息安全风险识别和应对的效率。

其次，明确信息安全风险防控标准。造成烟草行业整体信息安全风险防控力量分散的一个重要原因之一就是行业整体缺乏规范化、统一化的信息安全风险防控标准和方案，分散的多元主体不知道如何做好信息安全风险防控。基于此，烟草行业协会要在密切与政府烟草管理部门联系的同时，推动行业内部的信息安全风险防控标准制定与实施，以统一的标准凝聚行业主体信息安全风险防控的力量。

3.2 健全烟草行业信息管理机制

在当前行业发展不确定性日益增加的情况下，烟草行业主体对行业发展信息的需求度正在不断上升，这就促使一些主体基于获取信息的需要而采取一些偏激性的行为，威胁行业信息安全管理秩序。基于此，要通过信息管理机制的健全加以疏导，借助信息的有效流通与共享来化解安全风险的发生。

第一，搭建统一性的行业信息管理平台。在信息系统广泛应用的情况下，搭建面向多元主体的烟草行业信息管理平台，为其提供丰富、多样的信息内容，是满足烟草行业发展中的信息需求和消除烟草行业信息安全隐患的有效策略。相关主体尤其是政府性的烟草行业管理主体要基于烟草行业管理的需要，开发统一性的行业信息管理平台，通过权威的信息管理活动来提高信息安全风险防控的能力和效果，消除信息安全风险发生的诱因[3]。

第二，优化行业信息管理方式。针对行业主体存在的差异性的行业发展信息需求，以及主体在行业发展中所处的位置的差异，为避免不必要的信息传播可能造成的泄露风险，烟草行业信息管理平台的运营主体要为行业主体分配拥有不同操作权限的账号和密码，用于限制主体信息获取的范围，减少不必要的信息获取与传播行为，保证信息管理的有序性。同时，运营主体也要通过必要的技术手段，提高信息管理系统和平台的安全风险报警功能，一旦出现风险行为，立即进行报警处置，避免信息的泄露。

第三，完善行业内部信息加密手段。加密是从技术角度出发强化烟草行业信息储存、传输安全性的重要措施。相关主体在构建行业内部信息安全风险防控方案的同时，要强化信息加密技术的应用，安排专门的技术人员研发信息加密的多样化手段，构建更为丰富的加密渠道，提升烟草信息平台的安全性。同时，行业及企业要加强常态化的信息系统优化机制，对信息系统进行持续性的安全技术升级，并对重要数据进行动态加密和备份，以保证信息的安全性。在信息访问方面，可以通过访问控制、数字签名、身份认证等方式，对信息系统的使用情况进行动态监测，以便及时发现和解决系统运行中存在的安全漏洞[4]。对于密码设置过于简单的账号，要提醒和督促相关主体及时更改、完善账号密码，提升密保能力。

3.3 打造行业信息安全风险防控闭环

闭环管理，是信息化时代信息安全风险防控的一种常用管理理念和方式，其主张通过构建风险防控闭环来推动风险防控能力的持续性提升，适应不同阶段、不同环境下的风险防控要求。考虑到烟草行业信息安全风险防控的持续性和动态性特点，行业内部有必要打造风险防控闭环，切实推动风险防控的持续提升。

首先，搭建信息安全风险技术漏洞识别系统。技术，是信息化背景下烟草行业信息安全风险防控的重要依赖手段。考虑到当前信息安全风险产生的技术性特点，行业主体要结合发展情况和需要，搭建集信息安全风险识别、报警、分析和自处理于一体的信息系统体系，借助技术手段实现信息安全风险防控的智能化、自动化和信息化。

其次，科学评估信息安全风险防控系统。行业主体要对自身搭建的或者所处的信息安全风险防控系统的安全性进行定期的技术性和管理性评估，及时发现和解决行业信息安全风险防控中存在的问题，并以问题为导向，优化原有的信息安全风险防控系统，确保信息安全风险防控的科学性和有效性。同时，对于普遍存在的信息安全风险，要组织多方面的技术专家进行研究探讨，从根本上搭建相应的风险防控技术手段[5]。

4 结论

信息安全，是近年来互联网应用中普遍存在和关注的问题。虽然在相关政策和市场环境的影响下，烟草行业逐步加强了对信息安全风险的重视度，一些企业也采取了相应的管理与技术措施来防控可能出现的信息安全风险，但是，就行业整体的发展而言，仍然存在信息安全风险防控力量薄弱的问题。针对当前行业信息安全风险防控中存在的问题，相关主体要通过整合行业整体信息安全风险防控力量、健全烟草行业信息管理机制、打造行业信息安全风险防控闭环等措施加以应对，以确保行业信息的安全性和稳定性。