摘要：随着烟草行业信息化建设的快速发展，计算机在烟草行业的应用范围越来越广，在基础设施、烟叶管理、卷烟生产、卷烟营销、专卖管理等过程中都广泛应用了计算机管理。在烟草行业新的改革形势下，信息化工作也出现了重大变革。网络的扩充与连接，业务系统的对接，这都给信息安全工作提出了更高的要求。信息安全管理也显得比以前任何一个时间都重要和迫切，因此探讨新形势下烟草企业信息安全的综合性管理就更具有意义。

 

　　本文从基层烟草企业的角度出发，从信息安全综合性管理的定义、内容等方面，并结合江西基层卷烟企业计算机安全系统管理的现状和南昌卷烟总厂赣南卷烟厂的实际工作情况，谈谈如何全面建立一个安全可靠的计算机系统。

 

    关键字：信息安全　综合性管理　现状　对策

 

    当今社会已是信息化社会，信息已成为推动这个社会向前发展的巨大资源。信息对经济的繁荣、社会的进步,发挥着越来越大的作用。然而随着计算机及网络技术与应用的不断发展，伴随而来的计算机系统安全问题越来越引起人们的关注。信息一旦遭受破坏，将给使用单位造成重大经济损失，并严重影响正常工作的顺利开展。加强信息安全工作，是单位和企业信息化工作的重要内容之一。本文结合南昌卷烟总厂赣南卷烟厂的信息安全工作情况，对现状和对策方面谈点粗浅的看法。

 

    信息安全综合性管理的定义与内容

 

    信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

 

    一个完善的信息安全管理体系到底包括哪些方面的内容呢？从目前计算机系统安全的要求来看，其主要包括以下几个方面：

 

　　计算机外部安全：包括物理安全、人事安全和过程安全，它是保证计算机正常运行，确保信息安全的前题。

 

　　计算机内部安全：包括软件（包括操作系统安全、应用软件）安全和数据库安全。

 

    计算机数据通信安全：计算机数据通信安全涉及安全体系结构、安全协议、密码理论、信息分析、安全监控、应急处理等。其中密码是解决计算机网络信息通信安全技术核心。

 

    总之，信息安全管理是一个系统工程，它所包括的内容什么广泛，它涉及计算机的硬件结构设计、软件系统设计、电磁辐射、电子学、密码学、计算机管理、社会学和法律学等多方面的综合性内容。

 

    解决信息安全的基本策略是综合治理，技术、管理和法制并举。技术是核心，计算机网络信息通信安全的有效解决，从根本上要落实技术手段，通过关键技术的突破，构筑起计算机网络信息通信安全技术防范体系。管理是关键，计算机网络信息通信安全链条中任一环节的脆弱都可能导致安全防护体系的失效，必须强化管理，加强各管理部门和有关人员间的密切合作。法制是保障，通过建立计算机网络信息通信安全法规体系，规范计算机网络信息通信社会中各类主体的行为，维持计算机网络信息通信社会的正常运做秩序。

 

    基层烟草企业计算机系统安全综合性管理现状

 

    现在烟草行业信息化建设开展得如火如荼，随着行业的内部联网和网上系统的对接，行业信息安全问题就显得更加的重要和紧迫。就拿江西卷烟工业来说，五个卷烟厂在没有合并前，没有联成内部网络，各个卷烟厂计算机系统安全问题也就是仅限于本厂局域网内，情况相对简单。随着江西卷烟工业企业的联合重组，江西中烟工业公司、南昌卷烟总厂和各分厂之间，都已经以内网形式连接，且已经在网上运行了卷烟生产经营决策管理系统（一号工程）、供应链系统、财务系统、电子商务系统、CRM（客户关系管理）系统等，对于总厂和分厂，信息安全管理情况变得更加的复杂。目前，基层烟草企业（以江西为例）的信息安全管理现状主要有以下几点：

 

    1、管理滞后　近年来，业务系统在网络上得到普遍地应用，但也普遍存在着重应用、轻管理的现象。基层企业没有把计算机安全管理工作作为日常工作的重点，更没有把它上升到生产安全的高度来对待。有的企业计算机内控制度没有建立或没有严格执行，管理工作也只依赖于技术人员的自律，安全管理严重滞后于业务的发展。有的基层企业甚至还没有专门的计算机安全设备和相关制度。

 

    2、队伍不专　虽然说计算机系统安全管理是一项动态的系统工程，但安全技还是其中的核心，无论从防范于未然的预防还是亡羊补牢式“查踪迹”和“补缺口”，都是以安全技术人员的技术实力为前提的。所以说，一个企业没有专业的计算机安全技术人才，哪怕有世界上最好的计算机安全产品，也只能是摆设。目前，这种专业的安全技术人才在基层卷烟企业是相当地缺乏，这是企业信息安全管理面临的最大问题。

 

    3、制度不健全　虽然各企业都制定了相关的计算机系统安全管理的制度，但往往是为了应付上面的检查，在网上“随意”地摘抄了一些规章制度，没有很好地结合企业和系统特点来制定适应的安全管理制度。不可忽视的一点，要根据实际情况，建立安全管理工作的应急措施。

 

    4、职工安全意识差和水平有限　在中心机房和服务器端安全工作做得再好，如果客户端安全工作没有做好，也会给整个网络留下“缺口”。一般干部职工往往对计算机系统安全管理的重要性和制度没有足够的了解，并有“反正出了问题就找信息中心人员”的想法，导致平时操作时，不严格按照规范来操作，比如随意使用软盘、U盘来拷贝数据并将装有重要数据的介质任意放置，不及时升级杀毒软件，和密码设置过于简单甚至根本不设行等。

 

    计算机系统安全综合性管理的措施

 

    针对基层企业的这种现状，并结合南昌卷烟总厂赣南卷烟厂实行的计算机系统安全综合性管理措施经验，笔者认为可以从以下几方面来考虑对策：

 

    1、加强管理和建立安全系统　首先须在全厂局域网内建立专业级的安全系统，这是整个计算机系统安全管理的基础。一个完整的安全系统至少包括：一个可及时升级和有效的杀毒软件、防火墙、入侵检测系统、数据备份与灾难恢复系统。南昌总厂赣南卷烟厂的信息安全系统是独立公开招标与实施的，并且规定必须包括以上几个方面的内容，这样就确保了安全系统的专业性和可靠性。其次，以安全系统为基础提高技术人员、业务人员的安全意识与操作水平，加强内部管理，加大监管力度，大家共同努力做好计算机系统的安全管理工作。

 

    2、加强安全专业人才的培养　“机器是死的，人才是活的”，一切安全管理工作都是以人为中心展开的。各企业（单位）应该重视安全专业人才的培养，有机会多送到专业培训机构进行技术培训，并多对安全人才进行必要的思想政治教育和职业道德教育。南昌总厂赣南卷烟厂的做法是，指定专职的人员负责安全管理，尽量争取机会进行专业技术培训。并让信息中心安全人员全部加入厂保密委员会，增加安全人员的安全责任感。

 

    3、建立健全安全管理制度并严格执行　以南昌总厂赣南卷烟厂为例，结合本厂实际先后建立了《信息中心机房安全管理制度》、《南昌总厂赣南卷烟厂办公自动化系统管理制度》、《南昌卷烟总厂赣南卷烟厂“一号工程”管理制度》及《南昌卷烟总厂赣南卷烟厂“一号工程”应急措施》《南昌卷烟总厂赣南卷烟厂计算机系统管理制度》，以后还要随着业务系统的实施，还要增加和修改有关计算机安全管理制度。

 

    4、提高全民安全意识和素质　要建立一个安全可靠的管理体系，不仅依赖于信息中心安全技术人员，还要依赖于各部门操作员的有力配合。在南昌卷烟总厂赣南卷烟厂，在信息中心设置了专门的信息安全员，在各业务部门设立了一个计算机安全协管员，该协管员要有责任心和一定的电脑操作水平，赋予该人员一定的职责与权限，负责好本部门的电脑的安全运行。这样就在厂里建立了一支以信息中心安全员为主体、以各部门安全协管员为辅的安全管理队伍，负责全厂的计算机系统安全管理，带动全民的安全管理意识和水平。

 

    结束语

 

    信息安全管理工作是一项综合性工作，要建立一个安全可靠的计算机安全系统，不仅要有专业的安全产品，更要有规范和强有力的安全管理。只有全体烟草行业干部和职工的参与和努力，提高安全意识，严格按照有关安全管理制度来操作，才能建立安全可靠的计算机系统，才能保证网络和业务系统的正常运行。

 

    参考文献：

    1、《计算机安全技术》（修订版）　朱洪文 裴士辉 刘衍珩 著 吉林科学技术出版社

    2、《计算机安全学导论》　王立斌著 电子工业出版社

    3、中国计算机安全网　http://www.infosec.org.cn/

    4、黑客基地　http://www.hackbase.com/