深入探讨企业员工的信息安全意识

摘 要 本文通过对信息安全意识的重要性、企业员工信息安全意识现状、国网公司范围内信息安全案例的分析，提出企业内部四个层面人员应具备的信息安全意识以及提升信息安全意识的方法与措施。

关键词 信息；安全；意识

中图分类号：TP309 文献标识码：A 文章编号：1671―7597（2013）021-132-02

1 信息安全意识的重要性

信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源，也是企业财产和个人隐私等的重要载体。与此同时，信息安全的重要性也越加凸显：从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、企业还是国家，保持关键的信息资产的安全性都是非常重要的。

据统计，世界上每分钟就有2个企业因为信息安全问题倒闭，而在所有的信息安全事故中，只有20%-30%是因为黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄露造成的；同时78%的企业数据泄露是来自内部员工的不规范操作。

因此企业员工信息安全意识的提升对企业整体信息安全起着至关重要的作用。

2 企业员工信息安全意识现状

根据《2011年度中国企业员工信息安全意识现状调研报告》中，企业员工在信息安全意识方面存在的20大问题如下：

1）有56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。

2）拥有胸卡的受访者中，接近半数的人曾经外借过胸卡。与2010年的调查数据相比，经常外借胸卡的比例有所上升。

3）在去陌生环境出差时，51.4%的受访者不会主动了解自己工作或居住场所的紧急通道位置或楼层结构图，48.6%的受访者会去主动了解。主动了解的比例比2010年的调查结果略有上升，但情况依然不算乐观。

4）36.6%的受访者会在办公桌面放密级资料。

5）52.9%的受访者表示自己所在企业的打印机附近有合同、通知等重要资料不及时回收，可以让人任意看。

6）37.4%的人选择会直接或者询问下就让尾随的外部人员直接进入办公场所。

7）选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%。

8）仅有30%受访者对敏感数据会进行分类和加密。

9）65%的受访者电脑中数据不做备份或者不定期做备份。

10）接近50%的受访者表示所在单位不会马上对密级资料进行粉碎处理。

11）接近50%的受访者选择不安全的设置电脑屏保、密码方式。

12）有33%的受访者会在电脑桌面存放密级资料。

13）39.2%的受访者暂时离开电脑不会锁屏。

14）当收到熟悉发件人发送的自动播放flas或邮件内部嵌入的网页时，59.2%的人会看动画、下载动画、浏览网页或点击网页链接。

15）1%的受访者会点击网页上吸引自己的链接。

16）4%的受访者遇到过恶意插件、病毒攻击，还有19.2%的受访者不确定自己是否遇到过。

17） 64.2%的受访者不知道公司的信息安全策略的相关规定。

18）52.7%的受访者遇到信息安全事件，不知道如何处理、自己处理或者找同事帮忙处理。

19）46.7%的受访者不知道自己接触信息的密级程度。

20）49.4%的受访者认为领导的信息安全意识一般、很差或者还不如自己。

3 信息安全案例分析

3.1 案例一

中国电力财务有限公司商业秘密泄露事件。（来源于：《国网公司信息安全通报》（2010年第1期））

事件经过：2009年12月初，国家电监会通报中国电力财务有限公司某员工使用的计算机中涉及公司商业秘密文件资料泄露。经查，该员工将20余份资料（其中包括公司商业秘密文件）存入非公司转配的个人移动存储介质并带回家中，利用连接互联网的计算机对该移动存储介质操作，由于其家中计算机存在空口令且未安装安全补丁，感染了特洛伊木马病毒，使存于移动存储介质的文件信息泄密。

暴露的问题：该事件暴露出虽然公司三令五申，严格“不上网、上网不”的纪律，但是部分员工缺乏保护商业秘密与工作资料的意识，违反公司“严禁在连接互联网的计算机和移动存储介质上处理、存储涉及企业秘密信息”的要求，利用非公司转配的个人移动存储介质保存商业秘密信息，并违规接入互联网，而直接造成信息外泄事件。

3.2 案例二

上海世博会供电敏感信息泄露事件。（来源于：《国网公司信息安全通报（2010年第2期）》）

事件经过：2010年春节前夕，国网公司接国家安全部所属中国信息安全测评中心通报，发现涉及上海世博会的世博园区供电方案、保障方案、场馆变电站建筑结构图、电气主接线图以及相关敏感资料和信息等泄露。经查，此次信息安全事件是由于信息外网邮箱处理敏感资料所致，涉及上海公司生技、营销、世博办等有关管理和技术人员。

暴露出的问题：1）本次事件是上海公司少数员工信息安全意识淡薄，缺乏保护公司商业密码和重要时期安全保电方案的意识，违背“不上网、上网不”的纪律和公司“严禁在信息外网和互联网上处理、存储涉及企业秘密和工作信息”的要求，在信息外网邮箱存储敏感资料，且通过信息外网邮箱和社会共用邮箱向互联网发送邮件而造成的信息泄密事件。2）上海公司部分信息外网邮件用户采用初始弱口令，未执行《国家电网公司信息系统口令管理暂行规定》中口令强度要求与定期更换的规定，未采取有效措施修改弱口令。相关技术督查队伍未及时发现隐患并督促相应单位和人员采取防范措施，是该事件发送的又一原因。

3.3 案例分析

以上两件发生在国网公司系统内的信息安全事件案例，在暴露出的问题分析中首要的都提到了：“员工信息安全意识淡薄”，可见引起信息安全事件的首要原因都是安全意识问题。

4 各层面人员应具备的信息安全意识

技术人员、一般管理人、普通员工、企业领导四类人应具有的以下方面的信息安全意识。

4.1 技术人员要有主动出击、提前防范的意识

专业技术人员首先要提升自身的信息安全防范意识，不能只像普通员工一样，只考虑自己不发生信息安全事件就行，技术人员要有更强的责任心，主动承担起企业信息安全防护工作，不要只是被动的接收领导或上级单位分配的任务，要主动对信息系统及基础设施进行隐患排查、查缺补漏，要主动承担起宣传、教育普通员工的职责，普及信息安全知识，提升企业全员信息安全意识，为企业信息安全提前做好防范工作。

4.2 管理人员要有及时补救、亡羊补牢的意识

当发生信息安全事件时，管理人员首先应该做的是及时补救事件造成的危害，将信息安全事件的损失和危害降低到最小。其次应当客观分析事件发生的原因，是人为的错误要及时纠正，是系统的漏洞要及时封堵，是设备的缺陷要及时消缺，是别人的责任要及时教育，不要推卸责任、置之不理，要谨记亡羊补牢，为时不晚。

4.3 普通员工要有不越雷池、不触红线的意识

普通员工虽然不能掌握信息安全技术，但必须有较强的信息安全意识，要将信息安全与生产安全同样看待，要牢记公司在信息安全方面的规定和要求，密码一定要用强的，一机一定不能两用，信息一定不能上网，上网信息一定不能，不要对触犯信息安全红线抱有侥幸心理，不要越入信息安全的雷池半步。

4.4 企业领导要有关心信息、重视安全的意识

企业领导对信息安全的重视程度，是决定企业信息安全状况的主要因素。高层领导重视，中层领导必重视；中层领导重视，员工意识必提升。技术人员信息安全意识的提升在于企业领导的引导，普通员工信息安全意识的提升在于企业领导严明的制度和考核的力度。要想让技术人员有主动出击、提前防范，及时补救、亡羊补牢的意识，企业领导就必须关心信息专业、重视信息安全，为技术人员提供良好的发展空间。要想让普通员工要有不越雷池、不触红线的意识，企业领导就要有不敢让其越雷池、触红线的手段。

5 提升信息安全意识的方法及措施

1）制作信息安全意识手册、信息安全意识动画短片、信息安全画册、信息安全意识鼠标垫、信息安全意识海报、展板等信息安全意识产品。持之以恒地开展信息安全意识培训工作。通过这些产品，把信息安全意识的宣贯渗透到员工的生活中去，打造全方位、立体化的信息安全意识宣贯方式。

2）开展形式多样的信息安全知识竞赛活动，例如开展信息安全网上答题活动、组织现场知识竞赛活动，通过活跃的竞赛气氛，激发员工学习信息安全知识的热情，提升员工信息安全意识。

3）企业领导要高度重视信息安全，加大对信息安全事件的考核力度。

参考文献

[1]北京谷安天下科技有限公司，2011年度中国企业员工信息安全意识现状调研报告[M].

[2]国网公司信息安全通报[M].2010，1.

[3]国网公司信息安全通报[M].2010，2期.

作者简介

周龙（1981-），男，甘肃靖远人，大学本科，工程师，从事信息通信管理工作。