『壹』 如何提高員工信息安全意識
1 信息安全意識的重要性
信息作為一種資產,是企業或組織進行正常商務運作和管理不可或缺的資源,也是企業財產和個人隱私等的重要載體。與此同時,信息安全的重要性也越加凸顯:從最高層次來講,信息安全關繫到國家的安全;對組織機構來說,信息安全關繫到正常運作和持續發展;就個人而言,信息安全是保護個人隱私和財產的必然要求。無論是個人、企業還是國家,保持關鍵的信息資產的安全性都是非常重要的。
據統計,世界上每分鍾就有2個企業因為信息安全問題倒閉,而在所有的信息安全事故中,只有20%-30%是因為黑客入侵或其他外部原因造成的,70%-80%是由於內部員工的疏忽或有意泄露造成的;同時78%的企業數據泄露是來自內部員工的不規范操作。
因此企業員工信息安全意識的提升對企業整體信息安全起著至關重要的作用。
2 企業員工信息安全意識現狀
根據《2011年度中國企業員工信息安全意識現狀調研報告》中,企業員工在信息安全意識方面存在的20大問題如下:
1)有56.8%的受訪者採取的是不鎖抽屜、不鎖抽屜鑰匙放在抽屜里和鎖抽屜但鑰匙放在桌上或筆筒等地方這些不安全的抽屜物品保管行為。
2)擁有胸卡的受訪者中,接近半數的人曾經外借過胸卡。與2010年的調查數據相比,經常外借胸卡的比例有所上升。
3)在去陌生環境出差時,51.4%的受訪者不會主動了解自己工作或居住場所的緊急通道位置或樓層結構圖,48.6%的受訪者會去主動了解。主動了解的比例比2010年的調查結果略有上升,但情況依然不算樂觀。
4)36.6%的受訪者會在辦公桌面放密級資料。
5)52.9%的受訪者表示自己所在企業的列印機附近有合同、通知等重要資料不及時回收,可以讓人任意看。
6)37.4%的人選擇會直接或者詢問下就讓尾隨的外部人員直接進入辦公場所。
7)選擇數字+字母+符號+大小寫這種相對最為完全的口令/密碼設置規則的人所佔比例僅為25.4%。
8)僅有30%受訪者對敏感數據會進行分類和加密。
9)65%的受訪者電腦中數據不做備份或者不定期做備份。
10)接近50%的受訪者表示所在單位不會馬上對密級資料進行粉碎處理。
11)接近50%的受訪者選擇不安全的設置電腦屏保、密碼方式。
12)有33%的受訪者會在電腦桌面存放密級資料。
13)39.2%的受訪者暫時離開電腦不會鎖屏。
14)當收到熟悉發件人發送的自動播放flash動畫或郵件內部嵌入的網頁時,59.2%的人會看動畫、下載動畫、瀏覽網頁或點擊網頁鏈接。
15)1%的受訪者會點擊網頁上吸引自己的鏈接。
16)4%的受訪者遇到過惡意插件、病毒攻擊,還有19.2%的受訪者不確定自己是否遇到過。
17) 64.2%的受訪者不知道公司的信息安全策略的相關規定。
18)52.7%的受訪者遇到信息安全事件,不知道如何處理、自己處理或者找同事幫忙處理。
19)46.7%的受訪者不知道自己接觸信息的密級程度。
20)49.4%的受訪者認為領導的信息安全意識一般、很差或者還不如自己。
3 信息安全案例分析
3.1 案例一
中國電力財務有限公司商業秘密泄露事件。(來源於:《國網公司信息安全通報》(2010年第1期))
事件經過:2009年12月初,國家電監會通報中國電力財務有限公司某員工使用的計算機中涉及公司商業秘密文件資料泄露。經查,該員工將20餘份資料(其中包括公司商業秘密文件)存入非公司轉配的個人移動存儲介質並帶回家中,利用連接互聯網的計算機對該移動存儲介質操作,由於其家中計算機存在空口令且未安裝安全補丁,感染了特洛伊木馬病毒,使存於移動存儲介質的文件信息泄密。
暴露的問題:該事件暴露出雖然公司三令五申,嚴格「涉密不上網、上網不涉密」的紀律,但是部分員工缺乏保護商業秘密與工作資料的意識,違反公司「嚴禁在連接互聯網的計算機和移動存儲介質上處理、存儲涉及企業秘密信息」的要求,利用非公司轉配的個人移動存儲介質保存商業秘密信息,並違規接入互聯網,而直接造成信息外泄事件。
3.2 案例二
上海世博會供電敏感信息泄露事件。(來源於:《國網公司信息安全通報(2010年第2期)》)
事件經過:2010年春節前夕,國網公司接國家安全部所屬中國信息安全測評中心通報,發現涉及上海世博會的世博園區供電方案、保障方案、場館變電站建築結構圖、電氣主接線圖以及相關敏感資料和信息等泄露。經查,此次信息安全事件是由於信息外網郵箱處理敏感資料所致,涉及上海公司生技、營銷、世博辦等有關管理和技術人員。
暴露出的問題:1)本次事件是上海公司少數員工信息安全意識淡薄,缺乏保護公司商業密碼和重要時期安全保電方案的意識,違背「涉密不上網、上網不涉密」的紀律和公司「嚴禁在信息外網和互聯網上處理、存儲涉及企業秘密和工作信息」的要求,在信息外網郵箱存儲敏感資料,且通過信息外網郵箱和社會共用郵箱向互聯網發送郵件而造成的信息泄密事件。2)上海公司部分信息外網郵件用戶採用初始弱口令,未執行《國家電網公司信息系統口令管理暫行規定》中口令強度要求與定期更換的規定,未採取有效措施修改弱口令。相關技術督查隊伍未及時發現隱患並督促相應單位和人員採取防範措施,是該事件發送的又一原因。
3.3 案例分析
以上兩件發生在國網公司系統內的信息安全事件案例,在暴露出的問題分析中首要的都提到了:「員工信息安全意識淡薄」,可見引起信息安全事件的首要原因都是安全意識問題。
4 各層面人員應具備的信息安全意識
技術人員、一般管理人、普通員工、企業領導四類人應具有的以下方面的信息安全意識。
4.1 技術人員要有主動出擊、提前防範的意識
專業技術人員首先要提升自身的信息安全防範意識,不能只像普通員工一樣,只考慮自己不發生信息安全事件就行,技術人員要有更強的責任心,主動承擔起企業信息安全防護工作,不要只是被動的接收領導或上級單位分配的任務,要主動對信息系統及基礎設施進行隱患排查、查缺補漏,要主動承擔起宣傳、教育普通員工的職責,普及信息安全知識,提升企業全員信息安全意識,為企業信息安全提前做好防範工作。
4.2 管理人員要有及時補救、亡羊補牢的意識
當發生信息安全事件時,管理人員首先應該做的是及時補救事件造成的危害,將信息安全事件的損失和危害降低到最小。其次應當客觀分析事件發生的原因,是人為的錯誤要及時糾正,是系統的漏洞要及時封堵,是設備的缺陷要及時消缺,是別人的責任要及時教育,不要推卸責任、置之不理,要謹記亡羊補牢,為時不晚。
4.3 普通員工要有不越雷池、不觸紅線的意識
普通員工雖然不能掌握信息安全技術,但必須有較強的信息安全意識,要將信息安全與生產安全同樣看待,要牢記公司在信息安全方面的規定和要求,密碼一定要用強的,一機一定不能兩用,涉密信息一定不能上網,上網信息一定不能涉密,不要對觸犯信息安全紅線抱有僥幸心理,不要越入信息安全的雷池半步。
4.4 企業領導要有關心信息、重視安全的意識
企業領導對信息安全的重視程度,是決定企業信息安全狀況的主要因素。高層領導重視,中層領導必重視;中層領導重視,員工意識必提升。技術人員信息安全意識的提升在於企業領導的引導,普通員工信息安全意識的提升在於企業領導嚴明的制度和考核的力度。要想讓技術人員有主動出擊、提前防範,及時補救、亡羊補牢的意識,企業領導就必須關心信息專業、重視信息安全,為技術人員提供良好的發展空間。要想讓普通員工要有不越雷池、不觸紅線的意識,企業領導就要有不敢讓其越雷池、觸紅線的手段。
5 提升信息安全意識的方法及措施
1)製作信息安全意識手冊、信息安全意識動畫短片、信息安全畫冊、信息安全意識滑鼠墊、信息安全意識海報、展板等信息安全意識產品。持之以恆地開展信息安全意識培訓工作。通過這些產品,把信息安全意識的宣貫滲透到員工的生活中去,打造全方位、立體化的信息安全意識宣貫方式。
2)開展形式多樣的信息安全知識競賽活動,例如開展信息安全網上答題活動、組織現場知識競賽活動,通過活躍的競賽氣氛,激發員工學習信息安全知識的熱情,提升員工信息安全意識。
3)企業領導要高度重視信息安全,加大對信息安全事件的考核力度。
『貳』 員工的信息安全意識為什麼如此重要有必要給到員工做安全意識培訓嗎
公司員工的信息 安全意識不僅僅是針對員工自己的信息的,還涉及到公版司的一些信息權,比如產品資料之類的,而這些東西很多都是公司的機密,所如果泄密了會對公司產生很大影響的,所以員工的信息安全培訓還是很必要的。
『叄』 為什麼要培養人們的信息安全意識
無論多麼精良的設備,多麼嚴謹的系統與體系。如果員工的信息安全意識不足,內在他們工作形成習慣之後,認容為無關緊要的東西,無意「泄露」出去之後,將會給企業帶來不可估量的損失。
安全技術和產品無法保護每一個人遠離每一種可能存在的安全風險。
通過提升人們的信息安全意識,讓人們建立起自我保護的意識,是面對安全威脅的最佳方式。
在調查中受訪者認為在所有安全隱患中,信息安全意識缺乏是最大的安全隱患,佔到47.6%的比例,提高人們信息安全意識的重要性由此可見。
所以必須在整個社會或組織內樹立信息安全意識,對人們進行信息安全意識方面的教育,才能夠整體提高社會和組織的信息安全水平。
『肆』 企業員工信息安全意識培訓問題如何解決
傳統的信息安全意識培訓費用高,人員難以組織。如果沒有選對培訓機構,效版果更是權大打折扣。建議信息安全意識培訓問題應該多元化進行,採取風趣幽默的培訓方式,潛移默化的影響員工的行為。建議去看看谷安天下的網站去看看,他們有專門的信息安全意識網站,在業界也是第一家來研究員工信息安全意識培養問題的專業機構。做的挺好的,案例也很豐富,強烈建議你去看看。
『伍』 有什麼信息安全意識學習系統課程是比較專業的
在網路信息技術高速發展的今天,信息安全已變得至關重要。但目前在我國掌握信息安全技術的人才奇缺,因此,教育部最近在高校招生目錄之外新設立了「信息安全專業」。北京郵電大學是被國家批準的首批招收本專業本科生的院校之一,承辦本專業的信息工程學院在信息理論與技術方面有雄厚實力,所屬的「北京郵電大學信息安全中心」在網路信息安全與現代密碼學研究方面的成果豐碩。本專業的目標是培養系統掌握信息安全的基礎理論與方法,具備系統工程、計算機技術和網路技術等方面的專業知識和綜合能力的高級工程技術人才。本專業的主幹學科包括: 網路信息安全技術、計算機科學與技術、信息與通信工程、電子科學與技術。 本專業除了學習數學、大學物理、英語等公共基礎課外,主要課程包括: 離散數學、信號與系統、通信原理、軟體工程、編碼理論、信息安全概論、資訊理論、數據結構、操作系統、微機原理與介面技術、通信網理論基礎、計算機網路基礎、信息系統工程、現代密碼學、網路安全、信息偽裝、入侵檢測、計算機病毒及其防治。 本專業重視實踐能力的培養,安排有計算機上機、課程設計、大型軟體設計、畢業設計等多種實踐環節,畢業設計的時間為一年。 本專業修業年限四年,學生在修完教學計劃所規定的全部課程並考試合格後,將被授予工學學士學位。 畢業生將主要服務於信息產業以及其他國民經濟管理部門從事各類信息安全系統、計算機安全系統的科研、設計、開發、教學、產業、管理等工作。此外,北郵信息安全中心擁有全國為數不多的密碼學碩士點和博士點,這也可為本科生提供繼續深造的機會。 公安局信息監查 私人 網站安全 病毒殺毒公司 01級信息安全的畢業生很少,好多都轉行了。02級的就業信息還沒統計出來,不過我從一些老師那裡得出的反饋知道,今年有些同學是進了瑞星這樣的專業搞信息安全的公司。 具體的就業方向也說不清楚,因為信息安全是一個朝陽行業,可發展的空間還是很大。 那天介紹專業時有些話我當著領導不好說,其實信息安全的就業是三個專業最好的,但考研則是最難的。另外信息安全的編程量還是比較大的,網路工程的編程量最小。 你說的記仇是怎麼回事,我不記得你啊。 軟體和網路都是傳統專業,就業面還是比較廣的。不過網路的課業比較輕松,是三個專業里最輕松的了。最累的不是大家想像中編程最多的軟體,而是信息,因為信息的編程難度最大。 我說信息的就業最好是根據去年、今年的反饋得出來的結論,不是自吹自擂。但是信息專業考研難也是事實,畢竟這個專業的碩士點很少,雲南學生的數學又不太好。 今年就有同學進了瑞星,還是轉專業的。(雖然說起來有點不夠厚道,但是一般轉專業的同學水平是比不上從高考直接讀上來的同學的。他們都能進,你們還不行嗎) 除了這些安全公司,應該說一般的企業還會需要配備安全人員的。但這一點是有前瞻性的預測,也就是這些企業現在沒意識到需要配備,但是過幾年隨著網路的發展,就很有可能意識到了。 信息安全屬於朝陽專業,100%的告訴你在哪裡就業是做不到的。但是話又說回來,只要自己有水平,到時候自然不愁工作,關鍵還是看自己。 ·CISSP CISSP是代表信息安全從業人員最高水平的資質證書,在全球業界具有極高的權威性和廣泛的認可度。目前,國內僅有150名CISSP持證者,物以稀為貴,因此,CISSP證書的含金量非常高。 推薦指數:★★★★★ ·CIW CIW認證注重考生對網路安全的全面了解及實際工作能力的提高,因此,CIW持證者特別受企業的青睞,身價不斷看漲,有關資料顯示,獲得CIW證書可使認證者的薪水平均增長12%。此外,CIW是網路安全業界公認的通用型、入門級證書。 推薦指數:★★★★ ·CISP 雖然CISP是本土證書,但屬於國家級行業准入證書,是從事信息安全工作人員必備的「專業身份證」,因此,對持證者的職業發展大有幫助。 推薦指數:★★★★ ·CCSE 由於Check Point公司在全球網路安全領域的優勢地位,使CCSE證書在業界具有一定的號召力,但由於是廠商認證,在通用性上稍有不足。 推薦指數:★★★ ·NCSE NCSE認證共設四個級別,適用面較廣,而且有助於考生穩扎穩打,逐步提升專業能力。但同樣是本土證書,NCSE在權威性上不如CISP。 推薦指數:★★★ 哪些證書門檻較高 ·CISSP 在信息安全認證考試中,CISSP的考試難度最大。CISSP採用全英文試題,需要考生具有扎實的英語基礎和豐富的專業英語詞彙,建議多上國內外著名的安全論壇看看。此外,考試時間較長,為6個小時,對考生的體力和耐力是一大考驗。 難度評級:★★★★★ ·CIW CIW的考試難度和思科考試差不多,難度偏高,而且都偏重實踐經驗。對考生來說,要想通過考試,多做實驗非常重要。 難度評級:★★★★ ·CISP CISP考試注重實踐性,對應試型考生來說,難度較大。備考CISP,參加培訓非常必要,對考生了解專業術語和理論知識很有必要幫助,此外還可看一些課外讀物。 難度評級:★★★ ·CCSE 總體來看,CCSE考試不太難,但需要考生熟悉Check Point的操作系統,並需要有一定的實踐經驗。 難度評級:★★★ ·NCSE NCSE考試的難度不大,但考試中安排了操作環節,對動手能力不足的考生來說,有一定難度,所以平時應注意多進行上機練習。 難度評級:★★ 特別提醒 信息安全職業行情看漲,導致專業認證需求水漲船高,越來越多的人想通過認證躋身熱門人才行列。對此,上海信息中心信息安全負責人喬梁提醒說,參加信息安全認證,需注意以下兩點: 一、入門門檻較高。信息安全認證對報考者的學歷、工作經驗、技術能力等均有較高要求,甚至需要一定的管理經驗。此外,一些國外認證採用全英文試卷,且涉及諸多專業術語。建議國內考生量力而為。 二、需要不斷學習。信息安全工作對從業人員的能力和知識更新要求極高,因此,考一張證書,並非就能一勞永逸,而是需要不斷學習和充實自己,及時把握信息安全的發展動態,才能成為真正的專業人士。 「十大熱門認證」 信息化安全占據三席 2004北美地區十大最熱門認證排行榜,僅關於信息化安全的認證就占據了其中三席:第一名:微軟MCSE:Security,第三名:美國計算機協會Security+認證,第七名:CISSP(Certified Information System Security Professional,信息系統安全認證專業人員)。可見,在北美地區安全類認證受到追捧。 第一名:MCSE:Security 2003年6月微軟發布該項認證時,大家都很看好這個由企業發布的專門的安全認證。它屬於升級考試,只需要在MCSE課程中多選2門安全升級課程,就可以得到MCSE:security。通過此認證,可以掌握微軟平台的的系統與安全知識,得到MCSE的title,開始網路安全的職業生涯。基於每年眾多的MCSE認證應考者,2004年,MCSE:Security的大熱想必是肯定的。 不過也有人覺得這項認證的含金量不高,對於應考者的資質要求也太低,與其他安全認證相比,企業在選擇安全人員的時候,很少會選擇只有一年經驗的候選人即便是擁有MCSE: Security的title。 不過對於網路安全知識的渴望,仍舊激發了大量網友的熱情,相比CISSP,MCSE: Security可以給你更多的實際的基礎知識。 第三名:美國計算機協會Security+認證 Security+是由全美計算機協會CompTIA頒發的證書,類似國內信息產業部的NCSE,也正是由於這個原因,所以在美國很多人都選擇這項帶有官方標準的安全認證,但是Security+的知識涵蓋面很廣,不是普通的入門考試,需要有一定的網路知識,CCNA或者MCSE的基礎准備。 第七名:CISSP 安全認證持續走紅,CISSP作為權威的安全認證,入選這個排行實至名歸。由於是非廠商跨平台的第三方認證,所以使得CISSP在企業市場越加受到歡迎。當然比起其他安全認證CISSP的要求也是最高的,一定程度上影響了人氣排名,否則這個認證的熱門程度也至少前五。