『壹』 如何提高员工信息安全意识
1 信息安全意识的重要性
信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体。与此同时,信息安全的重要性也越加凸显:从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到正常运作和持续发展;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、企业还是国家,保持关键的信息资产的安全性都是非常重要的。
据统计,世界上每分钟就有2个企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%-30%是因为黑客入侵或其他外部原因造成的,70%-80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。
因此企业员工信息安全意识的提升对企业整体信息安全起着至关重要的作用。
2 企业员工信息安全意识现状
根据《2011年度中国企业员工信息安全意识现状调研报告》中,企业员工在信息安全意识方面存在的20大问题如下:
1)有56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。
2)拥有胸卡的受访者中,接近半数的人曾经外借过胸卡。与2010年的调查数据相比,经常外借胸卡的比例有所上升。
3)在去陌生环境出差时,51.4%的受访者不会主动了解自己工作或居住场所的紧急通道位置或楼层结构图,48.6%的受访者会去主动了解。主动了解的比例比2010年的调查结果略有上升,但情况依然不算乐观。
4)36.6%的受访者会在办公桌面放密级资料。
5)52.9%的受访者表示自己所在企业的打印机附近有合同、通知等重要资料不及时回收,可以让人任意看。
6)37.4%的人选择会直接或者询问下就让尾随的外部人员直接进入办公场所。
7)选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%。
8)仅有30%受访者对敏感数据会进行分类和加密。
9)65%的受访者电脑中数据不做备份或者不定期做备份。
10)接近50%的受访者表示所在单位不会马上对密级资料进行粉碎处理。
11)接近50%的受访者选择不安全的设置电脑屏保、密码方式。
12)有33%的受访者会在电脑桌面存放密级资料。
13)39.2%的受访者暂时离开电脑不会锁屏。
14)当收到熟悉发件人发送的自动播放flash动画或邮件内部嵌入的网页时,59.2%的人会看动画、下载动画、浏览网页或点击网页链接。
15)1%的受访者会点击网页上吸引自己的链接。
16)4%的受访者遇到过恶意插件、病毒攻击,还有19.2%的受访者不确定自己是否遇到过。
17) 64.2%的受访者不知道公司的信息安全策略的相关规定。
18)52.7%的受访者遇到信息安全事件,不知道如何处理、自己处理或者找同事帮忙处理。
19)46.7%的受访者不知道自己接触信息的密级程度。
20)49.4%的受访者认为领导的信息安全意识一般、很差或者还不如自己。
3 信息安全案例分析
3.1 案例一
中国电力财务有限公司商业秘密泄露事件。(来源于:《国网公司信息安全通报》(2010年第1期))
事件经过:2009年12月初,国家电监会通报中国电力财务有限公司某员工使用的计算机中涉及公司商业秘密文件资料泄露。经查,该员工将20余份资料(其中包括公司商业秘密文件)存入非公司转配的个人移动存储介质并带回家中,利用连接互联网的计算机对该移动存储介质操作,由于其家中计算机存在空口令且未安装安全补丁,感染了特洛伊木马病毒,使存于移动存储介质的文件信息泄密。
暴露的问题:该事件暴露出虽然公司三令五申,严格“涉密不上网、上网不涉密”的纪律,但是部分员工缺乏保护商业秘密与工作资料的意识,违反公司“严禁在连接互联网的计算机和移动存储介质上处理、存储涉及企业秘密信息”的要求,利用非公司转配的个人移动存储介质保存商业秘密信息,并违规接入互联网,而直接造成信息外泄事件。
3.2 案例二
上海世博会供电敏感信息泄露事件。(来源于:《国网公司信息安全通报(2010年第2期)》)
事件经过:2010年春节前夕,国网公司接国家安全部所属中国信息安全测评中心通报,发现涉及上海世博会的世博园区供电方案、保障方案、场馆变电站建筑结构图、电气主接线图以及相关敏感资料和信息等泄露。经查,此次信息安全事件是由于信息外网邮箱处理敏感资料所致,涉及上海公司生技、营销、世博办等有关管理和技术人员。
暴露出的问题:1)本次事件是上海公司少数员工信息安全意识淡薄,缺乏保护公司商业密码和重要时期安全保电方案的意识,违背“涉密不上网、上网不涉密”的纪律和公司“严禁在信息外网和互联网上处理、存储涉及企业秘密和工作信息”的要求,在信息外网邮箱存储敏感资料,且通过信息外网邮箱和社会共用邮箱向互联网发送邮件而造成的信息泄密事件。2)上海公司部分信息外网邮件用户采用初始弱口令,未执行《国家电网公司信息系统口令管理暂行规定》中口令强度要求与定期更换的规定,未采取有效措施修改弱口令。相关技术督查队伍未及时发现隐患并督促相应单位和人员采取防范措施,是该事件发送的又一原因。
3.3 案例分析
以上两件发生在国网公司系统内的信息安全事件案例,在暴露出的问题分析中首要的都提到了:“员工信息安全意识淡薄”,可见引起信息安全事件的首要原因都是安全意识问题。
4 各层面人员应具备的信息安全意识
技术人员、一般管理人、普通员工、企业领导四类人应具有的以下方面的信息安全意识。
4.1 技术人员要有主动出击、提前防范的意识
专业技术人员首先要提升自身的信息安全防范意识,不能只像普通员工一样,只考虑自己不发生信息安全事件就行,技术人员要有更强的责任心,主动承担起企业信息安全防护工作,不要只是被动的接收领导或上级单位分配的任务,要主动对信息系统及基础设施进行隐患排查、查缺补漏,要主动承担起宣传、教育普通员工的职责,普及信息安全知识,提升企业全员信息安全意识,为企业信息安全提前做好防范工作。
4.2 管理人员要有及时补救、亡羊补牢的意识
当发生信息安全事件时,管理人员首先应该做的是及时补救事件造成的危害,将信息安全事件的损失和危害降低到最小。其次应当客观分析事件发生的原因,是人为的错误要及时纠正,是系统的漏洞要及时封堵,是设备的缺陷要及时消缺,是别人的责任要及时教育,不要推卸责任、置之不理,要谨记亡羊补牢,为时不晚。
4.3 普通员工要有不越雷池、不触红线的意识
普通员工虽然不能掌握信息安全技术,但必须有较强的信息安全意识,要将信息安全与生产安全同样看待,要牢记公司在信息安全方面的规定和要求,密码一定要用强的,一机一定不能两用,涉密信息一定不能上网,上网信息一定不能涉密,不要对触犯信息安全红线抱有侥幸心理,不要越入信息安全的雷池半步。
4.4 企业领导要有关心信息、重视安全的意识
企业领导对信息安全的重视程度,是决定企业信息安全状况的主要因素。高层领导重视,中层领导必重视;中层领导重视,员工意识必提升。技术人员信息安全意识的提升在于企业领导的引导,普通员工信息安全意识的提升在于企业领导严明的制度和考核的力度。要想让技术人员有主动出击、提前防范,及时补救、亡羊补牢的意识,企业领导就必须关心信息专业、重视信息安全,为技术人员提供良好的发展空间。要想让普通员工要有不越雷池、不触红线的意识,企业领导就要有不敢让其越雷池、触红线的手段。
5 提升信息安全意识的方法及措施
1)制作信息安全意识手册、信息安全意识动画短片、信息安全画册、信息安全意识鼠标垫、信息安全意识海报、展板等信息安全意识产品。持之以恒地开展信息安全意识培训工作。通过这些产品,把信息安全意识的宣贯渗透到员工的生活中去,打造全方位、立体化的信息安全意识宣贯方式。
2)开展形式多样的信息安全知识竞赛活动,例如开展信息安全网上答题活动、组织现场知识竞赛活动,通过活跃的竞赛气氛,激发员工学习信息安全知识的热情,提升员工信息安全意识。
3)企业领导要高度重视信息安全,加大对信息安全事件的考核力度。
『贰』 员工的信息安全意识为什么如此重要有必要给到员工做安全意识培训吗
公司员工的信息 安全意识不仅仅是针对员工自己的信息的,还涉及到公版司的一些信息权,比如产品资料之类的,而这些东西很多都是公司的机密,所如果泄密了会对公司产生很大影响的,所以员工的信息安全培训还是很必要的。
『叁』 为什么要培养人们的信息安全意识
无论多么精良的设备,多么严谨的系统与体系。如果员工的信息安全意识不足,内在他们工作形成习惯之后,认容为无关紧要的东西,无意“泄露”出去之后,将会给企业带来不可估量的损失。
安全技术和产品无法保护每一个人远离每一种可能存在的安全风险。
通过提升人们的信息安全意识,让人们建立起自我保护的意识,是面对安全威胁的最佳方式。
在调查中受访者认为在所有安全隐患中,信息安全意识缺乏是最大的安全隐患,占到47.6%的比例,提高人们信息安全意识的重要性由此可见。
所以必须在整个社会或组织内树立信息安全意识,对人们进行信息安全意识方面的教育,才能够整体提高社会和组织的信息安全水平。
『肆』 企业员工信息安全意识培训问题如何解决
传统的信息安全意识培训费用高,人员难以组织。如果没有选对培训机构,效版果更是权大打折扣。建议信息安全意识培训问题应该多元化进行,采取风趣幽默的培训方式,潜移默化的影响员工的行为。建议去看看谷安天下的网站去看看,他们有专门的信息安全意识网站,在业界也是第一家来研究员工信息安全意识培养问题的专业机构。做的挺好的,案例也很丰富,强烈建议你去看看。
『伍』 有什么信息安全意识学习系统课程是比较专业的
在网络信息技术高速发展的今天,信息安全已变得至关重要。但目前在我国掌握信息安全技术的人才奇缺,因此,教育部最近在高校招生目录之外新设立了“信息安全专业”。北京邮电大学是被国家批准的首批招收本专业本科生的院校之一,承办本专业的信息工程学院在信息理论与技术方面有雄厚实力,所属的“北京邮电大学信息安全中心”在网络信息安全与现代密码学研究方面的成果丰硕。本专业的目标是培养系统掌握信息安全的基础理论与方法,具备系统工程、计算机技术和网络技术等方面的专业知识和综合能力的高级工程技术人才。本专业的主干学科包括: 网络信息安全技术、计算机科学与技术、信息与通信工程、电子科学与技术。 本专业除了学习数学、大学物理、英语等公共基础课外,主要课程包括: 离散数学、信号与系统、通信原理、软件工程、编码理论、信息安全概论、信息论、数据结构、操作系统、微机原理与接口技术、通信网理论基础、计算机网络基础、信息系统工程、现代密码学、网络安全、信息伪装、入侵检测、计算机病毒及其防治。 本专业重视实践能力的培养,安排有计算机上机、课程设计、大型软件设计、毕业设计等多种实践环节,毕业设计的时间为一年。 本专业修业年限四年,学生在修完教学计划所规定的全部课程并考试合格后,将被授予工学学士学位。 毕业生将主要服务于信息产业以及其他国民经济管理部门从事各类信息安全系统、计算机安全系统的科研、设计、开发、教学、产业、管理等工作。此外,北邮信息安全中心拥有全国为数不多的密码学硕士点和博士点,这也可为本科生提供继续深造的机会。 公安局信息监查 私人 网站安全 病毒杀毒公司 01级信息安全的毕业生很少,好多都转行了。02级的就业信息还没统计出来,不过我从一些老师那里得出的反馈知道,今年有些同学是进了瑞星这样的专业搞信息安全的公司。 具体的就业方向也说不清楚,因为信息安全是一个朝阳行业,可发展的空间还是很大。 那天介绍专业时有些话我当着领导不好说,其实信息安全的就业是三个专业最好的,但考研则是最难的。另外信息安全的编程量还是比较大的,网络工程的编程量最小。 你说的记仇是怎么回事,我不记得你啊。 软件和网络都是传统专业,就业面还是比较广的。不过网络的课业比较轻松,是三个专业里最轻松的了。最累的不是大家想象中编程最多的软件,而是信息,因为信息的编程难度最大。 我说信息的就业最好是根据去年、今年的反馈得出来的结论,不是自吹自擂。但是信息专业考研难也是事实,毕竟这个专业的硕士点很少,云南学生的数学又不太好。 今年就有同学进了瑞星,还是转专业的。(虽然说起来有点不够厚道,但是一般转专业的同学水平是比不上从高考直接读上来的同学的。他们都能进,你们还不行吗) 除了这些安全公司,应该说一般的企业还会需要配备安全人员的。但这一点是有前瞻性的预测,也就是这些企业现在没意识到需要配备,但是过几年随着网络的发展,就很有可能意识到了。 信息安全属于朝阳专业,100%的告诉你在哪里就业是做不到的。但是话又说回来,只要自己有水平,到时候自然不愁工作,关键还是看自己。 ·CISSP CISSP是代表信息安全从业人员最高水平的资质证书,在全球业界具有极高的权威性和广泛的认可度。目前,国内仅有150名CISSP持证者,物以稀为贵,因此,CISSP证书的含金量非常高。 推荐指数:★★★★★ ·CIW CIW认证注重考生对网络安全的全面了解及实际工作能力的提高,因此,CIW持证者特别受企业的青睐,身价不断看涨,有关资料显示,获得CIW证书可使认证者的薪水平均增长12%。此外,CIW是网络安全业界公认的通用型、入门级证书。 推荐指数:★★★★ ·CISP 虽然CISP是本土证书,但属于国家级行业准入证书,是从事信息安全工作人员必备的“专业身份证”,因此,对持证者的职业发展大有帮助。 推荐指数:★★★★ ·CCSE 由于Check Point公司在全球网络安全领域的优势地位,使CCSE证书在业界具有一定的号召力,但由于是厂商认证,在通用性上稍有不足。 推荐指数:★★★ ·NCSE NCSE认证共设四个级别,适用面较广,而且有助于考生稳扎稳打,逐步提升专业能力。但同样是本土证书,NCSE在权威性上不如CISP。 推荐指数:★★★ 哪些证书门槛较高 ·CISSP 在信息安全认证考试中,CISSP的考试难度最大。CISSP采用全英文试题,需要考生具有扎实的英语基础和丰富的专业英语词汇,建议多上国内外著名的安全论坛看看。此外,考试时间较长,为6个小时,对考生的体力和耐力是一大考验。 难度评级:★★★★★ ·CIW CIW的考试难度和思科考试差不多,难度偏高,而且都偏重实践经验。对考生来说,要想通过考试,多做实验非常重要。 难度评级:★★★★ ·CISP CISP考试注重实践性,对应试型考生来说,难度较大。备考CISP,参加培训非常必要,对考生了解专业术语和理论知识很有必要帮助,此外还可看一些课外读物。 难度评级:★★★ ·CCSE 总体来看,CCSE考试不太难,但需要考生熟悉Check Point的操作系统,并需要有一定的实践经验。 难度评级:★★★ ·NCSE NCSE考试的难度不大,但考试中安排了操作环节,对动手能力不足的考生来说,有一定难度,所以平时应注意多进行上机练习。 难度评级:★★ 特别提醒 信息安全职业行情看涨,导致专业认证需求水涨船高,越来越多的人想通过认证跻身热门人才行列。对此,上海信息中心信息安全负责人乔梁提醒说,参加信息安全认证,需注意以下两点: 一、入门门槛较高。信息安全认证对报考者的学历、工作经验、技术能力等均有较高要求,甚至需要一定的管理经验。此外,一些国外认证采用全英文试卷,且涉及诸多专业术语。建议国内考生量力而为。 二、需要不断学习。信息安全工作对从业人员的能力和知识更新要求极高,因此,考一张证书,并非就能一劳永逸,而是需要不断学习和充实自己,及时把握信息安全的发展动态,才能成为真正的专业人士。 “十大热门认证” 信息化安全占据三席 2004北美地区十大最热门认证排行榜,仅关于信息化安全的认证就占据了其中三席:第一名:微软MCSE:Security,第三名:美国计算机协会Security+认证,第七名:CISSP(Certified Information System Security Professional,信息系统安全认证专业人员)。可见,在北美地区安全类认证受到追捧。 第一名:MCSE:Security 2003年6月微软发布该项认证时,大家都很看好这个由企业发布的专门的安全认证。它属于升级考试,只需要在MCSE课程中多选2门安全升级课程,就可以得到MCSE:security。通过此认证,可以掌握微软平台的的系统与安全知识,得到MCSE的title,开始网络安全的职业生涯。基于每年众多的MCSE认证应考者,2004年,MCSE:Security的大热想必是肯定的。 不过也有人觉得这项认证的含金量不高,对于应考者的资质要求也太低,与其他安全认证相比,企业在选择安全人员的时候,很少会选择只有一年经验的候选人即便是拥有MCSE: Security的title。 不过对于网络安全知识的渴望,仍旧激发了大量网友的热情,相比CISSP,MCSE: Security可以给你更多的实际的基础知识。 第三名:美国计算机协会Security+认证 Security+是由全美计算机协会CompTIA颁发的证书,类似国内信息产业部的NCSE,也正是由于这个原因,所以在美国很多人都选择这项带有官方标准的安全认证,但是Security+的知识涵盖面很广,不是普通的入门考试,需要有一定的网络知识,CCNA或者MCSE的基础准备。 第七名:CISSP 安全认证持续走红,CISSP作为权威的安全认证,入选这个排行实至名归。由于是非厂商跨平台的第三方认证,所以使得CISSP在企业市场越加受到欢迎。当然比起其他安全认证CISSP的要求也是最高的,一定程度上影响了人气排名,否则这个认证的热门程度也至少前五。