在今年初的RSA2011大会上,不少信息安全专家不约而同地提出了一个引人关注的问题:众多缺乏安全意识的员工,正在成为黑客突破企业安全防护时,最大也最难修补的漏洞。近期,一份《2010年中国企业员工信息安全意识调查报告》的问世,更让我们看到,那些由最先进的信息安全设备组成的铜墙铁壁很可能不堪一击,因为,企业信息安全的真正短板就在于——“人”。
漏洞频现 企业员工安全意识堪忧
众多的信息安全事故,早已经把信息安全防护的焦点指向了企业内部的员工,实际上,信息安全保障的第一道防线就是企业人员的信息安全意识。但现实情况是,为企业带来无法挽回的经济损失的,恰恰是由于企业员工信息安全意识薄弱导致的信息安全事件。
从这次由北京谷安天下科技有限公司发布的《2010企业员工信息安全意识调查报告》中我们可以看到,很多看起来并不起眼的问题,却隐藏着巨大的安全隐患。
例如,很多员工工作胸卡保管、物品保管存在疏忽;对于出差时物理环境安全、工作区域的陌生访客等较为忽视;个人信息经常会在不经意间在网上发布,个人密码保护也没有定期的更换;此外,像对数据备份、敏感数据、工作资料的保护;对不明邮件、熟悉发件人发的链接和动画的处理方式;电脑设置屏保和密码以及系统升级等都存在着或大或小的漏洞。
由于受访者普遍信息安全意识的薄弱,平时的办公与生活中较多错误的信息安全操作,导致超过半数(58.8%)的受访者遇到过1、2次或者经常遇到恶意插件和病毒的攻击,并有所损失。
调查结果还显示,在受访者信息安全意识普遍薄弱的情况下,而提高信息安全意识的培训和宣贯等工作却做的很少。接受定期的信息安全培训受访者仅占15.8%。
同时,受访者在信息安全隐患的认知和有效保护信息安全面临的最大障碍的认知方面,42.8%的受访者认为所有的安全隐患中,个人信息安全意识不足是最大的安全隐患,然后依次是没有安全制度或制度未落实、投入或人员不足或缺乏信息安全培训、安全产品功能不足和其他。而对于目前有效保护信息安全面临的最大的障碍,受访者认为最大的障碍是普遍缺乏信息安全意识,其他依次是管理水平落后、技术不过关、法律不健全、信息安全人才不够和其他障碍。
应对风险 先建“人力防火墙”
作为一家一直致力于国内IT风险管理咨询的企业,北京谷安天下科技有限公司这次的调查活动以问卷调查和网络在线调查为基本形式,问卷题目范围涉及当前中国企业员工信息安全意识认知及相关应用情况。希望统计结果能够为中国各企业提供详实可靠的参考数据,并通过对调查结果的推广,增强企业员工对信息安全意识的重视,提高企业员工信息安全意识水平。
调查问卷题目设计围绕企业员工个人及企业物品保护意识、物理环境安全意识、个人信息与密码的保护意识、数据安全意识、社会工程意识、终端安全意识、上网安全意识、信息安全教育等涉及个人信息安全意识的几大主要主题展开。
通过对本次调查有效问卷的分析,显示中国企业员工普遍缺乏信息安全意识。要实现企业信息安全,必须围绕着“人”这个安全主体,关心人的行为安全,保障人的利益,真正做到“以人为本”才是关键。而实现“以人为本”的信息安全管理,第一步就必须提高员工的信息安全意识水平。
企业员工信息安全意识的培养是一个漫长而艰难的过程,必须结合企业的文化和具体情况和要求,辅以生动、形象、简洁的方式进行,传统的教科书的方式是不能达到设想的培训目标的。可以采用信息安全海报、动画视频、屏幕保护、安全手册、培训课程等多种方式来不断强化员工安全意识,建立健全适用的信息安全管理规章制度和操作流程并严格落实来不断规范员工行为。只有从根本上解决信息安全管理中人的问题,打造好企业坚实的“人力防火墙”,才能最终保证企业的信息安全。
附:
企业员工安全意识调查20大显著问题:
1、67.9%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和所抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为,仅有32.1%的受访者采用锁抽屉并随身携带钥匙的抽屉物品保管安全行为。
2、拥有胸卡的受访者中,接近半数的人曾经外借过自己的胸卡。
3、在去陌生环境出差的情况下,仅有38.9%的受访者会去主动了解自己工作或居住场所的紧急通道位置或楼层结构图,61.1%的受访者都选择不会主动了解。
4、调查结果显示,仅有30.7%的受访者选择了会主动询问到自己办公区来的陌生访客;52.1%的受访者选择在看情况,不忙的时候询问,忙的时候就不问;17.2%的受访者选择从来不问。
5、95.3%的受访者曾经将自己的个人信息发布在网上;公布最多的是姓名、性别、年龄等个人基本信息,其次是网络联系方式、电话号码、证件号码、联系地址、照片和工作信息。
6、针对日常办公的应用,仅有14.5%的受访者设置的密码都不一样,还有14.8%的人所有密码完全一样。
7、对于银行卡账户、邮箱、QQ等涉及个人信息安全的服务的密码设置,43%的受访者选择的是大部分相同或相似,少部分相同或相似的占24.8%,都不一样的占25.4%,完全一样的占6.8%。
8、58.6%的受访者半年以上更换一次密码,或者从不更换密码。
9、所有受访者中,仅有26.4%的人会定期给电脑做备份,不做备份和不定期做备份的比例共为73.6%。
10、接近半数的受访者对敏感数据没有进行安全的分类和加密操作。
11、如果遇到与工作无关但关系要好的同事要工作资料,94.4%的受访者会根据情况的不同,最终还是选择给同事。
12、面对内容吸引人的不明邮件,42.5%的受访者会看邮件内容。
13、所有受访者中,当收到熟悉发件人发送的自动播放flash动画或邮件内部嵌入的网页时,69%的人会看动画、下载动画、浏览网页或点击网页链接。
14、仅有38.0%的受访者为自己的电脑设置了屏保和密码。
15、仅有36.4%的受访者知道如何做且定期做升级。
16、 受访者中有76.8%的人使用网银,而使用网银的受访者中,有39.7%的受访者在使用网银时不使用U盾。
17、76.8%的受访者会平时常下载软件,其中有13.7%的人会到任意的网站上下载好玩的软件,还有26.9%的人会直接打开或使用的下载软件。
18、47.1%的受访者会点击网页上吸引自己的链接。
19、确定电脑从来没遇到过恶意插件、病毒的攻击的人数比例仅占19.6%,58.8%的受访者遇到过1、2次或者经常遇到并遭受损失。
20、仅有15.8%的受访者会接受定期的信息安全培训,25.2%的受访者是在入职时接受过信息安全培训,而59.0%的受访者从来没有接受过或接受不定期的信息安全培训。
用户评论