企业安全的真正短板在于“人”

　　在今年初的RSA2011大会上，不少信息安全专家不约而同地提出了一个引人关注的问题：众多缺乏安全意识的员工，正在成为黑客突破企业安全防护时，最大也最难修补的漏洞。近期，一份《2010年中国企业员工信息安全意识调查报告》的问世，更让我们看到，那些由最先进的信息安全设备组成的铜墙铁壁很可能不堪一击，因为，企业信息安全的真正短板就在于——“人”。

　　漏洞频现企业员工安全意识堪忧

　　众多的信息安全事故，早已经把信息安全防护的焦点指向了企业内部的员工，实际上，信息安全保障的第一道防线就是企业人员的信息安全意识。但现实情况是，为企业带来无法挽回的经济损失的，恰恰是由于企业员工信息安全意识薄弱导致的信息安全事件。

　　从这次由北京谷安天下科技有限公司发布的《2010企业员工信息安全意识调查报告》中我们可以看到，很多看起来并不起眼的问题，却隐藏着巨大的安全隐患。

　　例如，很多员工工作胸卡保管、物品保管存在疏忽，对于出差时物理环境安全、工作区域的陌生访客等较为忽视，个人信息经常会在不经意间在网上发布，个人密码也没有定期更换，此外，像对数据备份、敏感数据、工作资料的保护，对不明邮件、熟悉发件人发的链接和动画的处理方式，电脑设置屏保和密码以及系统升级等都存在着或大或小的漏洞。

　　由于受访者普遍信息安全意识的薄弱，平时的办公与生活中较多错误的信息安全操作，导致超过半数（58.8%）的受访者遇到过1~2次或者经常遇到恶意插件和病毒的攻击，并有所损失。

　　调查结果还显示，在受访者信息安全意识普遍薄弱的情况下，而提高信息安全意识的培训和宣贯等工作却做的很少。接受定期的信息安全培训受访者仅占15.8%。

　　同时，受访者在信息安全隐患的认知和有效保护信息安全面临的最大障碍的认知方面，42.8%的受访者认为所有的安全隐患中，个人信息安全意识不足是最大的安全隐患，然后依次是没有安全制度或制度未落实、投入或人员不足或缺乏信息安全培训、安全产品功能不足和其他。而对于目前有效保护信息安全面临的最大的障碍，受访者认为最大的障碍是普遍缺乏信息安全意识，其他依次是管理水平落后、技术不过关、法律不健全、信息安全人才不够和其他障碍。

　　应对风险 先建“人力防火墙”

　　作为一家一直致力于国内IT风险管理咨询的企业，北京谷安天下科技有限公司（以下简称：谷安天下）这次的调查活动以问卷调查和网络在线调查为基本形式，问卷题目范围涉及当前中国企业员工信息安全意识认知及相关应用情况。谷安天下希望统计结果能够为中国各企业提供详实可靠的参考数据，并通过对调查结果的推广，增强企业员工对信息安全意识的重视，提高企业员工信息安全意识水平。

　　调查问卷题目围绕企业员工个人及企业物品保护意识、物理环境安全意识、个人信息与密码的保护意识、数据安全意识、社会工程意识、终端安全意识、上网安全意识、信息安全教育等涉及个人信息安全意识的几大主要主题展开。

　　对本次调查有效问卷的分析显示，中国企业员工普遍缺乏信息安全意识。要实现企业信息安全，必须围绕着“人”这个安全主体，关心人的行为安全，保障人的利益，真正做到“以人为本”才是关键。而实现“以人为本”的信息安全管理，第一步就必须提高员工的信息安全意识水平。企业员工信息安全意识的培养是一个漫长而艰难的过程，必须结合企业的文化和具体情况和要求，辅以生动、形象、简洁的方式，传统的教科书的方式是不能达到设想的培训目标的。可以采用信息安全海报、动画视频、屏幕保护、安全手册、培训课程等多种方式来不断强化员工安全意识，建立健全适用的信息安全管理规章制度和操作流程并严格落实来不断规范员工行为。只有从根本上解决信息安全管理中人的问题，打造好企业坚实的“人力防火墙”，才能最终保证企业的信息安全。