王 雷

（江蘇國(guó)瑞信安科技有限公司，江蘇南京 210009）

0 引言

信息安全是指信息數(shù)據(jù)的保密性、完整性、可用性的保持。隨著企業(yè)發(fā)展信息化程度不斷提高，企業(yè)在發(fā)展中的信息安全越來越重要。規(guī)模企業(yè)已經(jīng)把信息安全工作列為工作重點(diǎn)，但企業(yè)信息安全工作大部分是購買或安裝部署信息安全設(shè)備。企業(yè)通過一些信息安全設(shè)備，在部分地方起到了一定的作用，但信息安全保障的本質(zhì)并沒有提高太多。

1 信息安全事件回顧

2013年可謂是全球的信息安全年，也是中國(guó)的信息安全年，信息安全事件大量出現(xiàn)。一系列信息泄密事件，已經(jīng)引起一場(chǎng)場(chǎng)軒然大波。人們剛迎來2013年不久，數(shù)據(jù)泄露事件又接連不斷：香港八達(dá)通卡泄密、富士通ipad2后殼設(shè)計(jì)圖泄密、RSA公司SecurID技術(shù)及客戶資料被竊取和索尼公司的PlayStation用戶數(shù)據(jù)外泄等，再后來又是“棱鏡門”事件、搜狗和騰訊的用戶信息泄漏事件、多家連鎖酒店的客戶開房信息泄漏事件，這樣觸目驚心的消息讓我們?cè)僖矡o法忽視信息安全的重要性。這些信息安全事件已明顯對(duì)用戶的個(gè)人信息安全、生活習(xí)慣等方面造成了重大的影響。

中國(guó)互聯(lián)網(wǎng)信息中心2013年中國(guó)網(wǎng)民的信息安全狀況調(diào)查報(bào)告顯示，在過去的一年中，中國(guó)網(wǎng)民個(gè)人信息泄漏和賬號(hào)密碼被盜的發(fā)生比例分別為13.4%和8.9%。雖然表面上看起來比例不大，但此類事件發(fā)生后給用戶帶來的損失非常大，不容忽視。2013年中國(guó)網(wǎng)民遇到的各種安全問題的整體發(fā)生率如圖1所示。

與2012年相比，2013年個(gè)人信息泄漏的比例有大幅的上升。從上圖也可看出，雖然個(gè)人信息泄漏被作為一個(gè)單獨(dú)項(xiàng)進(jìn)行統(tǒng)計(jì)，但排在前三位的安全事件也是由個(gè)人信息的泄漏造成的。所以，綜合來看，個(gè)人的信息泄漏事件不容小覷。在這些事件的背后我們看到的是人員信息安全意識(shí)的缺失，企業(yè)信息安全管理的不足。為了幫助企業(yè)和個(gè)人提高信息安全意識(shí)水平，2012年底某IT企業(yè)發(fā)布了《2012年度中國(guó)企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告》，經(jīng)過對(duì)被調(diào)查企業(yè)的管理層人員及普通員工的大量數(shù)據(jù)分析和統(tǒng)計(jì)，參與本次接受調(diào)查訪問者的信息安全意識(shí)評(píng)價(jià)平均得分為77.48分。其中，受訪者在移動(dòng)存儲(chǔ)介質(zhì)安全方面的得分最高，為96.1分；在社會(huì)工程學(xué)信息安全方面的得分最低，為49.6分。因此，中國(guó)企業(yè)的信息安全意識(shí)依然有較大的提升空間。

很多企業(yè)為保障企業(yè)數(shù)據(jù)信息安全，不惜花巨資投資購進(jìn)防火墻、入侵檢測(cè)、防病毒等網(wǎng)絡(luò)安全產(chǎn)品。然而，企業(yè)內(nèi)的安全事件遠(yuǎn)比管理者的預(yù)想更為復(fù)雜、更為寬泛，人員的誤操作或無作為也會(huì)使這些工具失去其應(yīng)有的作用。只有提高人員的安全意識(shí)和技能，才能真正使企業(yè)的信息安全設(shè)備發(fā)揮應(yīng)有的作用。

2 目前企業(yè)人員的信息安全管理主要存在的問題

（1）全體工作人員的信息安全意識(shí)不高；

（2）信息安全專業(yè)人員數(shù)量較少，工作流程不清晰；

（3）信息安全崗位職責(zé)劃分模糊；

（4）管理層不重視；

（5）信息安全管理工作缺乏有效的考核和監(jiān)管機(jī)制。

上述幾個(gè)問題看似不會(huì)影響正常的企業(yè)運(yùn)作，但長(zhǎng)期持續(xù)則會(huì)給企業(yè)的信息安全帶來巨大的隱患，存在較高的風(fēng)險(xiǎn)。

有調(diào)查顯示，企業(yè)的信息泄漏事件70%-80%都由內(nèi)部人員造成。對(duì)于一些關(guān)系國(guó)計(jì)民生的企業(yè)，如電力、通信等，企業(yè)的信息一旦泄漏，將會(huì)產(chǎn)生巨大的社會(huì)影響，同時(shí)也會(huì)給企業(yè)造成巨大的損失。但是我們?nèi)匀豢梢酝ㄟ^對(duì)知悉或掌握企業(yè)核心涉密資產(chǎn)和數(shù)據(jù)的人員加強(qiáng)信息安全管理與監(jiān)督，來提高信息安全整體水平。

圖1 2013年中國(guó)網(wǎng)民遇到的各種安全問題的整體發(fā)生率

3 加強(qiáng)人員信息安全管理的具體措施

對(duì)于企業(yè)人員的安全管理措施有很多，國(guó)內(nèi)外的相關(guān)標(biāo)準(zhǔn)中都有相應(yīng)的描述，如《薩班斯法案》《信息安全技術(shù)信息系統(tǒng)安全管理要求》ISO27000系列等，不同的標(biāo)準(zhǔn)要求亦有不同，但總體來說不外乎以下幾點(diǎn)。

（1）加強(qiáng)人員的信息安全保密意識(shí)與責(zé)任。任何企業(yè)的信息安全與保密都離不開人，信息安全每個(gè)步驟的操作與執(zhí)行都是由人來完成與實(shí)現(xiàn)的。如果企業(yè)內(nèi)相關(guān)人員的信息安全與保密意識(shí)薄弱，不小心造成某些敏感信息泄露，則比其他安全不足問題導(dǎo)致的損失更大。因此必須要不斷對(duì)相關(guān)崗位人員的信息安全意識(shí)、責(zé)任和職業(yè)道德進(jìn)行培訓(xùn)、指導(dǎo)與監(jiān)督。

（2）管理層重視。企業(yè)人員的信息安全管理是管理層的職責(zé)，所有的措施和方法都需要得到管理層的支持才能實(shí)施，否則再完美的方法也是毫無意義的。隨著各類信息安全事件的曝光，信息泄漏事件的頻發(fā)，特別是國(guó)家推行信息系統(tǒng)的等級(jí)保護(hù)政策以后，越來越多的管理層開始重視信息安全問題。

（3）明確本單位的核心信息安全資產(chǎn)。我們要對(duì)企業(yè)的核心信息安全資產(chǎn)加強(qiáng)保護(hù)，即主要是對(duì)企業(yè)內(nèi)部最核心的信息資產(chǎn)進(jìn)行有效的保護(hù)，這對(duì)企業(yè)的信息安全尤為重要且非常有效。任何一個(gè)企業(yè)的資源都有限，信息安全工作相對(duì)于業(yè)務(wù)工作的投入來說一定較小一些，因此對(duì)核心的信息資產(chǎn)保護(hù)才是企業(yè)真正關(guān)心的內(nèi)容和工作。核心信息資產(chǎn)主要指價(jià)值比較高，一旦泄露可能會(huì)對(duì)企業(yè)造成比較大損失的資產(chǎn)，如企業(yè)的重要或敏感數(shù)據(jù)、存有重要敏感數(shù)據(jù)的紙質(zhì)和電子類的載體等企業(yè)的核心資產(chǎn)。明確核心資產(chǎn)信息安全也是對(duì)人員進(jìn)行職責(zé)劃分的基礎(chǔ)。

（4）清楚劃分人員職責(zé)，嚴(yán)格進(jìn)行權(quán)限分離。人員職責(zé)和權(quán)限對(duì)應(yīng)組織的信息資產(chǎn)，一定程度上也決定了該人員在組織中的安全地位，職責(zé)不明確往往導(dǎo)致人員的無作為或誤操作，很多的信息安全隱患無法消除。如果明確了單位的核心資產(chǎn)，而人員的職責(zé)劃分不清晰，那也等于是無用功。很多單位由于信息安全人員數(shù)量有限，存在一人多崗的情況，很多核心的敏感的信息或功能掌握在一個(gè)人的手中，這就使得某個(gè)人或某幾個(gè)人的權(quán)限過大，導(dǎo)致內(nèi)部舞弊的風(fēng)險(xiǎn)增加。因此，首先要明確本單位需要設(shè)置的信息技術(shù)類崗位，并設(shè)置相應(yīng)的人員，確保人員的配備遵循三權(quán)分離的原則，敏感的功能或較高的權(quán)限不能放在一個(gè)人手上，關(guān)鍵性的操作甚至需要多人同時(shí)在場(chǎng)，只有這樣才能最大限度地避免人員的內(nèi)部舞弊。

（5）嚴(yán)格選拔新進(jìn)人員，考核在崗人員，審查離崗人員。選拔人員是人員信息安全管理的第一步，對(duì)人員進(jìn)行嚴(yán)格的背景審查和技能考核是保障企業(yè)信息安全人員執(zhí)業(yè)技能和職業(yè)道德的重要措施。重要敏感崗位的人員應(yīng)盡量從內(nèi)部進(jìn)行選拔，避免直接任用外聘的人員；對(duì)于在崗的信息安全人員應(yīng)定期進(jìn)行考核和檢查，保證所有的工作都按正常的操作規(guī)程執(zhí)行，避免簡(jiǎn)化流程的事情發(fā)生；對(duì)于離崗的人員應(yīng)與之簽訂相關(guān)的協(xié)議說明，并立即更換其所掌握的關(guān)鍵認(rèn)證信息，避免由于人員的流失導(dǎo)致信息的泄漏。

（6）建立信息安全管理工作的日常監(jiān)管和考核機(jī)制。信息安全管理執(zhí)行的主體是人，人的操作難免會(huì)有失誤或不當(dāng)?shù)牡胤?，這些都是信息安全的風(fēng)險(xiǎn)隱患。所以應(yīng)對(duì)人員的日常工作需建立考核和監(jiān)管機(jī)制，對(duì)人員的日常安全管理工作進(jìn)行監(jiān)督并提前發(fā)現(xiàn)潛在風(fēng)險(xiǎn)，及時(shí)消除隱患，降低由于人員操作不當(dāng)或惡意操作帶來的信息安全風(fēng)險(xiǎn)。

4 結(jié)語

企業(yè)信息安全是技術(shù)安全和管理安全相互作用的結(jié)果，而人員的安全是整體安全的第一步。只有保障了人員的絕對(duì)安全，才能在技術(shù)安全與管理安全中找到符合企業(yè)自身的信息安全定位，真正讓企業(yè)的信息安全措施為企業(yè)業(yè)務(wù)保駕護(hù)航。

［1］劉仁勇，王衛(wèi)平.企業(yè)信息安全管理研究［J］.學(xué)術(shù)研究，2007（6）.

［2］中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心.2013年中國(guó)網(wǎng)民信息安全狀況研究報(bào)告［R］.北京：中國(guó)互聯(lián)網(wǎng)信息中心，2013.