摘要：信息安全問(wèn)題隨著信息技術(shù)及計(jì)算機(jī)網(wǎng)絡(luò)的普及與高速發(fā)展日益突出，已涉及到政治、經(jīng)濟(jì)、文化、軍事等方方面面，同時(shí)，\"以人為本\"，提高個(gè)人信息安全素養(yǎng)已成為信息安全保障的基本內(nèi)容。本文通過(guò)分析信息安全、信息素養(yǎng)及信息安全素養(yǎng)的內(nèi)涵，指出血站員工存在信息安全素養(yǎng)的缺乏，進(jìn)而提出加快血站員工信息安全素養(yǎng)的形成與提高的建議。

關(guān)鍵詞：信息安全；信息素養(yǎng)；信息安全素養(yǎng)

隨著中國(guó)社會(huì)信息化程度的全面提升，網(wǎng)絡(luò)在各個(gè)領(lǐng)域的應(yīng)用及規(guī)模不斷擴(kuò)大，給人們工作和生活帶來(lái)便利的同時(shí)也帶來(lái)各種信息安全威脅。信息安全問(wèn)題的日益嚴(yán)重，不僅影響到信息擁有者的利益，而且可能危害整個(gè)社會(huì)、甚至關(guān)系到國(guó)家的安全。如果血站每位員工都有較強(qiáng)的信息安全意識(shí)，具備較高的信息安全素養(yǎng)，那么，血液信息安全保障整體水平將得到極大提高。

1信息安全的概念

信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其具有重要意義。信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。信息安全根源于三個(gè)方面：①黑客基于各種目的進(jìn)行的主動(dòng)攻擊；②個(gè)人缺乏信息安全意識(shí)，被動(dòng)泄密；③信息安全防護(hù)體系（組織、人員、資金、技術(shù)）建設(shè)不健全。一直以來(lái)的觀點(diǎn)，認(rèn)為有了高超的信息安全技術(shù)水平和完善的信息安全管理體系，就能夠確保信息處于安全狀態(tài)，但事實(shí)并非如此。

2011年為美國(guó)政府和500強(qiáng)企業(yè)提供信息安全技術(shù)服務(wù)的 HBGary Federal公司幾乎一夜間被黑客攻擊徹底擊垮。究其原因是其首席執(zhí)行官和他領(lǐng)導(dǎo)的管理層在所有的賬戶中使用相同的密碼，黑客只是通過(guò)攻擊其企業(yè)網(wǎng)站所獲得的外圍密碼，就開(kāi)啟了幾乎所有的網(wǎng)絡(luò)賬戶［1］。這一轟動(dòng)全球信息安全事件，使大家意識(shí)到信息安全的主要隱患已經(jīng)從外部入侵逐漸轉(zhuǎn)變?yōu)閮?nèi)部人員使用信息的不可控性上。

2信息素養(yǎng)和信息安全素養(yǎng)的內(nèi)涵

信息素養(yǎng)是一種對(duì)信息社會(huì)的適應(yīng)能力，它的本質(zhì)是全球信息化需要人們具備的一種基本能力。其定義來(lái)自1989年美國(guó)圖書館學(xué)會(huì)，它包括：能夠判斷什么時(shí)候需要信息，并且懂得如何去獲取信息，如何去評(píng)價(jià)和有效利用所需的信息。信息素養(yǎng)涉及各方面的知識(shí)，它包含人文的、技術(shù)的、經(jīng)濟(jì)的、法律諸多因素，和許多學(xué)科有著緊密的聯(lián)系。信息素養(yǎng)是一種信息能力，信息技術(shù)是它的一種工具［2］。

信息安全素養(yǎng)的定義來(lái)源于信息素養(yǎng)的概念，是指在信息化條件下，人們對(duì)信息安全的認(rèn)識(shí)，以及對(duì)信息安全所表現(xiàn)出來(lái)的各種綜合能力，包括信息安全意識(shí)、信息安全知識(shí)、信息安全能力、信息倫理道德等具體內(nèi)容［3］。

3信息安全素養(yǎng)的重要性

信息安全素養(yǎng)是人員整體素養(yǎng)的一部分，也是現(xiàn)代社會(huì)成員適應(yīng)信息化條件下的各項(xiàng)工作的基本能力之一。員工具有良好的信息安全素養(yǎng)是信息安全保障體系的重要基礎(chǔ)，很多信息安全威脅都源于人。

有研究報(bào)道，世界上每分鐘就有2家企業(yè)因?yàn)樾畔踩珕?wèn)題倒閉，而在所有的信息安全事故中，只有20%?郯30%是因?yàn)楹诳腿肭只蚱渌獠吭蛟斐傻模?0%?郯80%是由于內(nèi)部員工的疏忽或有意泄露造成的，同時(shí)78%的企業(yè)數(shù)據(jù)泄露是來(lái)自內(nèi)部員工的不規(guī)范操作［4］。海因里希經(jīng)過(guò)大量的研究，認(rèn)為各種安全事故存在\"88102\"規(guī)律，即100起安全事故有88起純屬人為，10起為人和物的不安全狀態(tài)綜合造成的，只有2起是難以預(yù)防。在RSA2011信息安全大會(huì)上，不少信息安全專家不約而同地提出了一個(gè)引人關(guān)注的問(wèn)題，即眾多缺乏安全意識(shí)的員工，正在成為黑客突破企業(yè)安全防護(hù)時(shí)，最大也最難修補(bǔ)的漏洞。因此，一個(gè)投入大量人力物力財(cái)力的信息系統(tǒng)沒(méi)有可靠的人員保障，幾乎是形同虛設(shè)。

目前，人員要素已經(jīng)成為國(guó)家、城市和組織機(jī)構(gòu)信息安全保障體系建設(shè)的一個(gè)重要組成部分。人員信息安全素養(yǎng)的培養(yǎng)在其日常工作和生活中處于十分突出的位置。

4血站員工存在信息安全素養(yǎng)的缺乏

血站普遍沒(méi)有形成健全的信息安全防護(hù)機(jī)制，對(duì)員工的信息安全教育不夠重視，嚴(yán)重滯后于信息技術(shù)的發(fā)展。員工缺乏對(duì)信息安全的正確認(rèn)識(shí)，缺乏防護(hù)意識(shí)，不了解相關(guān)的安全法律法規(guī)，片面認(rèn)為此項(xiàng)工作只屬于專業(yè)人員的技術(shù)問(wèn)題。

4.1 相對(duì)缺乏信息安全意識(shí)根據(jù)GooAnn 發(fā)布的《2011年度中國(guó)企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告》結(jié)果顯示，對(duì)于目前有效保護(hù)企業(yè)和組織信息安全面臨的最大障礙，受訪者認(rèn)為最大的障礙是普遍缺乏信息安全意識(shí)［5］。安全意識(shí)的缺乏主要體現(xiàn)在下面幾個(gè)方面：①賬戶、密碼的泄露；②PC、手機(jī)終端丟失導(dǎo)致泄密；③網(wǎng)絡(luò)手段、軟件的應(yīng)用不了解導(dǎo)致泄密；④網(wǎng)絡(luò)泄密。

血站員工普遍缺乏信息安全意識(shí)：如不注意計(jì)算機(jī)保護(hù)、經(jīng)常開(kāi)著電腦離開(kāi)；密碼從不修改，或使用容易猜測(cè)的密碼，或者根本不設(shè)密碼；將自己的帳號(hào)密碼隨意轉(zhuǎn)借他人使用；隨意使用U盤，使用時(shí)直接雙擊打開(kāi)；隨意點(diǎn)擊網(wǎng)頁(yè)上吸引自己的鏈接；輕易相信來(lái)自陌生人的郵件，好奇打開(kāi)郵件附件；在網(wǎng)絡(luò)上不能保守秘密，口無(wú)遮攔，泄漏敏感信息等等。

4.2 缺少信息安全知識(shí)部分員工缺少信息安全知識(shí)，不了解什么是信息安全，不知道信息安全的重要性。如不知道單位信息安全策略的相關(guān)規(guī)定、不嚴(yán)格執(zhí)行信息安全規(guī)章制度；不知道自己接觸信息的密級(jí)程度、不會(huì)粉碎密級(jí)文件；難以甄別信息的優(yōu)劣好壞，濫用信息技術(shù)制造傳播信息垃圾和計(jì)算機(jī)病毒；編造虛假信息對(duì)他人進(jìn)行誹謗；瀏覽、下載、傳播非法信息；抄襲他人論文等智力成果等。

4.3 信息安全能力欠缺由于信息安全能力欠缺，部分血站員工不會(huì)設(shè)置有關(guān)安全參數(shù)；沒(méi)有及時(shí)對(duì)系統(tǒng)進(jìn)行更新和安裝補(bǔ)?。徊荒鼙鎰e什么是信息安全威脅，更不會(huì)處理；有的甚至不會(huì)安裝殺毒軟件、不會(huì)查殺病毒等。

4.4 信息倫理道德較薄弱網(wǎng)絡(luò)中形形色色的思潮、觀念，甚至是色情、暴力信息成為影響、誤導(dǎo)普通人群犯罪的重要因素，部分員工承認(rèn)經(jīng)常上網(wǎng)瀏覽不良信息會(huì)弱化道德自律意識(shí)和社會(huì)責(zé)任感。

5加快信息安全素養(yǎng)的形成與提高

要提高血站員工自身的信息安全素養(yǎng)，首先要培養(yǎng)員工樹(shù)立信息安全責(zé)任心，讓他們明白信息安全不是事不關(guān)己，高高掛起的事情，而是每個(gè)人的責(zé)任。提升全員的信息安全素養(yǎng)是一項(xiàng)長(zhǎng)期的工作，不能指望憑借\"三分鐘激情\"而成就，而應(yīng)該堅(jiān)持不懈，才能最終在血站系統(tǒng)內(nèi)建立起信息安全文化。

素養(yǎng)的形成有一個(gè)程度變化的過(guò)程，即從低到高逐步發(fā)展的過(guò)程。信息安全素養(yǎng)內(nèi)涵豐富，不僅包括信息安全意識(shí)，還包括后續(xù)各種防護(hù)能力、信息倫理道德和法律法規(guī)知識(shí)等內(nèi)容［6］。所以，血站員工信息安全素養(yǎng)的提升，考慮從以下幾個(gè)方面著手：①加強(qiáng)培訓(xùn)，提高血站員工信息安全意識(shí)，掌握信息安全基本知識(shí)，了解信息安全相關(guān)的法律法規(guī)。個(gè)人信息安全意識(shí)淡薄的一個(gè)重要原因是缺乏信息安全知識(shí)教育培訓(xùn)，要將信息安全培訓(xùn)納入每年度的培訓(xùn)計(jì)劃并予以貫徹實(shí)施。培訓(xùn)方式應(yīng)多樣化，可以采用生動(dòng)有趣的信息安全海報(bào)、Flash、手冊(cè)等，潛移默化的影響員工，強(qiáng)化其信息安全意識(shí)。血站員工同時(shí)應(yīng)學(xué)會(huì)在信息安全受到侵害時(shí)，用法律武器來(lái)維護(hù)自己的權(quán)益。②鼓勵(lì)員工通過(guò)查閱資料等方式，主動(dòng)學(xué)習(xí)信息安全知識(shí)，提高處理信息安全問(wèn)題的能力。具體來(lái)說(shuō)就是學(xué)會(huì)安裝防火墻和防病毒軟件，并經(jīng)常升級(jí)；及時(shí)下載和安裝系統(tǒng)補(bǔ)??；避免從Internet下載不知名的軟件、游戲程序，隨意打開(kāi)、運(yùn)行來(lái)歷不明的電子郵件及文件；加強(qiáng)密碼設(shè)置及管理；注意保護(hù)、備份重要的個(gè)人資料。③要加強(qiáng)血站員工信息倫理教育。引導(dǎo)員工養(yǎng)成正確解讀網(wǎng)絡(luò)信息、合理使用網(wǎng)絡(luò)資源的能力，并形成正確的價(jià)值觀，維護(hù)網(wǎng)絡(luò)道德規(guī)范。遵循信息倫理與道德準(zhǔn)則，規(guī)范自己的信息行為，尊重他人的知識(shí)產(chǎn)權(quán)，不非法攝取他人秘密，不制造和傳播偽劣信息，抑制違法信息行為［7］。④員工必須意識(shí)到安全技術(shù)和安全管理等都不是絕對(duì)安全可靠的。信息安全建設(shè)涉及人員、流程和技術(shù)三個(gè)環(huán)節(jié)，人是最關(guān)鍵的因素。⑤員工應(yīng)培養(yǎng)良好的習(xí)慣，從保管好賬戶及密碼等細(xì)節(jié)做起，加強(qiáng)安全防范措施。具體來(lái)說(shuō)就是日常計(jì)算機(jī)維護(hù)，重要的文件數(shù)據(jù)不存放在系統(tǒng)盤、上網(wǎng)時(shí)對(duì)于一些來(lái)歷不明的鏈接不要隨意點(diǎn)擊、來(lái)歷不明的文件不要輕易接收；要定期進(jìn)行病毒全盤查殺、盡量使用正版軟件；如果一旦發(fā)生信息安全事故，要及時(shí)上報(bào)相關(guān)部門并請(qǐng)求正確的處理。在自己養(yǎng)成良好習(xí)慣的同時(shí)要鼓勵(lì)其他人也這樣做。

6結(jié)論

絕對(duì)的安全是不存在的，真正的安全是靠人來(lái)保障的。在信息安全的所有相關(guān)因素中，人是最活躍的因素，人的行為是信息安全保障最主要的方面。人既可以是最大的潛在威脅，也可以是最可靠的安全防線[1]。普及信息安全教育，提高信息安全素養(yǎng)，是確保計(jì)算機(jī)信息系統(tǒng)安全的關(guān)鍵因素。計(jì)算機(jī)信息系統(tǒng)的安全一直是動(dòng)態(tài)的，因此血站員工信息安全素養(yǎng)的形成和提高也是一個(gè)漸變發(fā)展的動(dòng)態(tài)過(guò)程，需要我們通過(guò)不斷的學(xué)習(xí)、培訓(xùn)來(lái)完善和提升。

參考文獻(xiàn)：

［1］武曉春，等.面向組織機(jī)構(gòu)的人員信息安全意識(shí)培養(yǎng)模式研究[J].電腦知識(shí)與技術(shù)，2011（7）：8830 -8832.

［2］孫平，曾曉牧.認(rèn)識(shí)信息素養(yǎng)[J].大學(xué)圖書館學(xué)報(bào)，2004（4）：34-37.

［3］劉楓，大學(xué)生信息安全素養(yǎng)分析與形成[J].計(jì)算機(jī)教育，2010(21)：77-80

［4］周 龍. 深入探討企業(yè)員工的信息安全意識(shí)[J].硅谷，2013(3)：132-133.

[5] 北京谷安天下科技有限公司.2011年度中國(guó)企業(yè)員工信息安全意識(shí)現(xiàn)狀調(diào)研報(bào)告.

[6] 羅力.論國(guó)民信息安全素養(yǎng)的培養(yǎng)[J]．圖書情報(bào)工作，2012(6)：25-28，37．

［7］謝嵐，等.關(guān)于大學(xué)生的信息素養(yǎng)教育[J]. 農(nóng)業(yè)網(wǎng)絡(luò)信息，2010(7)：157-158.

編輯/王海靜