尹君+普鋼+蘇永東+肖鵬+劉玉婷

摘 要：文章重點(diǎn)關(guān)注在信息業(yè)務(wù)安全中，因員工行為帶來(lái)的各類信息安全風(fēng)險(xiǎn)，通過對(duì)企業(yè)信息安全現(xiàn)狀的了解、安全需求的確認(rèn)以及對(duì)信息安全行為的風(fēng)險(xiǎn)評(píng)估，從而構(gòu)建出較為全面的行為規(guī)范。最后，提出了員工信息安全行為防范措施，主要包括強(qiáng)化企業(yè)員工信息安全教育培訓(xùn)、完善信息安全管理制度等內(nèi)容。

關(guān)鍵詞：企業(yè)員工；信息安全行為；信息安全行為風(fēng)險(xiǎn)評(píng)估；防范措施

中圖分類號(hào)：F270.7 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：2095-2945（2017）28-0142-03

1 研究背景

電力企業(yè)作為關(guān)乎國(guó)計(jì)民生的基礎(chǔ)行業(yè)，企業(yè)內(nèi)部各業(yè)務(wù)數(shù)據(jù)已基本在網(wǎng)絡(luò)流轉(zhuǎn)，一旦發(fā)生信息安全事件，將會(huì)為國(guó)家、社會(huì)公眾及企業(yè)帶來(lái)難以估計(jì)的損失。然而，企業(yè)對(duì)安全技術(shù)的依賴，常常會(huì)忽視企業(yè)員工因其行為對(duì)信息安全帶來(lái)的隱患。

企業(yè)員工的內(nèi)部威脅已經(jīng)成為信息安全事件的首要誘因[1]，企業(yè)除了應(yīng)重視對(duì)企業(yè)員工的信息安全意識(shí)的培養(yǎng)以及安全知識(shí)和技能的灌輸，還應(yīng)針對(duì)員工信息安全行為制定相關(guān)的規(guī)范，完善相應(yīng)的控制體系，使員工行為不斷標(biāo)準(zhǔn)化，減少因員工行為給企業(yè)信息安全帶來(lái)的損害。

2 電力企業(yè)信息安全現(xiàn)狀

從電力行業(yè)信息安全的運(yùn)維及保障來(lái)看，目前在信息安全技術(shù)方面基本能跟上趨勢(shì)發(fā)展。

2.1 近年來(lái)的改進(jìn)及發(fā)展

（1）信息安全防護(hù)技術(shù)較為完善；統(tǒng)一了互聯(lián)網(wǎng)出口，并建立了DMZ區(qū)管理并配備了IPS、WAF等安全防護(hù)設(shè)備，實(shí)現(xiàn)了層次清晰的網(wǎng)絡(luò)區(qū)域劃分和防護(hù)。

（2）信息安全工作開展廣泛；通過開展信息安全配置核查、信息安全整改與加固、信息安全宣傳教育與培訓(xùn)等一系列工作，發(fā)現(xiàn)信息系統(tǒng)存在的各類安全隱患，對(duì)各類安全隱患進(jìn)行合理的風(fēng)險(xiǎn)控制措施，最大程度地防止各類安全事件的產(chǎn)生，保障信息系統(tǒng)的安全、穩(wěn)定運(yùn)行。

（3）信息安全體系較為完整；根據(jù)國(guó)家的法律規(guī)定及各項(xiàng)標(biāo)準(zhǔn)（如：《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》、《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》等）編制出符合企業(yè)自身情況的一套信息安全體系標(biāo)準(zhǔn)，為日常信息安全工作的開展提供了詳細(xì)的指導(dǎo)方案、規(guī)范及要求，在一定程度上保證了信息安全工作的標(biāo)準(zhǔn)化及公司信息資產(chǎn)的安全性。

2.2 存在的安全隱患分析

（1）針對(duì)員工信息安全行為的管控規(guī)范、制度欠缺；沒有規(guī)范化的標(biāo)準(zhǔn)對(duì)企業(yè)員工的行為進(jìn)行管控，因此員工的信息安全行為可能對(duì)公司的信息資產(chǎn)造成軟硬件故障、物理環(huán)境影響、惡意代碼、網(wǎng)絡(luò)攻擊、越權(quán)或?yàn)E用、泄密等多種威脅。

（2）員工信息安全意識(shí)不平衡；企業(yè)員工年齡和從事工作種類的差異，目前電力企業(yè)職工信息安全意識(shí)不平衡的情況也較為明顯。

（3）除了部分安全技術(shù)風(fēng)險(xiǎn)外，還存在對(duì)網(wǎng)絡(luò)與信息安全工作認(rèn)識(shí)不足、重視不夠；木馬病毒和惡意軟件難以勝防；弱口令問題廣泛存在；對(duì)業(yè)務(wù)部門自檢系統(tǒng)難以監(jiān)管等員工信息安全行為風(fēng)險(xiǎn)。

3 員工信息安全行為風(fēng)險(xiǎn)分析

3.1 安全需求

依據(jù)上述的現(xiàn)狀分析，電力企業(yè)已注意到因企業(yè)員工的違規(guī)行為導(dǎo)致公司信息資產(chǎn)存在著安全風(fēng)險(xiǎn)，提出要加強(qiáng)對(duì)員工信息安全行為的管控，結(jié)合企業(yè)自身現(xiàn)有信息安全現(xiàn)狀及信息安全管理體系，較為全面的構(gòu)建、編制員工信息安全行為規(guī)范的安全需求。

3.2 威脅分類

3.2.1 威脅來(lái)源識(shí)別

依據(jù)《信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007），將企業(yè)員工的不規(guī)范行為視為一種人為因素的威脅來(lái)源，并根據(jù)動(dòng)機(jī)分為主觀惡意和非惡意兩種。其中，主觀惡意行為源于內(nèi)部人員基于特定的目的，而利用其對(duì)組織和信息系統(tǒng)的熟悉，以及工作的便利，對(duì)信息資產(chǎn)進(jìn)行破壞、欺詐和竊取；非惡意行為則是組織內(nèi)部人員信息安全防范的知識(shí)和技能缺乏，或是主觀上感知偏差、判斷失誤等造成的信息安全破壞行為。

3.2.2 威脅識(shí)別

針對(duì)威脅來(lái)源，根據(jù)其表現(xiàn)形勢(shì)將威脅劃分為以下幾類，如表1所示。

3.3 行為對(duì)象識(shí)別及等級(jí)劃分

依據(jù)電力企業(yè)現(xiàn)有資產(chǎn)現(xiàn)狀，將員工信息安全行為對(duì)象劃分為6個(gè)類別，分別為：信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、信息內(nèi)容、信息保密、物理環(huán)境及辦公設(shè)備。

其中，網(wǎng)絡(luò)系統(tǒng)中根據(jù)承載的信息數(shù)據(jù)及接入網(wǎng)絡(luò)范圍細(xì)分為辦公網(wǎng)絡(luò)及骨干網(wǎng)絡(luò)；信息內(nèi)容依據(jù)受損對(duì)象細(xì)分為危害社會(huì)公共利益及國(guó)家安全的內(nèi)容、損害公司形象的內(nèi)容兩類。信息保密類依據(jù)企業(yè)已有標(biāo)準(zhǔn)《涉密事項(xiàng)界定表》界定的涉密內(nèi)容和非涉密信息進(jìn)行分類。

信息安全違規(guī)行為依據(jù)行為對(duì)象類型的重要程度及員工行為可能造成影響的嚴(yán)重程度和范圍對(duì)信息安全違規(guī)行為進(jìn)行分級(jí)。行為對(duì)象劃分及信息安全違規(guī)行為分級(jí)如表2所示。

4 員工信息安全行為規(guī)范建構(gòu)

4.1 員工信息安全行為控制維度

對(duì)照、匯總威脅種類，提出在病毒防范、網(wǎng)絡(luò)使用、信息保密、內(nèi)容安全、物理環(huán)境、總體要求及其他7種類，并依據(jù)在不同類別下的行為對(duì)象作為分析維度對(duì)員工信息安全行為進(jìn)行管控，并構(gòu)建員工信息安全行為規(guī)范。下表3為信息安全行為控制種類。

4.2 員工信息安全行為規(guī)范

4.2.1 總體要求

總體要求中主要提出了企業(yè)員工需依據(jù)國(guó)家相關(guān)的法律法規(guī)及企業(yè)所制定的相關(guān)管理規(guī)范對(duì)自身行為的自我管控，根據(jù)相關(guān)管理規(guī)定和要求開展工作，定期參與信息安全培訓(xùn)， 提升自我信息安全意識(shí)等規(guī)定的內(nèi)容。

4.2.2 “物理環(huán)境”類行為管控

制定員工行為規(guī)范，控制企業(yè)軟硬件資產(chǎn)、物理環(huán)境不受違規(guī)行為的威脅和破壞。促使員工努力保障及維護(hù)公司的工作環(huán)境及軟硬件資產(chǎn)的安全。愛護(hù)辦公環(huán)境，保護(hù)公共設(shè)施，提升防火、防盜意識(shí)，必要時(shí)進(jìn)行應(yīng)急演練；發(fā)現(xiàn)環(huán)境、設(shè)施、資產(chǎn)異常及時(shí)上報(bào)。endprint

制定規(guī)范舉例：不得攜帶危害設(shè)備安全的物品（具有腐蝕性、易燃性、輻射性等）進(jìn)入辦公環(huán)境；不得利用危害設(shè)備安全的物品破壞設(shè)備、個(gè)人終端、網(wǎng)絡(luò)的運(yùn)行條件。

違規(guī)行為等級(jí)：（1）攜帶危害設(shè)備安全的物品（具有腐蝕性、易燃性、輻射性等）進(jìn)入辦公環(huán)境，對(duì)應(yīng)信息安全違規(guī)行為四級(jí)。（2）利用危害設(shè)備安全的物品破壞設(shè)備、個(gè)人終端、網(wǎng)絡(luò)的運(yùn)行條件，對(duì)應(yīng)信息安全違規(guī)行為三級(jí)。

4.2.3 “病毒防范”類行為管控

規(guī)范員工信息安全行為，對(duì)個(gè)人計(jì)算機(jī)、移動(dòng)終端設(shè)備按要求安裝、配置、管理防病毒軟件、安全準(zhǔn)入系統(tǒng)，防止病毒等惡意程序的破壞。規(guī)范自身行為不進(jìn)行違法違規(guī)網(wǎng)絡(luò)操作。

制定規(guī)范舉例：“不安裝、不運(yùn)行非可信渠道獲取的軟件。違規(guī)行為等級(jí)：對(duì)應(yīng)信息安全違規(guī)行為三級(jí)”

4.2.4 “網(wǎng)絡(luò)使用”類行為管控

規(guī)范員工信息安全行為健康、安全使用網(wǎng)絡(luò)。外出辦公需接入網(wǎng)絡(luò)時(shí)，要確定所接入網(wǎng)絡(luò)的安全性，不使用未知的無(wú)線網(wǎng)絡(luò)。

制定規(guī)范舉例：“禁止進(jìn)行未經(jīng)授權(quán)的、惡意的網(wǎng)絡(luò)探測(cè)、信息采集、身份偽造及欺騙。違規(guī)行為等級(jí)：（1）對(duì)信息系統(tǒng)網(wǎng)絡(luò)進(jìn)行惡意的網(wǎng)絡(luò)探測(cè)、信息采集、身份偽造及欺騙，對(duì)應(yīng)信息安全違規(guī)行為二級(jí)。（2）對(duì)辦公網(wǎng)絡(luò)進(jìn)行惡意的網(wǎng)絡(luò)探測(cè)、信息采集、身份偽造及欺騙，對(duì)應(yīng)信息安全違規(guī)行為三級(jí)”。

4.2.5 “信息保密”類行為管控

制定相關(guān)規(guī)范，達(dá)到提高員工信息安全保密意識(shí)，防止信息的泄露、越權(quán)濫用和篡改的行為的發(fā)生。

制定規(guī)范舉例：“發(fā)現(xiàn)泄密行為，應(yīng)及時(shí)上報(bào)主管部門和信息部門并采取相關(guān)措施。違規(guī)行為等級(jí)：對(duì)應(yīng)信息安全違規(guī)行為四級(jí)”。

4.2.6 “內(nèi)容安全”類行為管控

規(guī)范員工信息安全行為，督促員工傳播、發(fā)表合法合規(guī)言論，維護(hù)國(guó)家、社會(huì)公眾利益及公司形象。

制定規(guī)范舉例：“嚴(yán)禁以公司名義處理個(gè)人事務(wù)、發(fā)表個(gè)人言論。違規(guī)行為等級(jí)：對(duì)應(yīng)信息安全行為二級(jí)”。

4.2.7 “其他”類行為管控

規(guī)范員工信息安全行為防止無(wú)作為、誤操作及管理不到位情況的發(fā)生。

制定規(guī)范舉例：“應(yīng)按照信息安全管理規(guī)程，嚴(yán)格進(jìn)行信息安全的管理、監(jiān)督。違規(guī)行為等級(jí)：對(duì)應(yīng)信息安全違規(guī)行為三級(jí)”。

4.3 員工信息安全違規(guī)行為定級(jí)及問責(zé)

同一信息安全違規(guī)行為對(duì)應(yīng)不同的行為對(duì)象，按照各對(duì)象經(jīng)過調(diào)查確定的信息安全違規(guī)行為等級(jí)，取各個(gè)對(duì)象的最高等級(jí)進(jìn)行信息安全違規(guī)行為的定級(jí)。若信息安全違規(guī)行為是發(fā)出者主觀愿意且蓄意發(fā)出的，應(yīng)按照行為對(duì)象對(duì)應(yīng)行為等級(jí)的最高一級(jí)定級(jí)后再上調(diào)一級(jí)。具體的違規(guī)行為定級(jí)及問責(zé)制度可根據(jù)企業(yè)的具體情況做出相應(yīng)調(diào)整。

5 員工信息安全行為防范措施及建議

5.1 員工信息安全行為規(guī)范的實(shí)施

員工信息安全行為規(guī)范的實(shí)施過程應(yīng)是螺旋循環(huán)上升的過程，可以參考PDCA（Plan、Do、Check、Action）螺旋循環(huán)原則，過程模型如下圖1所示，將每周期具體管控實(shí)施過程分為四個(gè)階段[2]。

每輪的循環(huán)應(yīng)向著更加貼近企業(yè)信息安全現(xiàn)狀及員工信息安全意識(shí)程度進(jìn)行，使得員工信息安全行為風(fēng)險(xiǎn)管控與企業(yè)的信息安全管控體系不斷融合，達(dá)到規(guī)范員工信息安全行為，保護(hù)企業(yè)信息安全不受員工違規(guī)行為侵害。

5.2 加強(qiáng)信息安全監(jiān)管軟件的推廣力度

員工信息安全行為管控離不開信息安全技術(shù)的監(jiān)管和輔助。目前電力企業(yè)推廣了桌面管理系統(tǒng)和網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，此外建議增加上網(wǎng)行為監(jiān)管、監(jiān)控軟件，對(duì)員工在網(wǎng)絡(luò)使用（網(wǎng)站訪問內(nèi)容、計(jì)算機(jī)濫用）和信息保密（論壇發(fā)帖、機(jī)密泄露、聲譽(yù)風(fēng)險(xiǎn)）等類型的違規(guī)行為進(jìn)行有力的管控。

5.3 提升員工信息安全素質(zhì)

進(jìn)一步提升企業(yè)員工的信息安全素質(zhì)。一方面定期開展信息安全宣傳教育、發(fā)放宣傳海報(bào)或視頻，達(dá)到對(duì)企業(yè)全體員工信息安全知識(shí)的普及。另一方面應(yīng)按工作需要、所在部門及具有特殊工作性質(zhì)的員工進(jìn)行分層次、有針對(duì)性的安全培訓(xùn)和教育，全面提高員工信息安全意識(shí)和技術(shù)水平。此外，應(yīng)開展員工信息安全行為規(guī)定及安全實(shí)例的講解，從信息安全事件實(shí)例及相關(guān)人員經(jīng)驗(yàn)，深刻了解安全行為規(guī)范及安全策略配置的初衷。

6 結(jié)束語(yǔ)

電力企業(yè)要保持健康可持續(xù)性的發(fā)展，信息安全是基本的保證之一，而信息安全的保障不能僅依靠信息安全技術(shù)的實(shí)現(xiàn)，對(duì)企業(yè)員工的信息安全行為管控絕不可缺少。通過對(duì)企業(yè)信息安全現(xiàn)狀的了解、安全需求的確認(rèn)、信息安全行為的風(fēng)險(xiǎn)分析，較為清晰的構(gòu)建出員工信息安全行為規(guī)范，從病毒防范、網(wǎng)絡(luò)使用、信息保密、內(nèi)容安全、物理環(huán)境、總體要求及其他7個(gè)類別實(shí)現(xiàn)對(duì)員工信息安全行為的管控，并輔以違規(guī)行為的定級(jí)及問責(zé)制度實(shí)現(xiàn)對(duì)企業(yè)員工信息安全行為較為全面的管控。

最后提出了員工信息安全行為防范的措施及建議，通過先進(jìn)的信息安全技術(shù)輔以PDCA的管控實(shí)施模式，不斷貼近時(shí)代和企業(yè)的信息安全發(fā)展趨勢(shì)，增強(qiáng)員工信息安全意識(shí)，使企業(yè)信息安全的建設(shè)不斷完善。

參考文獻(xiàn)：

[1]PADAYACHEE K. Taxonomy of compliant information security behavior. Computers & Security，2012，32（5）：673-680.

[2]孫強(qiáng)，程偉，王東紅.信息安全管理：全球最佳實(shí)務(wù)與實(shí)施指南[M]. 北京：清華大學(xué)出版社，2004.

[3]張曉明.淺談供電企業(yè)的信息安全管理[J].科技創(chuàng)新與應(yīng)用，2016（31）：221.endprint