谷安天下安全易视.docVIP

一、安全易视简介 “安全易视”是谷安天下从实践中探索并总结出来倾力打造的信息安全意识教育产品，凝聚了众多信息安全专家团队的智慧与心血，引领行业信息安全意识教育的革命，引领信息安全管理的方向。“安全易视”以大众化信息安全意识培养作为信息安全工作重点，主要用于企业对全体员工进行长期信息安全意识教育。 二、安全易视的研发背景 信息安全意识的重要性 信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源，也是企业财产和个人隐私等的重要载体。与此同时，信息安全的重要性也越加凸显：从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键的信息资产的安全性都是非常重要的。 据统计，世界上每分钟就有2个企业因为信息安全问题倒闭，而在所有的信息安全事故中，只有20%—30%是因为黑客入侵或其他外部原因造成的，70%—80%是由于内部员工的疏忽或有意泄露造成的；同时78%的企业数据泄露是来自内部员工的不规范操作。 根据GooAnn发布的国内首份《中国企业员工信息安全意识调查报告（2010）》结果显示，受访者认为在所有企业的安全隐患中，信息安全意识缺乏是最大的安全隐患，占到42.8%的比例，提高全员信息安全意识的重要性由此可见。 就我国而言，7月四部委发布《关于开展全国重要信息系统安全等级保护定级工作的通知》，要求在全国范围内开展等级保护工作。然而，无论还是国内的等保，都会提到对，但在具体实施中提高企业全体人员的信息安全意识目前还面临重重困难，现在企业对安全的认识在逐步提高，不少都花购买了网络安全设备和软件。然而，而从HBgaryFedera事件得出的教训就是，黑客往往能够采用最低的成本，从最薄弱的人员突破，使得花重金成了“马其诺防线” 企业所面临的大量安全问题，往往由信息安全团队无法完全控制的原因而引起 ：员工本身的安全意识。信息安全人员可以给系统打补丁、升级杀毒软件，以及不遗余力的看护装有防护设备的关键设施，但是企业安全事件还是屡屡发生，只要员工能够收到外界的电子邮件、访问网站以及干其他类似的事情，企业就会持续不断地出现安全问题。因此，仅仅提高安全人员的能力是远远不够的。究其原因如果不从提高全员安全意识的角度根本上来解决问题，企业的安全工作永远都是被动的，信息安全人员一直都会是救火队员。 误区三：信息安全意识教育培训一次就够了 在GooAnn所服务过的客户中，绝大多数企业和组织的领导者或者人力资源部门认为，提高全员信息安全意识就是随便搞搞培训，而且搞一次就够了，实际上信息安全意识教育远不止搞一次培训这么简单。正是基于这种思想，即便搞了培训效果也不好，这样就陷入了恶性循环的怪圈之中。 总结： 根据GooAnn发布的国内首份《中国企业员工信息安全意识调查报告（2010）》结果显示，对于目前有效保护企业和组织信息安全面临的最大障碍，受访者认为最大的障碍是普遍缺乏信息安全意识。因此，提高全员的信息安全意识应该摆到企业和组织信息安全建设的议事日程上来。 谷安天下的观点 观点一：人是信息安全环节中最薄弱的一环 让我们引用世界头号黑客Kevin Mitnick 曾说过一句话：“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……”。安全技术和产品无法保护每一个人远离每一种可能存在的安全风险。通过提升全员的信息安全意识，让员工建立起保护企业信息的责任感，是企业面对安全威胁的最佳方式。 观点二：员工信息安全意识状况不容乐观 在很多看起来不起眼的细节上，都隐藏着对企业致命的安全隐患企业迫切需要提升员工的信息安全意识58.6%的受访者半年以上更换一次密码，或者从不更换密码； 仅有26.4%的人会定期给电脑做备份，不做备份和不定期做备份的比例共为73.6%； 67.9%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的物品保管行为； 如果遇到与工作无关但关系要好的同事要工作资料，94.4%的受访者会根据情况的不同，最终还是选择给同事； 当收到熟悉发件人发送的自动播放flash动画或邮件内部嵌入的网页时，69%的人会看动画、下载动画、浏览网页或点击网页链接； 面对内容吸引人的不明邮件，42.5%的受访者会看邮件内容； …… 观点三:信息安全意识教育应全方位、立体化 企业和组织往往认为意识教育就是搞培训，但是单纯的、正统式的培训形式效果都不会很好，在我们最早为企业开展信息安全意识教育的事后就碰到了这问题，最常见的现象是上面老师在讲，下面员工在睡觉、手机上网、玩游戏……。GooAnn认为信息安全意识教育也是需要规划的，即便是培训也