加强安全素养培养 确保信息安全.docVIP

加强安全素养培养 确保信息安全 　　摘要：信息安全问题随着信息技术及计算机网络的普及与高速发展日益突出，已涉及到政治、经济、文化、军事等方方面面，同时，以人为本，提高个人信息安全素养已成为信息安全保障的基本内容。本文通过分析信息安全、信息素养及信息安全素养的内涵，指出血站员工存在信息安全素养的缺乏，进而提出加快血站员工信息安全素养的形成与提高的建议。 　　关键词：信息安全；信息素养；信息安全素养 　　随着中国社会信息化程度的全面提升，网络在各个领域的应用及规模不断扩大，给人们工作和生活带来便利的同时也带来各种信息安全威胁。信息安全问题的日益严重，不仅影响到信息拥有者的利益，而且可能危害整个社会、甚至关系到国家的安全。如果血站每位员工都有较强的信息安全意识，具备较高的信息安全素养，那么，血液信息安全保障整体水平将得到极大提高。 　　1信息安全的概念 　　信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其具有重要意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。信息安全根源于三个方面：①黑客基于各种目的进行的主动攻击；②个人缺乏信息安全意识，被动泄密；③信息安全防护体系（组织、人员、资金、技术）建设不健全。一直以来的观点，认为有了高超的信息安全技术水平和完善的信息安全管理体系，就能够确保信息处于安全状态，但事实并非如此。 　　2011年为美国政府和500强企业提供信息安全技术服务的 HBGary Federal公司几乎一夜间被黑客攻击彻底击垮。究其原因是其首席执行官和他领导的管理层在所有的账户中使用相同的密码，黑客只是通过攻击其企业网站所获得的外围密码，就开启了几乎所有的网络账户［1］。这一轰动全球信息安全事件，使大家意识到信息安全的主要隐患已经从外部入侵逐渐转变为内部人员使用信息的不可控性上。 　　2信息素养和信息安全素养的内涵 　　信息素养是一种对信息社会的适应能力，它的本质是全球信息化需要人们具备的一种基本能力。其定义来自1989年美国图书馆学会，它包括：能够判断什么时候需要信息，并且懂得如何去获取信息，如何去评价和有效利用所需的信息。信息素养涉及各方面的知识，它包含人文的、技术的、经济的、法律诸多因素，和许多学科有着紧密的联系。信息素养是一种信息能力，信息技术是它的一种工具［2］。 　　信息安全素养的定义来源于信息素养的概念，是指在信息化条件下，人们对信息安全的认识，以及对信息安全所表现出来的各种综合能力，包括信息安全意识、信息安全知识、信息安全能力、信息伦理道德等具体内容［3］。 　　3信息安全素养的重要性 　　信息安全素养是人员整体素养的一部分,也是现代社会成员适应信息化条件下的各项工作的基本能力之一。员工具有良好的信息安全素养是信息安全保障体系的重要基础，很多信息安全威胁都源于人。 　　有研究报道，世界上每分钟就有2家企业因为信息安全问题倒闭，而在所有的信息安全事故中，只有20%?郯30%是因为黑客入侵或其他外部原因造成的，70%?郯80%是由于内部员工的疏忽或有意泄露造成的，同时78%的企业数据泄露是来自内部员工的不规范操作［4］。海因里希经过大量的研究，认为各种安全事故存在88102规律，即100起安全事故有88起纯属人为，10起为人和物的不安全状态综合造成的，只有2起是难以预防。在RSA2011信息安全大会上，不少信息安全专家不约而同地提出了一个引人关注的问题，即众多缺乏安全意识的员工，正在成为黑客突破企业安全防护时，最大也最难修补的漏洞。因此，一个投入大量人力物力财力的信息系统没有可靠的人员保障，几乎是形同虚设。 　　目前，人员要素已经成为国家、城市和组织机构信息安全保障体系建设的一个重要组成部分。人员信息安全素养的培养在其日常工作和生活中处于十分突出的位置。 　　4血站员工存在信息安全素养的缺乏 　　血站普遍没有形成健全的信息安全防护机制，对员工的信息安全教育不够重视，严重滞后于信息技术的发展。员工缺乏对信息安全的正确认识，缺乏防护意识，不了解相关的安全法律法规，片面认为此项工作只属于专业人员的技术问题。 　　4.1 相对缺乏信息安全意识根据GooAnn 发布的《2011年度中国企业员工信息安全意识调查报告》结果显示，对于目前有效保护企业和组织信息安全面临的最大障碍，受访者认为最大的障碍是普遍缺乏信息安全意识［5］。安全意识的缺乏主要体现在下面几个方面：①账户、密码的泄露；②PC、手机终端丢失导致泄密；③网络手段、软件的应用不了解导致泄密；④网络泄密。 　　血站员工普遍缺乏信息安全意识：如不注意计算机保护、经常开着电脑离开；密码从不修改，或使用容易猜测的密码，或者根本不设密码；将自己的帐号密