以网络安全建设为契机全面提高员工风险防范意识.docxVIP

以网络安全建设为契机全面提高员工风险防范意识 目前，企业信息网主要有两种安全漏洞：第一 ，用户对移 动介质的依赖和滥用，包括 U 盘、盗版操作系统光盘、影碟等未 经杀毒就直接用在信息网内的计算机上；第二，在技术手段上， 信息网自身没有威胁检测和过滤设备，无法发现包括电子邮件、 0A系统、路由可达的网络上存在的任何威胁。 各类威胁对信息网的入侵过程可以这样来描述： 出于工作需 要和设备条件的限制，为了方便，很多用户都使用U盘拷贝来自 互联网的形形色色文件， 一旦 U 盘被病毒感染， 病毒程序就会自 我复制、自动传播到读取U盘的计算机上，其中的网络病毒还能 自动传播到染毒计算机所在的网络上， 对于只部署了边界防御能 力的信息网， 网内的威胁仅在网络带宽的限制下自由传播， 不仅 影响网内个人计算机的运行性能， 而且严重威胁染毒计算机的数 据安全和染毒网络的传输性能，甚至能够盗取涉密信息。 可见，企业信息网安全面临的形势已经十分严峻。 二、提高员工风险防范意识的意义 十余年来，由于发展业务、谋求生存空间的需要，一直比较 注重业务系统的培训， 一直比较注重技术人才的引进和培养， 一 直比较注重锻炼业绩优、 技能高的员工的管理能力， 这些人才为 企业的发展壮大做出了突出贡献， 然而信息安全如同普遍服务一 般，也需要从企业的细枝末节做起。随着业务不断发展，业务种 类日益细分、技能要求日益提高，各项工作都向“专、精”方向 发展；政企分开，使企业完全暴露于市场竞争之中，为满足市场 需求，业务结构因地制宜、相时而变，各项业务的技能和知识含 量不断增加，风险防范越来越集中在企业信息安全上， 缺乏信息 安全防范意识势必会影响服务的质量和信誉。 经过十余年建设的企业信息网， 如今为企业发展提供着不可 替代的支撑作用，而信息网的每位使用者，从网点到机关，从乡 镇到城市，都既是这一成果的受益者，也是信息网安全的守护者， 从这一点讲，加强信息网安全管理是提高企业人才素质的一个重 要方面。 三、加强员工的信息安全管理 加强员工的信息安全管理是实现信息网安全的根本， 针对信 息安全管理力量不足，网络安全设备品种单一、数量稀少的问题， 建议： （一）各级领导干部要正确认识培养信息安全意识的长期性 信息网安全必须层层推进，各级领导干部是企业各项方针政 策的决策者，掌握着企业的核心资源。只有充分认识企业信息安 全的重要性，才能以身作则，为提高员工的信息安全防范意识提 高支撑，才能保障信息安全落实到位。 加强信息安全必须与行业发展趋势和业务流程相结合， 明确 信息安全防范的各个环节，在信息网用户处理各项业务的同时渗 透信息安全防范措施，使信息安全意识贯穿企业各项工作开展的 各个环节中，在各级单位内部形成重发展、保安全的环境，建立 信息安全防范机制及相应员工奖罚、 监督检查、 日常培训等方面 的规章制度。 各级领导必须对此项工作给予足够的重视， 杜绝弄 虚作假，力求实事求是，以集团公司、省公司每月的信息网安全 通报为准绳， 有效督促信息安全防范工作的落实， 不做表面文章。 （二）培养员工信息安全意识的举措 坚持以人为本的管理理念，认真总结企业独立运营十余年 来，信息安全工作方面暴露的问题、发生的事件，用先进人物和 事迹感人员工， 用惨重的经济代价唤醒员工， 加强对新进和在职 工作的员工的教育引导： 1. 针对信息安全威胁的不断变化， 建立长效的培训机制、 宣 传机制。成立内部培训师队伍， 是各省普遍采用的人力保障措施， 不仅培训普通员工，也要培训专业技术人员。 2. 针对广大普通用户技术能力不足的情况， 建立长期有效的 现场技术服务体系。 信息化设备的使用已经遍及城乡网点， 信息 安全的触角却还停留省市中心等枢纽环节， 要切实推广信息安全 防范措施必须加大用户终端的维护力度， 一方面及时发现信息安 全隐患，及时纠正用户不规范的信息网使用习惯，另一方面，协 助用户解决信息安全防范遇到的障碍， 保证用户正常使用业务系 统，每个月都对每一台信息网 PC提供至少一次现场技术服务， 保证用户设备的可用性， 保证信息安全软件安装到位， 保证业务 和技术的共同进步。 （三）引进网络安全设备，有效监控信息安全事件 目前，信息网内的防火墙设备仅能起到隔离不同区域， 按策 略过滤用户数据， 防范传统网络威胁的能力， 对于新兴的很多网 络威胁，如各种蠕虫、木马，不具备任何防范能力；对用户终端 的用途，更不能提供任何检测能力。 在集团公司部署的信息网安全设备中， Landesk 桌面管控产 品，可以实现专机专用，由管理员统一定制策略，限制用户终端 软硬件的安装使用；趋势网络防病毒解决方案，该方案包括查 （TDA、防（IWSA、阻（NVWJE、杀（OfficeScan ）四部分， 典型案例如下图