加強安全素養的培養 確保信息安全

摘要：信息安全問題隨著信息技術及計算機網絡的普及與高速發展日益突出，已涉及到政治、經濟、文化、軍事等方方面面，同時，\"以人為本\"，提高個人信息安全素養已成為信息安全保障的基本內容。本文通過分析信息安全、信息素養及信息安全素養的內涵，指出血站員工存在信息安全素養的缺乏，進而提出加快血站員工信息安全素養的形成與提高的建議。

關鍵詞：信息安全；信息素養；信息安全素養

隨著中國社會信息化程度的全面提升，網絡在各個領域的應用及規模不斷擴大，給人們工作和生活帶來便利的同時也帶來各種信息安全威脅。信息安全問題的日益嚴重，不僅影響到信息擁有者的利益，而且可能危害整個社會、甚至關系到國家的安全。如果血站每位員工都有較強的信息安全意識，具備較高的信息安全素養，那么，血液信息安全保障整體水平將得到極大提高。

1信息安全的概念

信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其具有重要意義。信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。信息安全根源于三個方面：①黑客基于各種目的進行的主動攻擊；②個人缺乏信息安全意識，被動泄密；③信息安全防護體系（組織、人員、資金、技術）建設不健全。一直以來的觀點，認為有了高超的信息安全技術水平和完善的信息安全管理體系，就能夠確保信息處于安全狀態，但事實并非如此。

2011年為美國政府和500強企業提供信息安全技術服務的 HBGary Federal公司幾乎一夜間被黑客攻擊徹底擊垮。究其原因是其首席執行官和他領導的管理層在所有的賬戶中使用相同的密碼，黑客只是通過攻擊其企業網站所獲得的外圍密碼，就開啟了幾乎所有的網絡賬戶［1］。這一轟動全球信息安全事件，使大家意識到信息安全的主要隱患已經從外部入侵逐漸轉變為內部人員使用信息的不可控性上。

2信息素養和信息安全素養的內涵

信息素養是一種對信息社會的適應能力，它的本質是全球信息化需要人們具備的一種基本能力。其定義來自1989年美國圖書館學會，它包括：能夠判斷什么時候需要信息，并且懂得如何去獲取信息，如何去評價和有效利用所需的信息。信息素養涉及各方面的知識，它包含人文的、技術的、經濟的、法律諸多因素，和許多學科有著緊密的聯系。信息素養是一種信息能力，信息技術是它的一種工具［2］。

信息安全素養的定義來源于信息素養的概念，是指在信息化條件下，人們對信息安全的認識，以及對信息安全所表現出來的各種綜合能力，包括信息安全意識、信息安全知識、信息安全能力、信息倫理道德等具體內容［3］。

3信息安全素養的重要性

信息安全素養是人員整體素養的一部分，也是現代社會成員適應信息化條件下的各項工作的基本能力之一。員工具有良好的信息安全素養是信息安全保障體系的重要基礎，很多信息安全威脅都源于人。

有研究報道，世界上每分鐘就有2家企業因為信息安全問題倒閉，而在所有的信息安全事故中，只有20%?郯30%是因為黑客入侵或其他外部原因造成的，70%?郯80%是由于內部員工的疏忽或有意泄露造成的，同時78%的企業數據泄露是來自內部員工的不規范操作［4］。海因里希經過大量的研究，認為各種安全事故存在\"88102\"規律，即100起安全事故有88起純屬人為，10起為人和物的不安全狀態綜合造成的，只有2起是難以預防。在RSA2011信息安全大會上，不少信息安全專家不約而同地提出了一個引人關注的問題，即眾多缺乏安全意識的員工，正在成為黑客突破企業安全防護時，最大也最難修補的漏洞。因此，一個投入大量人力物力財力的信息系統沒有可靠的人員保障，幾乎是形同虛設。

目前，人員要素已經成為國家、城市和組織機構信息安全保障體系建設的一個重要組成部分。人員信息安全素養的培養在其日常工作和生活中處于十分突出的位置。

4血站員工存在信息安全素養的缺乏

血站普遍沒有形成健全的信息安全防護機制，對員工的信息安全教育不夠重視，嚴重滯后于信息技術的發展。員工缺乏對信息安全的正確認識，缺乏防護意識，不了解相關的安全法律法規，片面認為此項工作只屬于專業人員的技術問題。

4.1 相對缺乏信息安全意識根據GooAnn 發布的《2011年度中國企業員工信息安全意識調查報告》結果顯示，對于目前有效保護企業和組織信息安全面臨的最大障礙，受訪者認為最大的障礙是普遍缺乏信息安全意識［5］。安全意識的缺乏主要體現在下面幾個方面：①賬戶、密碼的泄露；②PC、手機終端丟失導致泄密；③網絡手段、軟件的應用不了解導致泄密；④網絡泄密。

血站員工普遍缺乏信息安全意識：如不注意計算機保護、經常開著電腦離開；密碼從不修改，或使用容易猜測的密碼，或者根本不設密碼；將自己的帳號密碼隨意轉借他人使用；隨意使用U盤，使用時直接雙擊打開；隨意點擊網頁上吸引自己的鏈接；輕易相信來自陌生人的郵件，好奇打開郵件附件；在網絡上不能保守秘密，口無遮攔，泄漏敏感信息等等。

4.2 缺少信息安全知識部分員工缺少信息安全知識，不了解什么是信息安全，不知道信息安全的重要性。如不知道單位信息安全策略的相關規定、不嚴格執行信息安全規章制度；不知道自己接觸信息的密級程度、不會粉碎密級文件；難以甄別信息的優劣好壞，濫用信息技術制造傳播信息垃圾和計算機病毒；編造虛假信息對他人進行誹謗；瀏覽、下載、傳播非法信息；抄襲他人論文等智力成果等。

4.3 信息安全能力欠缺由于信息安全能力欠缺，部分血站員工不會設置有關安全參數；沒有及時對系統進行更新和安裝補丁；不能辨別什么是信息安全威脅，更不會處理；有的甚至不會安裝殺毒軟件、不會查殺病毒等。

4.4 信息倫理道德較薄弱網絡中形形色色的思潮、觀念，甚至是色情、暴力信息成為影響、誤導普通人群犯罪的重要因素，部分員工承認經常上網瀏覽不良信息會弱化道德自律意識和社會責任感。

5加快信息安全素養的形成與提高

要提高血站員工自身的信息安全素養，首先要培養員工樹立信息安全責任心，讓他們明白信息安全不是事不關己，高高掛起的事情，而是每個人的責任。提升全員的信息安全素養是一項長期的工作，不能指望憑借\"三分鐘激情\"而成就，而應該堅持不懈，才能最終在血站系統內建立起信息安全文化。

素養的形成有一個程度變化的過程，即從低到高逐步發展的過程。信息安全素養內涵豐富，不僅包括信息安全意識，還包括后續各種防護能力、信息倫理道德和法律法規知識等內容［6］。所以，血站員工信息安全素養的提升，考慮從以下幾個方面著手：①加強培訓，提高血站員工信息安全意識，掌握信息安全基本知識，了解信息安全相關的法律法規。個人信息安全意識淡薄的一個重要原因是缺乏信息安全知識教育培訓，要將信息安全培訓納入每年度的培訓計劃并予以貫徹實施。培訓方式應多樣化，可以采用生動有趣的信息安全海報、Flash、手冊等，潛移默化的影響員工，強化其信息安全意識。血站員工同時應學會在信息安全受到侵害時，用法律武器來維護自己的權益。②鼓勵員工通過查閱資料等方式，主動學習信息安全知識，提高處理信息安全問題的能力。具體來說就是學會安裝防火墻和防病毒軟件，并經常升級；及時下載和安裝系統補丁；避免從Internet下載不知名的軟件、游戲程序，隨意打開、運行來歷不明的電子郵件及文件；加強密碼設置及管理；注意保護、備份重要的個人資料。③要加強血站員工信息倫理教育。引導員工養成正確解讀網絡信息、合理使用網絡資源的能力，并形成正確的價值觀，維護網絡道德規范。遵循信息倫理與道德準則，規范自己的信息行為，尊重他人的知識產權，不非法攝取他人秘密，不制造和傳播偽劣信息，抑制違法信息行為［7］。④員工必須意識到安全技術和安全管理等都不是絕對安全可靠的。信息安全建設涉及人員、流程和技術三個環節，人是最關鍵的因素。⑤員工應培養良好的習慣，從保管好賬戶及密碼等細節做起，加強安全防范措施。具體來說就是日常計算機維護，重要的文件數據不存放在系統盤、上網時對于一些來歷不明的鏈接不要隨意點擊、來歷不明的文件不要輕易接收；要定期進行病毒全盤查殺、盡量使用正版軟件；如果一旦發生信息安全事故，要及時上報相關部門并請求正確的處理。在自己養成良好習慣的同時要鼓勵其他人也這樣做。

6結論

絕對的安全是不存在的，真正的安全是靠人來保障的。在信息安全的所有相關因素中，人是最活躍的因素，人的行為是信息安全保障最主要的方面。人既可以是最大的潛在威脅，也可以是最可靠的安全防線[1]。普及信息安全教育，提高信息安全素養，是確保計算機信息系統安全的關鍵因素。計算機信息系統的安全一直是動態的，因此血站員工信息安全素養的形成和提高也是一個漸變發展的動態過程，需要我們通過不斷的學習、培訓來完善和提升。

參考文獻：

［1］武曉春，等.面向組織機構的人員信息安全意識培養模式研究[J].電腦知識與技術，2011（7）：8830 -8832.

［2］孫平，曾曉牧.認識信息素養[J].大學圖書館學報，2004（4）：34-37.

［3］劉楓，大學生信息安全素養分析與形成[J].計算機教育，2010(21)：77-80

［4］周 龍. 深入探討企業員工的信息安全意識[J].硅谷，2013(3)：132-133.

[5] 北京谷安天下科技有限公司.2011年度中國企業員工信息安全意識現狀調研報告.

[6] 羅力.論國民信息安全素養的培養[J]．圖書情報工作，2012(6)：25-28，37．

［7］謝嵐，等.關于大學生的信息素養教育[J]. 農業網絡信息，2010(7)：157-158.

編輯/王海靜