企業員工信息安全行為風險管控制度建構研究

2017-09-22 11:18:48尹君普鋼蘇永東肖鵬劉玉婷

科技創新與應用 2017年28期

尹君+普鋼+蘇永東+肖鵬+劉玉婷

摘要：文章重點關注在信息業務安全中，因員工行為帶來的各類信息安全風險，通過對企業信息安全現狀的了解、安全需求的確認以及對信息安全行為的風險評估，從而構建出較為全面的行為規范。最后，提出了員工信息安全行為防范措施，主要包括強化企業員工信息安全教育培訓、完善信息安全管理制度等內容。

關鍵詞：企業員工；信息安全行為；信息安全行為風險評估；防范措施

中圖分類號：F270.7 文獻標志碼：A 文章編號：2095-2945（2017）28-0142-03

1 研究背景

電力企業作為關乎國計民生的基礎行業，企業內部各業務數據已基本在網絡流轉，一旦發生信息安全事件，將會為國家、社會公眾及企業帶來難以估計的損失。然而，企業對安全技術的依賴，常常會忽視企業員工因其行為對信息安全帶來的隱患。

企業員工的內部威脅已經成為信息安全事件的首要誘因[1]，企業除了應重視對企業員工的信息安全意識的培養以及安全知識和技能的灌輸，還應針對員工信息安全行為制定相關的規范，完善相應的控制體系，使員工行為不斷標準化，減少因員工行為給企業信息安全帶來的損害。

2 電力企業信息安全現狀

從電力行業信息安全的運維及保障來看，目前在信息安全技術方面基本能跟上趨勢發展。

2.1 近年來的改進及發展

（1）信息安全防護技術較為完善；統一了互聯網出口，并建立了DMZ區管理并配備了IPS、WAF等安全防護設備，實現了層次清晰的網絡區域劃分和防護。

（2）信息安全工作開展廣泛；通過開展信息安全配置核查、信息安全整改與加固、信息安全宣傳教育與培訓等一系列工作，發現信息系統存在的各類安全隱患，對各類安全隱患進行合理的風險控制措施，最大程度地防止各類安全事件的產生，保障信息系統的安全、穩定運行。

（3）信息安全體系較為完整；根據國家的法律規定及各項標準（如：《信息技術-安全技術-信息安全管理體系-要求》、《信息安全風險評估規范》等）編制出符合企業自身情況的一套信息安全體系標準，為日常信息安全工作的開展提供了詳細的指導方案、規范及要求，在一定程度上保證了信息安全工作的標準化及公司信息資產的安全性。

2.2 存在的安全隱患分析

（1）針對員工信息安全行為的管控規范、制度欠缺；沒有規范化的標準對企業員工的行為進行管控，因此員工的信息安全行為可能對公司的信息資產造成軟硬件故障、物理環境影響、惡意代碼、網絡攻擊、越權或濫用、泄密等多種威脅。

（2）員工信息安全意識不平衡；企業員工年齡和從事工作種類的差異，目前電力企業職工信息安全意識不平衡的情況也較為明顯。

（3）除了部分安全技術風險外，還存在對網絡與信息安全工作認識不足、重視不夠；木馬病毒和惡意軟件難以勝防；弱口令問題廣泛存在；對業務部門自檢系統難以監管等員工信息安全行為風險。

3 員工信息安全行為風險分析

3.1 安全需求

依據上述的現狀分析，電力企業已注意到因企業員工的違規行為導致公司信息資產存在著安全風險，提出要加強對員工信息安全行為的管控，結合企業自身現有信息安全現狀及信息安全管理體系，較為全面的構建、編制員工信息安全行為規范的安全需求。

3.2 威脅分類

3.2.1 威脅來源識別

依據《信息安全技術-信息安全風險評估規范》（GB/T20984-2007），將企業員工的不規范行為視為一種人為因素的威脅來源，并根據動機分為主觀惡意和非惡意兩種。其中，主觀惡意行為源于內部人員基于特定的目的，而利用其對組織和信息系統的熟悉，以及工作的便利，對信息資產進行破壞、欺詐和竊取；非惡意行為則是組織內部人員信息安全防范的知識和技能缺乏，或是主觀上感知偏差、判斷失誤等造成的信息安全破壞行為。

3.2.2 威脅識別

針對威脅來源，根據其表現形勢將威脅劃分為以下幾類，如表1所示。

3.3 行為對象識別及等級劃分

依據電力企業現有資產現狀，將員工信息安全行為對象劃分為6個類別，分別為：信息系統、網絡系統、信息內容、信息保密、物理環境及辦公設備。

其中，網絡系統中根據承載的信息數據及接入網絡范圍細分為辦公網絡及骨干網絡；信息內容依據受損對象細分為危害社會公共利益及國家安全的內容、損害公司形象的內容兩類。信息保密類依據企業已有標準《涉密事項界定表》界定的涉密內容和非涉密信息進行分類。

信息安全違規行為依據行為對象類型的重要程度及員工行為可能造成影響的嚴重程度和范圍對信息安全違規行為進行分級。行為對象劃分及信息安全違規行為分級如表2所示。

4 員工信息安全行為規范建構

4.1 員工信息安全行為控制維度

對照、匯總威脅種類，提出在病毒防范、網絡使用、信息保密、內容安全、物理環境、總體要求及其他7種類，并依據在不同類別下的行為對象作為分析維度對員工信息安全行為進行管控，并構建員工信息安全行為規范。下表3為信息安全行為控制種類。

4.2 員工信息安全行為規范

4.2.1 總體要求

總體要求中主要提出了企業員工需依據國家相關的法律法規及企業所制定的相關管理規范對自身行為的自我管控，根據相關管理規定和要求開展工作，定期參與信息安全培訓，提升自我信息安全意識等規定的內容。

4.2.2 “物理環境”類行為管控

制定員工行為規范，控制企業軟硬件資產、物理環境不受違規行為的威脅和破壞。促使員工努力保障及維護公司的工作環境及軟硬件資產的安全。愛護辦公環境，保護公共設施，提升防火、防盜意識，必要時進行應急演練；發現環境、設施、資產異常及時上報。endprint

制定規范舉例：不得攜帶危害設備安全的物品（具有腐蝕性、易燃性、輻射性等）進入辦公環境；不得利用危害設備安全的物品破壞設備、個人終端、網絡的運行條件。

違規行為等級：（1）攜帶危害設備安全的物品（具有腐蝕性、易燃性、輻射性等）進入辦公環境，對應信息安全違規行為四級。（2）利用危害設備安全的物品破壞設備、個人終端、網絡的運行條件，對應信息安全違規行為三級。

4.2.3 “病毒防范”類行為管控

規范員工信息安全行為，對個人計算機、移動終端設備按要求安裝、配置、管理防病毒軟件、安全準入系統，防止病毒等惡意程序的破壞。規范自身行為不進行違法違規網絡操作。

制定規范舉例：“不安裝、不運行非可信渠道獲取的軟件。違規行為等級：對應信息安全違規行為三級”

4.2.4 “網絡使用”類行為管控

規范員工信息安全行為健康、安全使用網絡。外出辦公需接入網絡時，要確定所接入網絡的安全性，不使用未知的無線網絡。

制定規范舉例：“禁止進行未經授權的、惡意的網絡探測、信息采集、身份偽造及欺騙。違規行為等級：（1）對信息系統網絡進行惡意的網絡探測、信息采集、身份偽造及欺騙，對應信息安全違規行為二級。（2）對辦公網絡進行惡意的網絡探測、信息采集、身份偽造及欺騙，對應信息安全違規行為三級”。

4.2.5 “信息保密”類行為管控

制定相關規范，達到提高員工信息安全保密意識，防止信息的泄露、越權濫用和篡改的行為的發生。

制定規范舉例：“發現泄密行為，應及時上報主管部門和信息部門并采取相關措施。違規行為等級：對應信息安全違規行為四級”。

4.2.6 “內容安全”類行為管控

規范員工信息安全行為，督促員工傳播、發表合法合規言論，維護國家、社會公眾利益及公司形象。

制定規范舉例：“嚴禁以公司名義處理個人事務、發表個人言論。違規行為等級：對應信息安全行為二級”。

4.2.7 “其他”類行為管控

規范員工信息安全行為防止無作為、誤操作及管理不到位情況的發生。

制定規范舉例：“應按照信息安全管理規程，嚴格進行信息安全的管理、監督。違規行為等級：對應信息安全違規行為三級”。

4.3 員工信息安全違規行為定級及問責

同一信息安全違規行為對應不同的行為對象，按照各對象經過調查確定的信息安全違規行為等級，取各個對象的最高等級進行信息安全違規行為的定級。若信息安全違規行為是發出者主觀愿意且蓄意發出的，應按照行為對象對應行為等級的最高一級定級后再上調一級。具體的違規行為定級及問責制度可根據企業的具體情況做出相應調整。

5 員工信息安全行為防范措施及建議

5.1 員工信息安全行為規范的實施

員工信息安全行為規范的實施過程應是螺旋循環上升的過程，可以參考PDCA（Plan、Do、Check、Action）螺旋循環原則，過程模型如下圖1所示，將每周期具體管控實施過程分為四個階段[2]。

每輪的循環應向著更加貼近企業信息安全現狀及員工信息安全意識程度進行，使得員工信息安全行為風險管控與企業的信息安全管控體系不斷融合，達到規范員工信息安全行為，保護企業信息安全不受員工違規行為侵害。

5.2 加強信息安全監管軟件的推廣力度

員工信息安全行為管控離不開信息安全技術的監管和輔助。目前電力企業推廣了桌面管理系統和網絡準入系統，此外建議增加上網行為監管、監控軟件，對員工在網絡使用（網站訪問內容、計算機濫用）和信息保密（論壇發帖、機密泄露、聲譽風險）等類型的違規行為進行有力的管控。

5.3 提升員工信息安全素質

進一步提升企業員工的信息安全素質。一方面定期開展信息安全宣傳教育、發放宣傳海報或視頻，達到對企業全體員工信息安全知識的普及。另一方面應按工作需要、所在部門及具有特殊工作性質的員工進行分層次、有針對性的安全培訓和教育，全面提高員工信息安全意識和技術水平。此外，應開展員工信息安全行為規定及安全實例的講解，從信息安全事件實例及相關人員經驗，深刻了解安全行為規范及安全策略配置的初衷。

6 結束語

電力企業要保持健康可持續性的發展，信息安全是基本的保證之一，而信息安全的保障不能僅依靠信息安全技術的實現，對企業員工的信息安全行為管控絕不可缺少。通過對企業信息安全現狀的了解、安全需求的確認、信息安全行為的風險分析，較為清晰的構建出員工信息安全行為規范，從病毒防范、網絡使用、信息保密、內容安全、物理環境、總體要求及其他7個類別實現對員工信息安全行為的管控，并輔以違規行為的定級及問責制度實現對企業員工信息安全行為較為全面的管控。

最后提出了員工信息安全行為防范的措施及建議，通過先進的信息安全技術輔以PDCA的管控實施模式，不斷貼近時代和企業的信息安全發展趨勢，增強員工信息安全意識，使企業信息安全的建設不斷完善。

參考文獻：

[1]PADAYACHEE K. Taxonomy of compliant information security behavior. Computers & Security，2012，32（5）：673-680.

[2]孫強，程偉，王東紅.信息安全管理：全球最佳實務與實施指南[M]. 北京：清華大學出版社，2004.

[3]張曉明.淺談供電企業的信息安全管理[J].科技創新與應用，2016（31）：221.endprint