企業(yè)員工信息安全行為風險管控制度建構(gòu)研究

尹君+普鋼+蘇永東+肖鵬+劉玉婷

摘 要：文章重點關(guān)注在信息業(yè)務(wù)安全中，因員工行為帶來的各類信息安全風險，通過對企業(yè)信息安全現(xiàn)狀的了解、安全需求的確認以及對信息安全行為的風險評估，從而構(gòu)建出較為全面的行為規(guī)范。最后，提出了員工信息安全行為防范措施，主要包括強化企業(yè)員工信息安全教育培訓、完善信息安全管理制度等內(nèi)容。

關(guān)鍵詞：企業(yè)員工；信息安全行為；信息安全行為風險評估；防范措施

中圖分類號：F270.7 文獻標志碼：A 文章編號：2095-2945（2017）28-0142-03

1 研究背景

電力企業(yè)作為關(guān)乎國計民生的基礎(chǔ)行業(yè)，企業(yè)內(nèi)部各業(yè)務(wù)數(shù)據(jù)已基本在網(wǎng)絡(luò)流轉(zhuǎn)，一旦發(fā)生信息安全事件，將會為國家、社會公眾及企業(yè)帶來難以估計的損失。然而，企業(yè)對安全技術(shù)的依賴，常常會忽視企業(yè)員工因其行為對信息安全帶來的隱患。

企業(yè)員工的內(nèi)部威脅已經(jīng)成為信息安全事件的首要誘因[1]，企業(yè)除了應(yīng)重視對企業(yè)員工的信息安全意識的培養(yǎng)以及安全知識和技能的灌輸，還應(yīng)針對員工信息安全行為制定相關(guān)的規(guī)范，完善相應(yīng)的控制體系，使員工行為不斷標準化，減少因員工行為給企業(yè)信息安全帶來的損害。

2 電力企業(yè)信息安全現(xiàn)狀

從電力行業(yè)信息安全的運維及保障來看，目前在信息安全技術(shù)方面基本能跟上趨勢發(fā)展。

2.1 近年來的改進及發(fā)展

（1）信息安全防護技術(shù)較為完善；統(tǒng)一了互聯(lián)網(wǎng)出口，并建立了DMZ區(qū)管理并配備了IPS、WAF等安全防護設(shè)備，實現(xiàn)了層次清晰的網(wǎng)絡(luò)區(qū)域劃分和防護。

（2）信息安全工作開展廣泛；通過開展信息安全配置核查、信息安全整改與加固、信息安全宣傳教育與培訓等一系列工作，發(fā)現(xiàn)信息系統(tǒng)存在的各類安全隱患，對各類安全隱患進行合理的風險控制措施，最大程度地防止各類安全事件的產(chǎn)生，保障信息系統(tǒng)的安全、穩(wěn)定運行。

（3）信息安全體系較為完整；根據(jù)國家的法律規(guī)定及各項標準（如：《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》、《信息安全風險評估規(guī)范》等）編制出符合企業(yè)自身情況的一套信息安全體系標準，為日常信息安全工作的開展提供了詳細的指導方案、規(guī)范及要求，在一定程度上保證了信息安全工作的標準化及公司信息資產(chǎn)的安全性。

2.2 存在的安全隱患分析

（1）針對員工信息安全行為的管控規(guī)范、制度欠缺；沒有規(guī)范化的標準對企業(yè)員工的行為進行管控，因此員工的信息安全行為可能對公司的信息資產(chǎn)造成軟硬件故障、物理環(huán)境影響、惡意代碼、網(wǎng)絡(luò)攻擊、越權(quán)或濫用、泄密等多種威脅。

（2）員工信息安全意識不平衡；企業(yè)員工年齡和從事工作種類的差異，目前電力企業(yè)職工信息安全意識不平衡的情況也較為明顯。

（3）除了部分安全技術(shù)風險外，還存在對網(wǎng)絡(luò)與信息安全工作認識不足、重視不夠；木馬病毒和惡意軟件難以勝防；弱口令問題廣泛存在；對業(yè)務(wù)部門自檢系統(tǒng)難以監(jiān)管等員工信息安全行為風險。

3 員工信息安全行為風險分析

3.1 安全需求

依據(jù)上述的現(xiàn)狀分析，電力企業(yè)已注意到因企業(yè)員工的違規(guī)行為導致公司信息資產(chǎn)存在著安全風險，提出要加強對員工信息安全行為的管控，結(jié)合企業(yè)自身現(xiàn)有信息安全現(xiàn)狀及信息安全管理體系，較為全面的構(gòu)建、編制員工信息安全行為規(guī)范的安全需求。

3.2 威脅分類

3.2.1 威脅來源識別

依據(jù)《信息安全技術(shù)-信息安全風險評估規(guī)范》（GB/T20984-2007），將企業(yè)員工的不規(guī)范行為視為一種人為因素的威脅來源，并根據(jù)動機分為主觀惡意和非惡意兩種。其中，主觀惡意行為源于內(nèi)部人員基于特定的目的，而利用其對組織和信息系統(tǒng)的熟悉，以及工作的便利，對信息資產(chǎn)進行破壞、欺詐和竊取；非惡意行為則是組織內(nèi)部人員信息安全防范的知識和技能缺乏，或是主觀上感知偏差、判斷失誤等造成的信息安全破壞行為。

3.2.2 威脅識別

針對威脅來源，根據(jù)其表現(xiàn)形勢將威脅劃分為以下幾類，如表1所示。

3.3 行為對象識別及等級劃分

依據(jù)電力企業(yè)現(xiàn)有資產(chǎn)現(xiàn)狀，將員工信息安全行為對象劃分為6個類別，分別為：信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、信息內(nèi)容、信息保密、物理環(huán)境及辦公設(shè)備。

其中，網(wǎng)絡(luò)系統(tǒng)中根據(jù)承載的信息數(shù)據(jù)及接入網(wǎng)絡(luò)范圍細分為辦公網(wǎng)絡(luò)及骨干網(wǎng)絡(luò)；信息內(nèi)容依據(jù)受損對象細分為危害社會公共利益及國家安全的內(nèi)容、損害公司形象的內(nèi)容兩類。信息保密類依據(jù)企業(yè)已有標準《涉密事項界定表》界定的涉密內(nèi)容和非涉密信息進行分類。

信息安全違規(guī)行為依據(jù)行為對象類型的重要程度及員工行為可能造成影響的嚴重程度和范圍對信息安全違規(guī)行為進行分級。行為對象劃分及信息安全違規(guī)行為分級如表2所示。

4 員工信息安全行為規(guī)范建構(gòu)

4.1 員工信息安全行為控制維度

對照、匯總威脅種類，提出在病毒防范、網(wǎng)絡(luò)使用、信息保密、內(nèi)容安全、物理環(huán)境、總體要求及其他7種類，并依據(jù)在不同類別下的行為對象作為分析維度對員工信息安全行為進行管控，并構(gòu)建員工信息安全行為規(guī)范。下表3為信息安全行為控制種類。

4.2 員工信息安全行為規(guī)范

4.2.1 總體要求

總體要求中主要提出了企業(yè)員工需依據(jù)國家相關(guān)的法律法規(guī)及企業(yè)所制定的相關(guān)管理規(guī)范對自身行為的自我管控，根據(jù)相關(guān)管理規(guī)定和要求開展工作，定期參與信息安全培訓， 提升自我信息安全意識等規(guī)定的內(nèi)容。

4.2.2 “物理環(huán)境”類行為管控

制定員工行為規(guī)范，控制企業(yè)軟硬件資產(chǎn)、物理環(huán)境不受違規(guī)行為的威脅和破壞。促使員工努力保障及維護公司的工作環(huán)境及軟硬件資產(chǎn)的安全。愛護辦公環(huán)境，保護公共設(shè)施，提升防火、防盜意識，必要時進行應(yīng)急演練；發(fā)現(xiàn)環(huán)境、設(shè)施、資產(chǎn)異常及時上報。endprint

制定規(guī)范舉例：不得攜帶危害設(shè)備安全的物品（具有腐蝕性、易燃性、輻射性等）進入辦公環(huán)境；不得利用危害設(shè)備安全的物品破壞設(shè)備、個人終端、網(wǎng)絡(luò)的運行條件。

違規(guī)行為等級：（1）攜帶危害設(shè)備安全的物品（具有腐蝕性、易燃性、輻射性等）進入辦公環(huán)境，對應(yīng)信息安全違規(guī)行為四級。（2）利用危害設(shè)備安全的物品破壞設(shè)備、個人終端、網(wǎng)絡(luò)的運行條件，對應(yīng)信息安全違規(guī)行為三級。

4.2.3 “病毒防范”類行為管控

規(guī)范員工信息安全行為，對個人計算機、移動終端設(shè)備按要求安裝、配置、管理防病毒軟件、安全準入系統(tǒng)，防止病毒等惡意程序的破壞。規(guī)范自身行為不進行違法違規(guī)網(wǎng)絡(luò)操作。

制定規(guī)范舉例：“不安裝、不運行非可信渠道獲取的軟件。違規(guī)行為等級：對應(yīng)信息安全違規(guī)行為三級”

4.2.4 “網(wǎng)絡(luò)使用”類行為管控

規(guī)范員工信息安全行為健康、安全使用網(wǎng)絡(luò)。外出辦公需接入網(wǎng)絡(luò)時，要確定所接入網(wǎng)絡(luò)的安全性，不使用未知的無線網(wǎng)絡(luò)。

制定規(guī)范舉例：“禁止進行未經(jīng)授權(quán)的、惡意的網(wǎng)絡(luò)探測、信息采集、身份偽造及欺騙。違規(guī)行為等級：（1）對信息系統(tǒng)網(wǎng)絡(luò)進行惡意的網(wǎng)絡(luò)探測、信息采集、身份偽造及欺騙，對應(yīng)信息安全違規(guī)行為二級。（2）對辦公網(wǎng)絡(luò)進行惡意的網(wǎng)絡(luò)探測、信息采集、身份偽造及欺騙，對應(yīng)信息安全違規(guī)行為三級”。

4.2.5 “信息保密”類行為管控

制定相關(guān)規(guī)范，達到提高員工信息安全保密意識，防止信息的泄露、越權(quán)濫用和篡改的行為的發(fā)生。

制定規(guī)范舉例：“發(fā)現(xiàn)泄密行為，應(yīng)及時上報主管部門和信息部門并采取相關(guān)措施。違規(guī)行為等級：對應(yīng)信息安全違規(guī)行為四級”。

4.2.6 “內(nèi)容安全”類行為管控

規(guī)范員工信息安全行為，督促員工傳播、發(fā)表合法合規(guī)言論，維護國家、社會公眾利益及公司形象。

制定規(guī)范舉例：“嚴禁以公司名義處理個人事務(wù)、發(fā)表個人言論。違規(guī)行為等級：對應(yīng)信息安全行為二級”。

4.2.7 “其他”類行為管控

規(guī)范員工信息安全行為防止無作為、誤操作及管理不到位情況的發(fā)生。

制定規(guī)范舉例：“應(yīng)按照信息安全管理規(guī)程，嚴格進行信息安全的管理、監(jiān)督。違規(guī)行為等級：對應(yīng)信息安全違規(guī)行為三級”。

4.3 員工信息安全違規(guī)行為定級及問責

同一信息安全違規(guī)行為對應(yīng)不同的行為對象，按照各對象經(jīng)過調(diào)查確定的信息安全違規(guī)行為等級，取各個對象的最高等級進行信息安全違規(guī)行為的定級。若信息安全違規(guī)行為是發(fā)出者主觀愿意且蓄意發(fā)出的，應(yīng)按照行為對象對應(yīng)行為等級的最高一級定級后再上調(diào)一級。具體的違規(guī)行為定級及問責制度可根據(jù)企業(yè)的具體情況做出相應(yīng)調(diào)整。

5 員工信息安全行為防范措施及建議

5.1 員工信息安全行為規(guī)范的實施

員工信息安全行為規(guī)范的實施過程應(yīng)是螺旋循環(huán)上升的過程，可以參考PDCA（Plan、Do、Check、Action）螺旋循環(huán)原則，過程模型如下圖1所示，將每周期具體管控實施過程分為四個階段[2]。

每輪的循環(huán)應(yīng)向著更加貼近企業(yè)信息安全現(xiàn)狀及員工信息安全意識程度進行，使得員工信息安全行為風險管控與企業(yè)的信息安全管控體系不斷融合，達到規(guī)范員工信息安全行為，保護企業(yè)信息安全不受員工違規(guī)行為侵害。

5.2 加強信息安全監(jiān)管軟件的推廣力度

員工信息安全行為管控離不開信息安全技術(shù)的監(jiān)管和輔助。目前電力企業(yè)推廣了桌面管理系統(tǒng)和網(wǎng)絡(luò)準入系統(tǒng)，此外建議增加上網(wǎng)行為監(jiān)管、監(jiān)控軟件，對員工在網(wǎng)絡(luò)使用（網(wǎng)站訪問內(nèi)容、計算機濫用）和信息保密（論壇發(fā)帖、機密泄露、聲譽風險）等類型的違規(guī)行為進行有力的管控。

5.3 提升員工信息安全素質(zhì)

進一步提升企業(yè)員工的信息安全素質(zhì)。一方面定期開展信息安全宣傳教育、發(fā)放宣傳海報或視頻，達到對企業(yè)全體員工信息安全知識的普及。另一方面應(yīng)按工作需要、所在部門及具有特殊工作性質(zhì)的員工進行分層次、有針對性的安全培訓和教育，全面提高員工信息安全意識和技術(shù)水平。此外，應(yīng)開展員工信息安全行為規(guī)定及安全實例的講解，從信息安全事件實例及相關(guān)人員經(jīng)驗，深刻了解安全行為規(guī)范及安全策略配置的初衷。

6 結(jié)束語

電力企業(yè)要保持健康可持續(xù)性的發(fā)展，信息安全是基本的保證之一，而信息安全的保障不能僅依靠信息安全技術(shù)的實現(xiàn)，對企業(yè)員工的信息安全行為管控絕不可缺少。通過對企業(yè)信息安全現(xiàn)狀的了解、安全需求的確認、信息安全行為的風險分析，較為清晰的構(gòu)建出員工信息安全行為規(guī)范，從病毒防范、網(wǎng)絡(luò)使用、信息保密、內(nèi)容安全、物理環(huán)境、總體要求及其他7個類別實現(xiàn)對員工信息安全行為的管控，并輔以違規(guī)行為的定級及問責制度實現(xiàn)對企業(yè)員工信息安全行為較為全面的管控。

最后提出了員工信息安全行為防范的措施及建議，通過先進的信息安全技術(shù)輔以PDCA的管控實施模式，不斷貼近時代和企業(yè)的信息安全發(fā)展趨勢，增強員工信息安全意識，使企業(yè)信息安全的建設(shè)不斷完善。

參考文獻：

[1]PADAYACHEE K. Taxonomy of compliant information security behavior. Computers & Security，2012，32（5）：673-680.

[2]孫強，程偉，王東紅.信息安全管理：全球最佳實務(wù)與實施指南[M]. 北京：清華大學出版社，2004.

[3]張曉明.淺談供電企業(yè)的信息安全管理[J].科技創(chuàng)新與應(yīng)用，2016（31）：221.endprint