加強安全素養(yǎng)的培養(yǎng) 確保信息安全

摘要：信息安全問題隨著信息技術(shù)及計算機網(wǎng)絡(luò)的普及與高速發(fā)展日益突出，已涉及到政治、經(jīng)濟、文化、軍事等方方面面，同時，\"以人為本\"，提高個人信息安全素養(yǎng)已成為信息安全保障的基本內(nèi)容。本文通過分析信息安全、信息素養(yǎng)及信息安全素養(yǎng)的內(nèi)涵，指出血站員工存在信息安全素養(yǎng)的缺乏，進而提出加快血站員工信息安全素養(yǎng)的形成與提高的建議。

關(guān)鍵詞：信息安全；信息素養(yǎng)；信息安全素養(yǎng)

隨著中國社會信息化程度的全面提升，網(wǎng)絡(luò)在各個領(lǐng)域的應(yīng)用及規(guī)模不斷擴大，給人們工作和生活帶來便利的同時也帶來各種信息安全威脅。信息安全問題的日益嚴重，不僅影響到信息擁有者的利益，而且可能危害整個社會、甚至關(guān)系到國家的安全。如果血站每位員工都有較強的信息安全意識，具備較高的信息安全素養(yǎng)，那么，血液信息安全保障整體水平將得到極大提高。

1信息安全的概念

信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其具有重要意義。信息安全的實質(zhì)就是要保護信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。信息安全根源于三個方面：①黑客基于各種目的進行的主動攻擊；②個人缺乏信息安全意識，被動泄密；③信息安全防護體系（組織、人員、資金、技術(shù)）建設(shè)不健全。一直以來的觀點，認為有了高超的信息安全技術(shù)水平和完善的信息安全管理體系，就能夠確保信息處于安全狀態(tài)，但事實并非如此。

2011年為美國政府和500強企業(yè)提供信息安全技術(shù)服務(wù)的 HBGary Federal公司幾乎一夜間被黑客攻擊徹底擊垮。究其原因是其首席執(zhí)行官和他領(lǐng)導(dǎo)的管理層在所有的賬戶中使用相同的密碼，黑客只是通過攻擊其企業(yè)網(wǎng)站所獲得的外圍密碼，就開啟了幾乎所有的網(wǎng)絡(luò)賬戶［1］。這一轟動全球信息安全事件，使大家意識到信息安全的主要隱患已經(jīng)從外部入侵逐漸轉(zhuǎn)變?yōu)閮?nèi)部人員使用信息的不可控性上。

2信息素養(yǎng)和信息安全素養(yǎng)的內(nèi)涵

信息素養(yǎng)是一種對信息社會的適應(yīng)能力，它的本質(zhì)是全球信息化需要人們具備的一種基本能力。其定義來自1989年美國圖書館學(xué)會，它包括：能夠判斷什么時候需要信息，并且懂得如何去獲取信息，如何去評價和有效利用所需的信息。信息素養(yǎng)涉及各方面的知識，它包含人文的、技術(shù)的、經(jīng)濟的、法律諸多因素，和許多學(xué)科有著緊密的聯(lián)系。信息素養(yǎng)是一種信息能力，信息技術(shù)是它的一種工具［2］。

信息安全素養(yǎng)的定義來源于信息素養(yǎng)的概念，是指在信息化條件下，人們對信息安全的認識，以及對信息安全所表現(xiàn)出來的各種綜合能力，包括信息安全意識、信息安全知識、信息安全能力、信息倫理道德等具體內(nèi)容［3］。

3信息安全素養(yǎng)的重要性

信息安全素養(yǎng)是人員整體素養(yǎng)的一部分，也是現(xiàn)代社會成員適應(yīng)信息化條件下的各項工作的基本能力之一。員工具有良好的信息安全素養(yǎng)是信息安全保障體系的重要基礎(chǔ)，很多信息安全威脅都源于人。

有研究報道，世界上每分鐘就有2家企業(yè)因為信息安全問題倒閉，而在所有的信息安全事故中，只有20%?郯30%是因為黑客入侵或其他外部原因造成的，70%?郯80%是由于內(nèi)部員工的疏忽或有意泄露造成的，同時78%的企業(yè)數(shù)據(jù)泄露是來自內(nèi)部員工的不規(guī)范操作［4］。海因里希經(jīng)過大量的研究，認為各種安全事故存在\"88102\"規(guī)律，即100起安全事故有88起純屬人為，10起為人和物的不安全狀態(tài)綜合造成的，只有2起是難以預(yù)防。在RSA2011信息安全大會上，不少信息安全專家不約而同地提出了一個引人關(guān)注的問題，即眾多缺乏安全意識的員工，正在成為黑客突破企業(yè)安全防護時，最大也最難修補的漏洞。因此，一個投入大量人力物力財力的信息系統(tǒng)沒有可靠的人員保障，幾乎是形同虛設(shè)。

目前，人員要素已經(jīng)成為國家、城市和組織機構(gòu)信息安全保障體系建設(shè)的一個重要組成部分。人員信息安全素養(yǎng)的培養(yǎng)在其日常工作和生活中處于十分突出的位置。

4血站員工存在信息安全素養(yǎng)的缺乏

血站普遍沒有形成健全的信息安全防護機制，對員工的信息安全教育不夠重視，嚴重滯后于信息技術(shù)的發(fā)展。員工缺乏對信息安全的正確認識，缺乏防護意識，不了解相關(guān)的安全法律法規(guī)，片面認為此項工作只屬于專業(yè)人員的技術(shù)問題。

4.1 相對缺乏信息安全意識根據(jù)GooAnn 發(fā)布的《2011年度中國企業(yè)員工信息安全意識調(diào)查報告》結(jié)果顯示，對于目前有效保護企業(yè)和組織信息安全面臨的最大障礙，受訪者認為最大的障礙是普遍缺乏信息安全意識［5］。安全意識的缺乏主要體現(xiàn)在下面幾個方面：①賬戶、密碼的泄露；②PC、手機終端丟失導(dǎo)致泄密；③網(wǎng)絡(luò)手段、軟件的應(yīng)用不了解導(dǎo)致泄密；④網(wǎng)絡(luò)泄密。

血站員工普遍缺乏信息安全意識：如不注意計算機保護、經(jīng)常開著電腦離開；密碼從不修改，或使用容易猜測的密碼，或者根本不設(shè)密碼；將自己的帳號密碼隨意轉(zhuǎn)借他人使用；隨意使用U盤，使用時直接雙擊打開；隨意點擊網(wǎng)頁上吸引自己的鏈接；輕易相信來自陌生人的郵件，好奇打開郵件附件；在網(wǎng)絡(luò)上不能保守秘密，口無遮攔，泄漏敏感信息等等。

4.2 缺少信息安全知識部分員工缺少信息安全知識，不了解什么是信息安全，不知道信息安全的重要性。如不知道單位信息安全策略的相關(guān)規(guī)定、不嚴格執(zhí)行信息安全規(guī)章制度；不知道自己接觸信息的密級程度、不會粉碎密級文件；難以甄別信息的優(yōu)劣好壞，濫用信息技術(shù)制造傳播信息垃圾和計算機病毒；編造虛假信息對他人進行誹謗；瀏覽、下載、傳播非法信息；抄襲他人論文等智力成果等。

4.3 信息安全能力欠缺由于信息安全能力欠缺，部分血站員工不會設(shè)置有關(guān)安全參數(shù)；沒有及時對系統(tǒng)進行更新和安裝補??；不能辨別什么是信息安全威脅，更不會處理；有的甚至不會安裝殺毒軟件、不會查殺病毒等。

4.4 信息倫理道德較薄弱網(wǎng)絡(luò)中形形色色的思潮、觀念，甚至是色情、暴力信息成為影響、誤導(dǎo)普通人群犯罪的重要因素，部分員工承認經(jīng)常上網(wǎng)瀏覽不良信息會弱化道德自律意識和社會責(zé)任感。

5加快信息安全素養(yǎng)的形成與提高

要提高血站員工自身的信息安全素養(yǎng)，首先要培養(yǎng)員工樹立信息安全責(zé)任心，讓他們明白信息安全不是事不關(guān)己，高高掛起的事情，而是每個人的責(zé)任。提升全員的信息安全素養(yǎng)是一項長期的工作，不能指望憑借\"三分鐘激情\"而成就，而應(yīng)該堅持不懈，才能最終在血站系統(tǒng)內(nèi)建立起信息安全文化。

素養(yǎng)的形成有一個程度變化的過程，即從低到高逐步發(fā)展的過程。信息安全素養(yǎng)內(nèi)涵豐富，不僅包括信息安全意識，還包括后續(xù)各種防護能力、信息倫理道德和法律法規(guī)知識等內(nèi)容［6］。所以，血站員工信息安全素養(yǎng)的提升，考慮從以下幾個方面著手：①加強培訓(xùn)，提高血站員工信息安全意識，掌握信息安全基本知識，了解信息安全相關(guān)的法律法規(guī)。個人信息安全意識淡薄的一個重要原因是缺乏信息安全知識教育培訓(xùn)，要將信息安全培訓(xùn)納入每年度的培訓(xùn)計劃并予以貫徹實施。培訓(xùn)方式應(yīng)多樣化，可以采用生動有趣的信息安全海報、Flash、手冊等，潛移默化的影響員工，強化其信息安全意識。血站員工同時應(yīng)學(xué)會在信息安全受到侵害時，用法律武器來維護自己的權(quán)益。②鼓勵員工通過查閱資料等方式，主動學(xué)習(xí)信息安全知識，提高處理信息安全問題的能力。具體來說就是學(xué)會安裝防火墻和防病毒軟件，并經(jīng)常升級；及時下載和安裝系統(tǒng)補??；避免從Internet下載不知名的軟件、游戲程序，隨意打開、運行來歷不明的電子郵件及文件；加強密碼設(shè)置及管理；注意保護、備份重要的個人資料。③要加強血站員工信息倫理教育。引導(dǎo)員工養(yǎng)成正確解讀網(wǎng)絡(luò)信息、合理使用網(wǎng)絡(luò)資源的能力，并形成正確的價值觀，維護網(wǎng)絡(luò)道德規(guī)范。遵循信息倫理與道德準(zhǔn)則，規(guī)范自己的信息行為，尊重他人的知識產(chǎn)權(quán)，不非法攝取他人秘密，不制造和傳播偽劣信息，抑制違法信息行為［7］。④員工必須意識到安全技術(shù)和安全管理等都不是絕對安全可靠的。信息安全建設(shè)涉及人員、流程和技術(shù)三個環(huán)節(jié)，人是最關(guān)鍵的因素。⑤員工應(yīng)培養(yǎng)良好的習(xí)慣，從保管好賬戶及密碼等細節(jié)做起，加強安全防范措施。具體來說就是日常計算機維護，重要的文件數(shù)據(jù)不存放在系統(tǒng)盤、上網(wǎng)時對于一些來歷不明的鏈接不要隨意點擊、來歷不明的文件不要輕易接收；要定期進行病毒全盤查殺、盡量使用正版軟件；如果一旦發(fā)生信息安全事故，要及時上報相關(guān)部門并請求正確的處理。在自己養(yǎng)成良好習(xí)慣的同時要鼓勵其他人也這樣做。

6結(jié)論

絕對的安全是不存在的，真正的安全是靠人來保障的。在信息安全的所有相關(guān)因素中，人是最活躍的因素，人的行為是信息安全保障最主要的方面。人既可以是最大的潛在威脅，也可以是最可靠的安全防線[1]。普及信息安全教育，提高信息安全素養(yǎng)，是確保計算機信息系統(tǒng)安全的關(guān)鍵因素。計算機信息系統(tǒng)的安全一直是動態(tài)的，因此血站員工信息安全素養(yǎng)的形成和提高也是一個漸變發(fā)展的動態(tài)過程，需要我們通過不斷的學(xué)習(xí)、培訓(xùn)來完善和提升。

參考文獻：

［1］武曉春，等.面向組織機構(gòu)的人員信息安全意識培養(yǎng)模式研究[J].電腦知識與技術(shù)，2011（7）：8830 -8832.

［2］孫平，曾曉牧.認識信息素養(yǎng)[J].大學(xué)圖書館學(xué)報，2004（4）：34-37.

［3］劉楓，大學(xué)生信息安全素養(yǎng)分析與形成[J].計算機教育，2010(21)：77-80

［4］周 龍. 深入探討企業(yè)員工的信息安全意識[J].硅谷，2013(3)：132-133.

[5] 北京谷安天下科技有限公司.2011年度中國企業(yè)員工信息安全意識現(xiàn)狀調(diào)研報告.

[6] 羅力.論國民信息安全素養(yǎng)的培養(yǎng)[J]．圖書情報工作，2012(6)：25-28，37．

［7］謝嵐，等.關(guān)于大學(xué)生的信息素養(yǎng)教育[J]. 農(nóng)業(yè)網(wǎng)絡(luò)信息，2010(7)：157-158.

編輯/王海靜