企业员工信息安全行为风险管控
来源:www.37lw.cn
编辑:admin
时间:2017-10-07
1 研究背景
电力企业作为关乎国计民生的基础行业,企业内部各业务数据已基本在网络流转,一旦发生信息安全事件,将会为国家、社会公众及企业带来难以估计的损失。然而,企业对安全技术的依赖,常常会忽视企业员工因其行为对信息安全带来的隐患。
企业员工的内部威胁已经成为信息安全事件的首要诱因[1],企业除了应重视对企业员工的信息安全意识的培养以及安全知识和技能的灌输,还应针对员工信息安全行为制定相关的规范,完善相应的控制体系,使员工行为不断标准化,减少因员工行为给企业信息安全带来的损害。
2 电力企业信息安全现状
从电力行业信息安全的运维及保障来看,目前在信息安全技术方面基本能跟上趋势发展。
2.1 近年来的改进及发展
(1)信息安全防护技术较为完善;统一了互联网出口,并建立了DMZ区管理并配备了IPS、WAF等安全防护设备,实现了层次清晰的网络区域划分和防护。
(2)信息安全工作开展广泛;通过开展信息安全配置核查、信息安全整改与加固、信息安全宣传教育与培训等一系列工作,发现信息系统存在的各类安全隐患,对各类安全隐患进行合理的风险控制措施,最大程度地防止各类安全事件的产生,保障信息系统的安全、稳定运行。
(3)信息安全体系较为完整;根据国家的法律规定及各项标准(如:《信息技术-安全技术-信息安全管理体系-要求》、《信息安全风险评估规范》等)编制出符合企业自身情况的一套信息安全体系标准,为日常信息安全工作的开展提供了详细的指导方案、规范及要求,在一定程度上保证了信息安全工作的标准化及公司信息资产的安全性。
2.2 存在的安全隐患分析
(1)针对员工信息安全行为的管控规范、制度欠缺;没有规范化的标准对企业员工的行为进行管控,因此员工的信息安全行为可能对公司的信息资产造成软硬件故障、物理环境影响、恶意代码、网络攻击、越权或滥用、泄密等多种威胁。
(2)员工信息安全意识不平衡;企业员工年龄和从事工作种类的差异,目前电力企业职工信息安全意识不平衡的情况也较为明显。
(3)除了部分安全技术风险外,还存在对网络与信息安全工作认识不足、重视不够;木马病毒和恶意软件难以胜防;弱口令问题广泛存在;对业务部门自检系统难以监管等员工信息安全行为风险。
3 员工信息安全行为风险分析
3.1 安全需求
依据上述的现状分析,电力企业已注意到因企业员工的违规行为导致公司信息资产存在着安全风险,提出要加强对员工信息安全行为的管控,结合企业自身现有信息安全现状及信息安全管理体系,较为全面的构建、编制员工信息安全行为规范的安全需求。
3.2 威胁分类
3.2.1 威胁来源识别
依据《信息安全技术-信息安全风险评估规范》(GB/T20984-2007),将企业员工的不规范行为视为一种人为因素的威胁来源,并根据动机分为主观恶意和非恶意两种。其中,主观恶意行为源于内部人员基于特定的目的,而利用其对组织和信息系统的熟悉,以及工作的便利,对信息资产进行破坏、欺诈和窃取;非恶意行为则是组织内部人员信息安全防范的知识和技能缺乏,或是主观上感知偏差、判断失误等造成的信息安全破坏行为。
3.2.2 威胁识别
针对威胁来源,根据其表现形势将威胁划分为以下几类,如表1所示。
3.3 行为对象识别及等级划分
依据电力企业现有资产现状,将员工信息安全行为对象划分为6个类别,分别为:信息系统、网络系统、信息内容、信息保密、物理环境及办公设备。
其中,网络系统中根据承载的信息数据及接入网络范围细分为办公网络及骨干网络;信息内容依据受损对象细分为危害社会公共利益及国家安全的内容、损害公司形象的内容两类。信息保密类依据企业已有标准《涉密事项界定表》界定的涉密内容和非涉密信息进行分类。
信息安全违规行为依据行为对象类型的重要程度及员工行为可能造成影响的严重程度和范围对信息安全违规行为进行分级。行为对象划分及信息安全违规行为分级如表2所示。
4 员工信息安全行为规范建构
4.1 员工信息安全行为控制维度
对照、汇总威胁种类,提出在病毒防范、网络使用、信息保密、内容安全、物理环境、总体要求及其他7種类,并依据在不同类别下的行为对象作为分析维度对员工信息安全行为进行管控,并构建员工信息安全行为规范。下表3为信息安全行为控制种类。
4.2 员工信息安全行为规范
4.2.1 总体要求
总体要求中主要提出了企业员工需依据国家相关的法律法规及企业所制定的相关管理规范对自身行为的自我管控,根据相关管理规定和要求开展工作,定期参与信息安全培训, 提升自我信息安全意识等规定的内容。
4.2.2 “物理环境”类行为管控
制定员工行为规范,控制企业软硬件资产、物理环境不受违规行为的威胁和破坏。促使员工努力保障及维护公司的工作环境及软硬件资产的安全。爱护办公环境,保护公共设施,提升防火、防盗意识,必要时进行应急演练;发现环境、设施、资产异常及时上报。
电力企业作为关乎国计民生的基础行业,企业内部各业务数据已基本在网络流转,一旦发生信息安全事件,将会为国家、社会公众及企业带来难以估计的损失。然而,企业对安全技术的依赖,常常会忽视企业员工因其行为对信息安全带来的隐患。
企业员工的内部威胁已经成为信息安全事件的首要诱因[1],企业除了应重视对企业员工的信息安全意识的培养以及安全知识和技能的灌输,还应针对员工信息安全行为制定相关的规范,完善相应的控制体系,使员工行为不断标准化,减少因员工行为给企业信息安全带来的损害。
2 电力企业信息安全现状
从电力行业信息安全的运维及保障来看,目前在信息安全技术方面基本能跟上趋势发展。
2.1 近年来的改进及发展
(1)信息安全防护技术较为完善;统一了互联网出口,并建立了DMZ区管理并配备了IPS、WAF等安全防护设备,实现了层次清晰的网络区域划分和防护。
(2)信息安全工作开展广泛;通过开展信息安全配置核查、信息安全整改与加固、信息安全宣传教育与培训等一系列工作,发现信息系统存在的各类安全隐患,对各类安全隐患进行合理的风险控制措施,最大程度地防止各类安全事件的产生,保障信息系统的安全、稳定运行。
(3)信息安全体系较为完整;根据国家的法律规定及各项标准(如:《信息技术-安全技术-信息安全管理体系-要求》、《信息安全风险评估规范》等)编制出符合企业自身情况的一套信息安全体系标准,为日常信息安全工作的开展提供了详细的指导方案、规范及要求,在一定程度上保证了信息安全工作的标准化及公司信息资产的安全性。
2.2 存在的安全隐患分析
(1)针对员工信息安全行为的管控规范、制度欠缺;没有规范化的标准对企业员工的行为进行管控,因此员工的信息安全行为可能对公司的信息资产造成软硬件故障、物理环境影响、恶意代码、网络攻击、越权或滥用、泄密等多种威胁。
(2)员工信息安全意识不平衡;企业员工年龄和从事工作种类的差异,目前电力企业职工信息安全意识不平衡的情况也较为明显。
(3)除了部分安全技术风险外,还存在对网络与信息安全工作认识不足、重视不够;木马病毒和恶意软件难以胜防;弱口令问题广泛存在;对业务部门自检系统难以监管等员工信息安全行为风险。
3 员工信息安全行为风险分析
3.1 安全需求
依据上述的现状分析,电力企业已注意到因企业员工的违规行为导致公司信息资产存在着安全风险,提出要加强对员工信息安全行为的管控,结合企业自身现有信息安全现状及信息安全管理体系,较为全面的构建、编制员工信息安全行为规范的安全需求。
3.2 威胁分类
3.2.1 威胁来源识别
依据《信息安全技术-信息安全风险评估规范》(GB/T20984-2007),将企业员工的不规范行为视为一种人为因素的威胁来源,并根据动机分为主观恶意和非恶意两种。其中,主观恶意行为源于内部人员基于特定的目的,而利用其对组织和信息系统的熟悉,以及工作的便利,对信息资产进行破坏、欺诈和窃取;非恶意行为则是组织内部人员信息安全防范的知识和技能缺乏,或是主观上感知偏差、判断失误等造成的信息安全破坏行为。
3.2.2 威胁识别
针对威胁来源,根据其表现形势将威胁划分为以下几类,如表1所示。
3.3 行为对象识别及等级划分
依据电力企业现有资产现状,将员工信息安全行为对象划分为6个类别,分别为:信息系统、网络系统、信息内容、信息保密、物理环境及办公设备。
其中,网络系统中根据承载的信息数据及接入网络范围细分为办公网络及骨干网络;信息内容依据受损对象细分为危害社会公共利益及国家安全的内容、损害公司形象的内容两类。信息保密类依据企业已有标准《涉密事项界定表》界定的涉密内容和非涉密信息进行分类。
信息安全违规行为依据行为对象类型的重要程度及员工行为可能造成影响的严重程度和范围对信息安全违规行为进行分级。行为对象划分及信息安全违规行为分级如表2所示。
4 员工信息安全行为规范建构
4.1 员工信息安全行为控制维度
对照、汇总威胁种类,提出在病毒防范、网络使用、信息保密、内容安全、物理环境、总体要求及其他7種类,并依据在不同类别下的行为对象作为分析维度对员工信息安全行为进行管控,并构建员工信息安全行为规范。下表3为信息安全行为控制种类。
4.2 员工信息安全行为规范
4.2.1 总体要求
总体要求中主要提出了企业员工需依据国家相关的法律法规及企业所制定的相关管理规范对自身行为的自我管控,根据相关管理规定和要求开展工作,定期参与信息安全培训, 提升自我信息安全意识等规定的内容。
4.2.2 “物理环境”类行为管控
制定员工行为规范,控制企业软硬件资产、物理环境不受违规行为的威胁和破坏。促使员工努力保障及维护公司的工作环境及软硬件资产的安全。爱护办公环境,保护公共设施,提升防火、防盗意识,必要时进行应急演练;发现环境、设施、资产异常及时上报。
制定规范举例:不得携带危害设备安全的物品(具有腐蚀性、易燃性、辐射性等)进入办公环境;不得利用危害设备安全的物品破坏设备、个人终端、网络的运行条件。
违规行为等级:(1)携带危害设备安全的物品(具有腐蚀性、易燃性、辐射性等)进入办公环境,对应信息安全违规行为四级。(2)利用危害设备安全的物品破坏设备、个人终端、网络的运行条件,对应信息安全违规行为三级。
4.2.3 “病毒防范”类行为管控
规范员工信息安全行为,对个人计算机、移动终端设备按要求安装、配置、管理防病毒软件、安全准入系统,防止病毒等恶意程序的破坏。规范自身行为不进行违法违规网络操作。
制定规范举例:“不安装、不运行非可信渠道获取的软件。违规行为等级:对应信息安全违规行为三级”
4.2.4 “网络使用”类行为管控
规范员工信息安全行为健康、安全使用网络。外出办公需接入网络时,要确定所接入网络的安全性,不使用未知的无线网络。
制定规范举例:“禁止进行未经授权的、恶意的网络探测、信息采集、身份伪造及欺骗。违规行为等级:(1)对信息系统网络进行恶意的网络探测、信息采集、身份伪造及欺骗,对应信息安全违规行为二级。(2)对办公网络进行恶意的网络探测、信息采集、身份伪造及欺骗,对应信息安全违规行为三级”。
4.2.5 “信息保密”类行为管控
制定相关规范,达到提高员工信息安全保密意识,防止信息的泄露、越权滥用和篡改的行为的发生。
制定规范举例:“发现泄密行为,应及时上报主管部门和信息部门并采取相关措施。违规行为等级:对应信息安全违规行为四级”。
4.2.6 “内容安全”类行为管控
规范员工信息安全行为,督促员工传播、发表合法合规言论,维护国家、社会公众利益及公司形象。
制定规范举例:“严禁以公司名义处理个人事务、发表个人言论。违规行为等级:对应信息安全行为二级”。
4.2.7 “其他”类行为管控
规范员工信息安全行为防止无作为、误操作及管理不到位情况的发生。
制定规范举例:“应按照信息安全管理规程,严格进行信息安全的管理、监督。违规行为等级:对应信息安全违规行为三级”。
4.3 员工信息安全违规行为定级及问责
同一信息安全违规行为对应不同的行为对象,按照各对象经过调查确定的信息安全违规行为等级,取各个对象的最高等级进行信息安全违规行为的定级。若信息安全违规行为是发出者主观愿意且蓄意发出的,应按照行为对象对应行为等级的最高一级定级后再上调一级。具体的违规行为定级及问责制度可根据企业的具体情况做出相应调整。
5 员工信息安全行為防范措施及建议
5.1 员工信息安全行为规范的实施
员工信息安全行为规范的实施过程应是螺旋循环上升的过程,可以参考PDCA(Plan、Do、Check、Action)螺旋循环原则,过程模型如下图1所示,将每周期具体管控实施过程分为四个阶段[2]。
每轮的循环应向着更加贴近企业信息安全现状及员工信息安全意识程度进行,使得员工信息安全行为风险管控与企业的信息安全管控体系不断融合,达到规范员工信息安全行为,保护企业信息安全不受员工违规行为侵害。
5.2 加强信息安全监管软件的推广力度
员工信息安全行为管控离不开信息安全技术的监管和辅助。目前电力企业推广了桌面管理系统和网络准入系统,此外建议增加上网行为监管、监控软件,对员工在网络使用(网站访问内容、计算机滥用)和信息保密(论坛发帖、机密泄露、声誉风险)等类型的违规行为进行有力的管控。
5.3 提升员工信息安全素质
进一步提升企业员工的信息安全素质。一方面定期开展信息安全宣传教育、发放宣传海报或视频,达到对企业全体员工信息安全知识的普及。另一方面应按工作需要、所在部门及具有特殊工作性质的员工进行分层次、有针对性的安全培训和教育,全面提高员工信息安全意识和技术水平。此外,应开展员工信息安全行为规定及安全实例的讲解,从信息安全事件实例及相关人员经验,深刻了解安全行为规范及安全策略配置的初衷。
6 结束语
电力企业要保持健康可持续性的发展,信息安全是基本的保证之一,而信息安全的保障不能仅依靠信息安全技术的实现,对企业员工的信息安全行为管控绝不可缺少。通过对企业信息安全现状的了解、安全需求的确认、信息安全行为的风险分析,较为清晰的构建出员工信息安全行为规范,从病毒防范、网络使用、信息保密、内容安全、物理环境、总体要求及其他7个类别实现对员工信息安全行为的管控,并辅以违规行为的定级及问责制度实现对企业员工信息安全行为较为全面的管控。
最后提出了员工信息安全行为防范的措施及建议,通过先进的信息安全技术辅以PDCA的管控实施模式,不断贴近时代和企业的信息安全发展趋势,增强员工信息安全意识,使企业信息安全的建设不断完善。
参考文献:
[1]PADAYACHEE K. Taxonomy of compliant information security behavior. Computers & Security,2012,32(5):673-680.
[2]孙强,程伟,王东红.信息安全管理:全球最佳实务与实施指南[M]. 北京:清华大学出版社,2004.
[3]张晓明.浅谈供电企业的信息安全管理[J].科技创新与应用,2016(31):221.
违规行为等级:(1)携带危害设备安全的物品(具有腐蚀性、易燃性、辐射性等)进入办公环境,对应信息安全违规行为四级。(2)利用危害设备安全的物品破坏设备、个人终端、网络的运行条件,对应信息安全违规行为三级。
4.2.3 “病毒防范”类行为管控
规范员工信息安全行为,对个人计算机、移动终端设备按要求安装、配置、管理防病毒软件、安全准入系统,防止病毒等恶意程序的破坏。规范自身行为不进行违法违规网络操作。
制定规范举例:“不安装、不运行非可信渠道获取的软件。违规行为等级:对应信息安全违规行为三级”
4.2.4 “网络使用”类行为管控
规范员工信息安全行为健康、安全使用网络。外出办公需接入网络时,要确定所接入网络的安全性,不使用未知的无线网络。
制定规范举例:“禁止进行未经授权的、恶意的网络探测、信息采集、身份伪造及欺骗。违规行为等级:(1)对信息系统网络进行恶意的网络探测、信息采集、身份伪造及欺骗,对应信息安全违规行为二级。(2)对办公网络进行恶意的网络探测、信息采集、身份伪造及欺骗,对应信息安全违规行为三级”。
4.2.5 “信息保密”类行为管控
制定相关规范,达到提高员工信息安全保密意识,防止信息的泄露、越权滥用和篡改的行为的发生。
制定规范举例:“发现泄密行为,应及时上报主管部门和信息部门并采取相关措施。违规行为等级:对应信息安全违规行为四级”。
4.2.6 “内容安全”类行为管控
规范员工信息安全行为,督促员工传播、发表合法合规言论,维护国家、社会公众利益及公司形象。
制定规范举例:“严禁以公司名义处理个人事务、发表个人言论。违规行为等级:对应信息安全行为二级”。
4.2.7 “其他”类行为管控
规范员工信息安全行为防止无作为、误操作及管理不到位情况的发生。
制定规范举例:“应按照信息安全管理规程,严格进行信息安全的管理、监督。违规行为等级:对应信息安全违规行为三级”。
4.3 员工信息安全违规行为定级及问责
同一信息安全违规行为对应不同的行为对象,按照各对象经过调查确定的信息安全违规行为等级,取各个对象的最高等级进行信息安全违规行为的定级。若信息安全违规行为是发出者主观愿意且蓄意发出的,应按照行为对象对应行为等级的最高一级定级后再上调一级。具体的违规行为定级及问责制度可根据企业的具体情况做出相应调整。
5 员工信息安全行為防范措施及建议
5.1 员工信息安全行为规范的实施
员工信息安全行为规范的实施过程应是螺旋循环上升的过程,可以参考PDCA(Plan、Do、Check、Action)螺旋循环原则,过程模型如下图1所示,将每周期具体管控实施过程分为四个阶段[2]。
每轮的循环应向着更加贴近企业信息安全现状及员工信息安全意识程度进行,使得员工信息安全行为风险管控与企业的信息安全管控体系不断融合,达到规范员工信息安全行为,保护企业信息安全不受员工违规行为侵害。
5.2 加强信息安全监管软件的推广力度
员工信息安全行为管控离不开信息安全技术的监管和辅助。目前电力企业推广了桌面管理系统和网络准入系统,此外建议增加上网行为监管、监控软件,对员工在网络使用(网站访问内容、计算机滥用)和信息保密(论坛发帖、机密泄露、声誉风险)等类型的违规行为进行有力的管控。
5.3 提升员工信息安全素质
进一步提升企业员工的信息安全素质。一方面定期开展信息安全宣传教育、发放宣传海报或视频,达到对企业全体员工信息安全知识的普及。另一方面应按工作需要、所在部门及具有特殊工作性质的员工进行分层次、有针对性的安全培训和教育,全面提高员工信息安全意识和技术水平。此外,应开展员工信息安全行为规定及安全实例的讲解,从信息安全事件实例及相关人员经验,深刻了解安全行为规范及安全策略配置的初衷。
6 结束语
电力企业要保持健康可持续性的发展,信息安全是基本的保证之一,而信息安全的保障不能仅依靠信息安全技术的实现,对企业员工的信息安全行为管控绝不可缺少。通过对企业信息安全现状的了解、安全需求的确认、信息安全行为的风险分析,较为清晰的构建出员工信息安全行为规范,从病毒防范、网络使用、信息保密、内容安全、物理环境、总体要求及其他7个类别实现对员工信息安全行为的管控,并辅以违规行为的定级及问责制度实现对企业员工信息安全行为较为全面的管控。
最后提出了员工信息安全行为防范的措施及建议,通过先进的信息安全技术辅以PDCA的管控实施模式,不断贴近时代和企业的信息安全发展趋势,增强员工信息安全意识,使企业信息安全的建设不断完善。
参考文献:
[1]PADAYACHEE K. Taxonomy of compliant information security behavior. Computers & Security,2012,32(5):673-680.
[2]孙强,程伟,王东红.信息安全管理:全球最佳实务与实施指南[M]. 北京:清华大学出版社,2004.
[3]张晓明.浅谈供电企业的信息安全管理[J].科技创新与应用,2016(31):221.
相关文章:
相关推荐:
网友评论:
无法在这个位置找到: ajaxfeedback.htm