卯钰鸿
贵州中烟工业有限责任公司毕节卷烟厂 贵州 毕节 551700
摘要:随着通信和互联网技术的快速发展,企业生产的各个环节都采用了现代化信息技术和计算机科学技术来实现,然而企业职工的网络安全防护意识还相对薄弱。在实际工作中,存在利用办公电脑随意访问不安全网站,下载并安装与工作无关的软件,私自接入不安全设备等问题,这些都将会给工厂信息系统造成极大的安全隐患和威胁,甚至影响到生产。因此,我们要大力做好企业职工信息系统安全知识的宣传教育和培训工作,使职工自觉遵守企业信息管理的各项规定,增强其系统的网络安全意识,保证信息系统安全。本文就如何降低企业职工的网络不安全行为做分析。
关键词:网络安全 网络安全意识
随着网络时代及数据时代的来临,网络已经在潜移默化中改变了人们工作、学习、生活的方式。首先,企业生产的各个环节都采用了现代化信息技术和计算机科学技术来实现,如:卷烟经营管理系统(一号工程)、办公系统(OA)、ERP等。其次,随着人们生活水平的提升,尤其是手机功能的不断强大,使信息化办工不再局限于电脑,还向手机、平板方向发展。因此,就注定企业厂的网络系统从以往只是满足生产要求,到现在的日常办公。同时网络使用者数量也直线上升。
由于网络使用者数量的增多,随之而来的网络不安全因素也逐渐显露,外加上一些职工网络安全防护意识薄弱,移动存储设备的随意拔插,利用办公电脑随意访问不安全网站,下载并安装与工作无关的软件,这些行为都很有可能将病毒传播给用与生产的主机,不仅为工厂网络带来安全威胁,同时也影响到企业生产。例如,2017年5月,一款名为WannaCry的勒索病毒席卷全球,包括中国、美国、俄罗斯及欧洲在内的100多个国家,我国部分高校内网、大型企业内网和政府机构专网遭受攻击较为严重。还有大家所熟知的 “office宏病毒”导致OA中的多个office文件无法正常打开,严重影响了工厂的正常办公。近几年来,病毒入侵和黑客攻击等网络安全事件频频爆发,这些都说明要强化网络监管力度,确保完整系统的技术构建,提高和改善职工对电脑的使用及网络安全的认识,提升员工网络安全意识,最终降低企业职工的网络不安全行为是确保网络安全成为当前亟需解决的问题。
一、企业信息网络安全现状以及职工对网络安全存在的问题
(一)、人为因素造成的安全漏洞是整个网络安全性的最大隐患
在企业网络安全技术中,工厂主要利用防火墙技术、VPN技术、入侵检测技术、日志安全审计技术、病毒控制技术等,为工厂提供了网络安全保障。但结合信息化日常维护记录,我们可以轻松地看出,在企业内部网络受到的安全威胁来源中,来自最终用户远远高于其他来源,几乎占了近一半,而且最为重要。调查表明,80%的网络安全事件不是由外部的攻击,而是来自内部人员。
企业员工缺乏网络安全防御意识,对网络安全的防御知识不了解,常常会使企业网络安全的防御处于一种被动的状态。
在一个安全设计充分的网络中,我们的员工普遍存在着这样的误区,认为有了防火墙就可以杜绝一切攻击,网络安全主要来自于外部与自己无关。再者有人认为有了杀毒软件就不用再怕病毒,数据只要做好备份就可以了。甚至还有人认为网络安全是属信息部门的事,与自己无关,即使出现问题,一个电话打到信息部门,也会有网络管理人员前来处理。因此,在实际工作中,其对对网络信息设备的使用就很随意,例如:利用办公电脑随意访问不安全网站,下载并安装与工作无关的软件,私自接入不安全设备等。这些都将会给工厂信息系统造成极大的安全隐患和威胁,甚至影响到生产。
著名黑客在美参院做证说,在他所有成功的入侵中90%是利用了组织内部人员的不经心和缺乏安全意识。可见当前网络安全防线中最薄弱的环节是人,网络安全最可靠的保证也是人。由此可以看出人为因素造成的安全漏洞是整个网络安全性的最大隐患。
(二)网络安全管理存在瑕疵,网络安全监管流于形式
网络安全管理还存在瑕疵。首先,网络安全制度还停留在建网使用初期,里面的条款未能与时俱进,不能与实际相结合在一起。
其次,在日常工作中,网络安全没有真正地纳入考核范围内,从而使网络安全检查流于形式。在网络安全抽检或巡检过程中,检查人员发现使用人员存在不安全行为,指出令其更改但得不到根本的改正,随后同样的不安全行为同样出现。员工也常以“不会”或“不知道”为借口推责,但也不排除真的不会。员工网络安全意识没能提升上来,也使网络安全管理与监督失去效益,起不了根本性的作用。
在数字信息化技术不断发展的今天,在网络数字化已成为企业办公方式的今天,强化网络监管力度,确保完整系统的技术构建,提高和改善职工对电脑的使用及网络安全的认识,提升员工网络安全意识,最终降低企业职工的网络不安全行为是确保网络安全成为当前亟需解决的问题。
二、企业网络安全工作的开展
在网络安全管理过程中,如何提高员工网络安全意识,降低企业职工的网络不安全行为,确保企业网络安全。我认为要做到以下几个方面:
(一)、建立完善网络安全机制
网络安全是指网络系统的软硬件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络威胁是对网络安全缺陷潜在利用,这些缺陷可能导致非授权访问、信息泄密、资源耗尽、资源被盗或者被破坏等。
网络安全从其本质上来讲就是网络上的信息安全。网络安全主要包括物理安全与逻辑安全。物理安全主要指网络硬件的维护、使用及管理等;逻辑安全是从软件的角度提出来的,主要指数据的保密性、完整性、可用性等。
目前我厂网络安全措施有防火墙技术、VPN技术、入侵检测技术、日志安全审计技术、病毒控制技术等,在软硬件方面基本上是达到网络安全的基本要求。但是随着信息化技术的不断向前发展,人们对网络的需要面的扩大,原网络安全制度、规范化操作及合法性使用已跟不上时代的步伐。
正所谓“三分技术,七分管理”,“管理”在网络安全建设中处于重要的地位。因此,我们要与时俱进,在对网络安全的不稳定因素实施规范化、系统性的管理,强化管理力度,确保完整系统的技术构建的同时,针对实际情况,重新制定一套具有本厂特色的网络安全机制。根据工作的重要程度,确定安全管理等级和安全管理范围;制订严格的网络操作规程。即有网络管理人员的操作规程,也要有内网用户的操作规程;制订完备的网络维护制度;制订网络安全应急措施。进一步完善管理制度,努力做到责权分明,管理清晰。
对处理、存贮重要数据的电脑、生产设备专用电脑和服务器,对其进行数据交换的外部接口要严格进行管理,必要时进行物理封锁,避免通过外部数据接口传入病毒,使办公系统或生产系统瘫痪。专机专用,建立IP地址、电脑MAC地址与使用人员一一对应,若出现不安全行为,可通过上网行为管理系统准备实施管理。加强对移动设备的管理,笔记本电脑、平板电脑或其它移动终端可方便地在企业网络间游动,因此有一定的安全隐患。一旦它们在不安全的网络站点受黑客所攻击、被植入木马病毒或恶意程序,则这些移动设备就会成黑客攻击企业网络的跳板。
无线网络的普及,越来越多人钟情于无线网络。简易的无线路由器,如360无线路由器只需插入电脑UBS接口,便可成功地创建一个无线网络。因此,对整个企业系统而言,防范薄弱的联网单机往往成为恶意攻击网络系统的突破口,因此,在下一步条件允许的情况下,建立全厂WIFI覆盖,实现无线网络的统一管理。
(二)、加强网络信息安全监管力度,将网络安全与绩效挂钩
虽然企业在网络安全机制上包含防火墙、入侵系统检测、上网行为管理系统、桌面管理系统等多种方式,并且这些方式已运用在日常工作之中,但即使如此,网络不安全因素仍旧存在,信息安全问题归根结底是人的问题。如果相关人员的安全意识培养不起来,就不会有主动防御和安全预防的观念和技术。因此就要求我们加强网络监管范围、监管力度。
网络安全管理制度的建设虽然是重要的,但是,网络安全管理制度能否严格实施却是全民参与的过程。因此,将网络行为规范和具体的处罚条例,通过技术设备和网络安全管理制度结合来指导、规范员工正确使用单位网络资源,杜绝网络安全隐患,确保网络系统和生产数据的安全。同时,因为网络安全纳入绩效考核,与员工工资挂钩,将有利地推动网络安全管理制度的实施力度。
在各部门设立专职人员对本部门网络安全进行监督。
对网络安全实现总分管理,协调处理,分工实施。在各个部门间设立专职人员对本部门网络安全进行监督,对信息网络设备实现谁使用谁负责,责权分明,管理清晰。
电脑目前是员工工作的重要工具之一,日常工作常常利用电脑上网查找资料、数据传送及工作交流。在工作中,员工在使用网络设备的时候,常常不注意电脑病毒库的更新,或者浏览一些非法的网页,下载到一些含有病毒的文件,从而导致电脑感染病毒,引影响正常办公,严重的还会影响到生产。又或是在使用移动介质的时候,不注意病毒木马的查杀,随意在不同电脑间拔插,如果移动介质携带了病毒,就会感染到别的电脑。而每一个企业的网络管理人员少,信息网络设备多,分散广,不能时时地对每一台电脑进行实时管理。因此,将网络安全监督的责权进行适当的下放,在各部门间设立专职人员对本部门的网络安全进行监督管理。如此,更能细化管理的范围。
(三)、加强职工信息化培训,持续开展网络安全宣传教育,提升员工网络安全意识
光有制度和管理是远远不够的,要持续不断地加强职工信息化知识的培训,建立正确的安全思维方式,从员工的思想意识抓起,提高员工的安全行为意识,让员工真正从思想深处理解信息安全工作的重要性,从被动的要实施信息安全到主动防御信息安全,促进员工提高和改善对电脑的使用及网络安全的认识,提升员工网络安全意识,最终降低企业网络不安全行为。
围绕信息安全的各个方面开展信息化培训,提高和改善职工对网络安全的认识。
加强网络安全宣传首先通过OA向职工发放《网络安全法》、《网络安全常识》以供自学,再组织设备信息技术科信息管理人员通过现场咨询指导的方式,普及网络安全知识,倡导企业员工提高网络安全意识,加强个人信息保护。
在不影响正常工作的前提下,合理利用员工碎片化时间进行宣贯工作。利用微信群、QQ群和微信公共平台等多平台开展信息安全宣传教育活工。在办公场所展示信息安全宣教肉容,例如会议室、休息室、走廊中张贴相关提示海报,在企业专刊中加入信息安全意识的宣传教育短片,将知识本身转换成员工能懂的语言,以员工更易接受的形式传达给员工,这样都会在潜意识里提升职工网络安全防护意识。
意识不是短时间内形成的,要提高员工的网络安全意识,就应该长期不断地开展员工的信息安全意识宣传教育工作。只有提升了员工网络安全意识,最终才会降低企业职工的网络不安全行为。
小结:
企业网络安全,除了合理的使用和配置各种安全软件和硬件外,员工正确使用网络信息设备也很重要。然而要员工正确使用网络信息设备,降低企业职工的网络不安全行为,就必须持续不断地进行网络安全宣传教育,提升员工网络安全意识。在各项计算机系统操作以及网站接入时需确保各项操作的安全性与合法性,通过各项安全技术的使用减少自身信息泄露的机会,避免病毒利用漏洞入侵到个人电脑之中。同时,用户应主动拒绝不良网站的诱惑,出现漏洞能及时升级操作系统并弥补漏洞,通过网络访问权限以及自身账户密码的限制,实现对个人信息的安全保护。