Question

安全意识就是“对风险的感知和主动规避”。在个人信息安全意识方面，企业员工普遍有一种“迷之自信”，就像 90%的司机都认为自己的驾驶水平高于平均水平一样。但实际上，企业员工的安全意识水平与企业的真实需要之间，往往存在着巨大的鸿沟。

6.1.1　信息安全意识不足的真实案例

我们来看几个因为信息安全意识不足，导致金融企业直接损失或面临重大声誉风险的真实案例。

1.多家商业银行客户信息泄露事件

2012 年央视 3·15 晚会，曝光了一家大型商业银行、一家全国性股份制银行的内部员工，通过中介向外兜售客户个人信息将近 3000 份，造成 3000 多万元经济损失的严重事件，对银行的声誉也造成了严重的负面影响。

从表面上看，是商业银行内部员工直接获取客户资料并用于牟利。但究其原因，是商业银行对客户敏感信息的管控要求松懈，员工保密意识、法律意识淡薄。此外，商业银行的数据保密措施及要求存在漏洞，内部员工可以获取大量的客户敏感信息，容易造成有意识（贩卖数据）或无意识（未做好数据保密措施导致数据丢失）的保密信息泄露事件发生。

2.某金融机构密钥遗失事件

某年某月，某金融机构工作人员因管理疏忽，不慎遗失了一份本机构交易系统的密钥，如不法分子拿到该密钥，即可截获破解所有交易信息和客户交易密码，给客户造成重大损失。该机构领导接到报告后，立即指示启动密钥更换工作并在最短的时间内完成，避免了客户资金损失；业务风险防范预案也相应启动，避免了因客户资金损失投诉、媒体舆情报道等带来的声誉风险。

虽然该事件最终没有造成实质性的损失，但潜在的风险隐患和内部付出的管理成本是巨大的。

3.远程办公导致的客户信息泄露

2014 年，总部位于美国的某全球知名银行，其高级管理人员为方便工作，开通在家 VPN 访问内部敏感数据的权限。黑客在攻击该银行的过程中发现该情况并马上在该高级管理人员的家用电脑上植入木马。通过遥控该木马，黑客实现“青蛙跳”进入银行内网，成功窃取了 1.4 亿个客户的信息，给该银行造成了巨大的损失。

4.钓鱼邮件导致业务瘫痪

2013 年，韩国某银行的某员工误打开一封黑客钓鱼邮件并被植入木马，因该行并未限制办公电脑对互联网络的访问，黑客立刻远程遥控该员工电脑并相继攻破部分客户服务系统，在获取海量客户数据后格式化大部分服务器硬盘，造成该行业务完全瘫痪。

5.冒充 OA 管理员的钓鱼邮件泄露用户名和密码

2014 年，某金融企业的部分员工收到了一封来自“Admin”发出的邮件，自称是 OA 系统的管理员，因为系统升级，需要大家修改用户名和密码，邮件中同时附上了一个网页链接，点击进去后出现用户名、原密码、新密码的输入框。由于该金融企业采用域用户单点登录 OA 系统和其他内部信息系统，所以该事件造成了几十个客户的域用户名和密码泄露，也就意味着伪装成 OA 系统管理员的攻击者获取了几十个员工的域用户名和密码，可以登录桌面终端和几乎所有的内部应用系统。幸好该事件在半天内被发现，该金融机构信息技术部门迅速采取行动，通知所有登录过该链接的员工主动修改密码，阻止了后续攻击事件，避免给企业造成实质性损失。

6.某金融机构财务总监被勒索事件

2016 年，某金融企业信息科技部门突然收到财务总监（CFO）的电话，其办公电脑突然变成蓝屏，上面有一些英文提示，大意是该电脑中的所有资料已经被加密，需要在五天之内向某国外银行账号缴纳大约相当于人民币 6000 元的赎金，就可以拿到解密的密钥。

后来查明，该财务总监曾收到过一封标题类似“应收账款”的邮件，以为是供应商催款，但在点击执行附件后，屏幕就不幸中招了。由于缴纳赎金后是否能解决问题尚且是个未知数，该财务总监只好忍痛割爱，让科技人员重装了电脑操作系统，该电脑上所有的历史资料全部丢失。

上面几个案例，都是金融企业员工信息安全意识不足导致的教训，也说明提升员工信息安全意识，减少信息安全事件的发生，对于金融企业来说多么重要。

6.1.2　信息安全培训的必要性

金融行业是直接面向客户且直接与金钱打交道的行业，金融行业员工信息安全意识水平的高低，直接影响信息安全工作的成败，对客户信息和客户资金的安全至关重要。通过信息安全培训提高金融企业员工的信息安全意识水平，将全员信息安全意识的点滴提升作用到具体的工作中，可以成倍地放大信息安全工作的效果。具体来说，金融企业信息安全培训的必要性体现在三方面。

1.金融企业涉及信息的敏感性极高

金融企业是面向广大客户提供金融服务的行业，涉及的信息主要包括：

·与客户相关的信息，主要包括客户基本信息、客户账户信息以及客户交易信息等。这几类信息都涉及广大客户的个人利益和资金安全，互相之间环环相扣，任何一类信息的泄露，都可能对客户的资金安全造成威胁并对金融企业的声誉构成风险，严重的甚至会造成金融秩序混乱、经营活动无法正常开展。因此客户信息的保护成为金融机构信息安全管理工作的重中之重。

·金融企业经营管理活动相关的内部信息，包括战略规划信息、金融产品信息、经营活动信息及相关的报表报告等。这些信息代表了金融企业工作的发展战略、管理政策和营销策略等，能为企业带来经济利益，如果泄露，可能直接或间接影响企业的商业利益，造成金融企业的严重经济损失或经营风险。

金融企业的从业人员，或多或少都会直接或间接地接触到上述内外部敏感信息。大多数信息安全事件的发生都源自于员工主动或被动地泄露信息，员工信息安全意识的提升可以极大地减少安全事件中的内部人为因素，因此金融企业对于信息安全培训必须尤为重视，每位从业人员都需要认真学习、理解、执行信息安全管理规范，提升自身的安全意识，方能切实有效地保护金融企业的客户信息和内部信息。

2.金融企业信息安全的核心问题是人的安全意识

决定一个企业信息安全防护效果的，归根结底还是在于人，人是信息安全中最核心的问题之一。任何的安全管理体系、安全技术、安全产品或服务，都无法保证每一个人远离每一种可能存在的安全风险。因为无论多么严密的管理体系，多么先进的设备，多么严谨的系统，多么完备的数据，如果普通员工的信息安全意识不足，专业人员的信息安全技能不足，都会导致管理流于形式，设备形同虚设，数据空中楼阁。

试想，一个严密的金融机构数据中心机房访问控制系统，如果门口保安无视规则、玩忽职守，随意放人进出，那么再多的安检、门禁、指纹或人脸识别等身份鉴别手段，又有何用？部署最先进的网络安全设备，如果不定期更新安全策略和规则库，不严格对服务器或者终端打上最新的补丁，黑客们岂不是仍然可以“如入无人之境”？再者，花大价钱部署了最佳的桌面安全防护系统，但员工点击了一个钓鱼网站，主动或被动对外发送他们认为无关紧要、实则非常重要而敏感的信息，一切都将功亏一篑。

上述种种情形，都将会给企业带来不可估量的损失。特别是对将信息流和资金流视为命脉的金融企业来说，如果信息安全专业能力不到位，信息安全意识不匹配，客户信息的安全、资金的直接损失，可能是时刻面临的威胁。

因此，员工信息安全意识水平的高低，直接决定了信息安全总体防护水平和信息安全管理工作的成败。通过提升各级员工和外部用户的信息安全意识，让安全专业人员掌握必要的技能，让普通员工养成安全习惯，让外部用户建立自我保护意识，是面对安全威胁的最佳方式。而要达到该目的，就需要在整个金融企业内树立信息安全意识，对各类人员建立针对性的信息安全培训方案，才能提高金融企业的整体信息安全防控水平。

3.金融企业信息安全意识仍然普遍较为薄弱

根据信息安全研究机构的统计，在所有企业的信息安全事故中，只有 20%~30%是因为黑客入侵或其他外部原因造成的，70%~80%是由于内部员工的疏忽或有意泄露造成的。

另外，国内一家信息安全专业咨询机构曾经对国内企业员工信息安全意识进行了一项调查，选取了一些基本的信息安全要求对企业员工进行问卷调查，结果如下：

·37.4%的受访者会直接或者简单询问后就让尾随的外部人员直接进入办公场所。

·36.6%的受访者会在办公桌面放密级资料。33%的受访者会在电脑桌面存放密级资料。

·56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里、锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。

·接近 50%的受访者选择不安全的设置电脑屏保、密码方式。选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为 25.4%。

·当收到熟人发送的自动播放 flash 动画或邮件内部嵌入的网页时，59.2%的人会看动画、下载动画、浏览网页或点击网页链接。

从以上调查结果可以看出，超过一半以上的企业员工对基本的信息安全要求没有形成相应的意识和行动，企业信息安全工作面临着极大的风险隐患。

虽然没有专门针对金融企业员工信息安全意识调查的具体数据，但从近几年金融企业客户信息泄露、信息安全攻击事件时有发生的现象来看，金融企业的信息安全意识现状也是不容乐观的。

随着金融企业对信息安全的日益重视，大部分金融企业已经投入大量的资金购买安全技术，投入较为充足的人力用于安全管理体系建设，但是，在人员信息安全培训上却投入甚少，往往忽略了人是信息安全管理的最大威胁，人的安全意识薄弱是信息安全管理的最短板。随着业务迅猛发展，金融企业面临的信息安全风险压力越来越大，必须在信息安全培训上加大投入，提升全体员工的安全意识，才可以更好地化解风险。

6.1.3　信息安全培训的“痛点”

随着各类信息安全事件的爆发，金融企业信息安全培训的重要性已经越来越得到重视，部分金融企业开始着手信息安全培训工作，但目前仍存在一些“痛点”。

·未建立系统化的信息安全培训体系。 大部分金融企业的信息安全培训仍是零散的、随需而做的，尚未形成整体的、有机的、立体的信息安全培训规划，缺乏系统化的信息安全培训体系。

·培训针对性不足，培训内容不接地气。 大部分金融企业信息安全培训需求分析不到位，经常是一套培训材料就“放之四海而皆准”，不能根据培训对象面临的常见问题和岗位特点定制培训内容，导致培训内容针对性不足，经常不接地气，员工往往“知其然而不知其所以然”，对日常工作不能起到直接的、实质性的帮助，培训工作因此变成了为培训而培训。

·培训形式单一，内容枯燥，素材匮乏，资源不足。 大部分金融机构采用单一的课堂教学方式培训，缺乏日常碎片式、体验式的素材。枯燥的培训方式自然效果不佳，因此需要创新培训形式，激发员工的兴趣和自主性，促进员工利用碎片化时间主动学习。

·培训参与度不高。 大部分金融企业的员工都非常忙碌，如果不能正确认识到信息安全培训对他们工作的帮助作用，占用正常工作时间的信息安全培训往往变成了迫于无奈、枯燥无味的“工作任务”，培训过程就成了应付式的参与，能不参加就不参加，即使参加了也是“身在曹营心在汉”，导致培训效果大打折扣。

·未建立培训效果的考核机制。 大部分金融企业的信息安全培训仅仅有个调查问卷或者随堂测验，未建立起有效的量化考核机制。对于培训内容是否得到执行，安全意识是否有提升，是否作用到金融机构员工的日常工作中，都没有衡量机制。因此需要通过一些技术手段、检查手段、考核机制来促进培训内容的落地执行。

解决上述“痛点”，需要对症下药、因材施教，形成一套覆盖全面、形式多样的信息安全培训体系。可以参考以下步骤实施：

1）确定培训关联方，一方面明确培训对象及核心诉求，另一方面选择合适的培训师资力量。

2）确定培训内容、培训方式和培训时机。

3）建立系统化、岗位针对性强的信息安全培训体系，形成面向对象的信息安全培训矩阵。

4）建立培训效果衡量和考核体系，根据结果优化改进培训体系，形成螺旋上升的长效机制。