國民信息安全素養(yǎng)評價指標(biāo)體系構(gòu)建研究

摘要：信息安全已成為信息時代國家總體安全的基石，是當(dāng)下中國必須認(rèn)真嚴(yán)肅面對的一個重大問題。要想實現(xiàn)“以人為本”的信息安全管理，第一步就要重視國民信息安全素養(yǎng)。文章對信息安全和信息安全素養(yǎng)的內(nèi)涵進(jìn)行剖析，對國內(nèi)外信息安全素養(yǎng)研究和推廣項目進(jìn)行回顧，指出信息安全素養(yǎng)應(yīng)該包括信息安全意識、信息安全知識、信息安全能力、信息倫理道德等內(nèi)容，信息安全素養(yǎng)應(yīng)在信息素養(yǎng)的概念體系中占據(jù)重要位置。最后根據(jù)信息安全素養(yǎng)內(nèi)涵，運(yùn)用過程—目標(biāo)結(jié)構(gòu)法構(gòu)建了國民信息安全素養(yǎng)評價指標(biāo)體系。

關(guān)鍵詞：信息安全;信息安全素養(yǎng);信息安全保障;評價指標(biāo)體系

中圖分類號：C32 文獻(xiàn)標(biāo)志碼：A 文章編號：10085831(2012)03008106

一、引言

目前，隨著中國社會信息化程度的全面提升，網(wǎng)絡(luò)與信息系統(tǒng)已經(jīng)成為國家的關(guān)鍵基礎(chǔ)設(shè)施，其基礎(chǔ)性、全局性作用進(jìn)一步增強(qiáng)，信息資源在國民經(jīng)濟(jì)發(fā)展中的作用與日俱增，誰能夠及時掌握豐富的信息資源，誰就能在政治、經(jīng)濟(jì)、軍事和文化等方面占據(jù)優(yōu)勢地位。但與此同時，信息安全問題日益多樣化、復(fù)雜化。針對網(wǎng)絡(luò)和信息系統(tǒng)的攻擊活動以及網(wǎng)絡(luò)與信息系統(tǒng)自身的安全問題，嚴(yán)重影響著金融、電力、交通等關(guān)鍵基礎(chǔ)設(shè)施的正常運(yùn)轉(zhuǎn)，病毒傳播、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)泄密等案件逐年上升。信息安全問題已經(jīng)不僅僅是一個技術(shù)問題，也不僅僅是一個社會問題，而是涉及到政治、經(jīng)濟(jì)、社會、文化、軍事等方方面面，進(jìn)而上升成為國家全局性戰(zhàn)略問題。中共十六屆四中全會已將信息安全列入國家安全的四大重要組成部分之一，另外三大部分為政治安全、經(jīng)濟(jì)安全和文化安全。據(jù)北京谷安天下科技有限公司發(fā)布的《2010企業(yè)員工信息安全意識調(diào)查報告》顯示，428%的受訪者認(rèn)為個人信息安全意識不足是最大的信息安全隱患，然后依次是缺少安全制度或現(xiàn)有制度未落實、投入或人員不足或缺乏信息安全培訓(xùn)、安全產(chǎn)品功能不足和其他。而對于目前有效保護(hù)信息安全面臨的最大障礙是普遍缺乏信息安全意識，其他依次是管理水平落后、技術(shù)不過關(guān)、法律不健全、信息安全人才不夠和其他障礙。報告進(jìn)一步顯示，中國企業(yè)員工普遍缺乏信息安全意識［1］。另外在RSA2011信息安全大會上，不少信息安全專家不約而同地提出了一個引人關(guān)注的問題，即眾多缺乏安全意識的員工，正在成為黑客突破企業(yè)安全防護(hù)時，最大也最難修補(bǔ)的漏洞［2］。2012年初CSDN和天涯等眾多網(wǎng)站用戶數(shù)據(jù)大規(guī)模泄露事件的主要原因是用戶習(xí)慣使用一號多用的賬戶和密碼，當(dāng)個別網(wǎng)站個人資料泄露后，直接導(dǎo)致了多個網(wǎng)站的賬戶同時被曝光［3］。因此，加強(qiáng)對國民信息安全素養(yǎng)進(jìn)行評價，讓廣大國民認(rèn)識到自身信息安全素養(yǎng)的現(xiàn)狀，并有效提升其信息安全素養(yǎng)是亟待解決的重要問題。

二、信息安全與國民信息安全素養(yǎng)的內(nèi)涵

信息安全是一個既古老又年輕的話題，包含的范圍很大，大到國家政治軍事科技等機(jī)密安全，小到防范企業(yè)商業(yè)機(jī)密被竊取、個人信息泄露等。信息時代的到來更加凸顯了信息安全的重要性和緊迫性。目前一般從狹義和廣義兩個方面理解信息安全。狹義的信息安全是指信息本身的安全問題，基本包括信息的保密性、完整性、可用性、可控性及可靠性五個方面。保密性是指確保信息僅為那些被授權(quán)者獲取使用；完整性是指保護(hù)信息不被刪除、修改、偽造、亂序等以確保其完整準(zhǔn)確；可用性是指保證被授權(quán)者可以按需獲取使用信息；可控性是指信息和信息系統(tǒng)處于安全監(jiān)控管理狀態(tài)；可靠性是指信息系統(tǒng)在規(guī)定條件下完成特定功能的概率。廣義的信息安全是指社會信息化狀態(tài)和信息技術(shù)體系不受外來威脅和侵害，以此維持國家政治、軍事、經(jīng)濟(jì)、科技、文化、社會生活等系統(tǒng)正常運(yùn)行的狀態(tài)。廣義的信息安全包括政治信息安全、經(jīng)濟(jì)信息安全、科技信息安全、軍事信息安全、文化信息安全、生態(tài)信息安全、公共信息安全等內(nèi)容［4］。

國民信息安全素養(yǎng)是指在信息化、網(wǎng)絡(luò)化環(huán)境下，國民對信息安全的認(rèn)識，以及對信息安全所表現(xiàn)出的各種綜合能力，包括信息安全意識、信息安全知識、信息倫理道德和信息安全能力等具體內(nèi)容［5］。它是信息社會中信息素養(yǎng)的重要組成部分，已成為信息社會人類生存立足的重要條件。信息安全意識是指人們能夠認(rèn)識到信息安全在工作、學(xué)習(xí)和生活中的重要性，對信息安全有一定的敏感性和洞察力，熟悉常見安全威脅的識別方法以及有效的安全保護(hù)措施。信息安全知識是指人們熟悉信息安全的基本概念和基本理論框架，了解計算機(jī)安全和網(wǎng)絡(luò)安全的最新技術(shù)。信息倫理道德是指人們在獲取、利用、加工和傳播信息的過程中必須遵守一定的網(wǎng)絡(luò)信息倫理道德規(guī)范，自覺抵制網(wǎng)絡(luò)盜版、計算機(jī)病毒、電腦黑客等行為。筆者所討論的信息安全素養(yǎng)的內(nèi)涵比信息安全意識更加豐富，不僅包含關(guān)心和維護(hù)信息安全的意識取向，更包含后續(xù)各種防護(hù)能力、信息安全倫理道德等內(nèi)容。信息安全素養(yǎng)與計算機(jī)素養(yǎng)有所不同，后者主要指個人使用計算機(jī)所需要的各種基礎(chǔ)知識。另外信息安全素養(yǎng)的養(yǎng)成是長期“修習(xí)”的結(jié)果，并非天生就有，也不能一朝一夕就形成。信息安全素養(yǎng)的形成有一個程度變化的過程，即從低到高逐步發(fā)展的過程。

三、國內(nèi)外信息安全素養(yǎng)研究與推廣進(jìn)展分析

國內(nèi)外文獻(xiàn)調(diào)研表明，歐美等西方國家在信息安全素養(yǎng)研究與培養(yǎng)方面走在了前面。NIST（National Institute of Standard and Technology，美國國家標(biāo)準(zhǔn)技術(shù)學(xué)會）推出的Special Publication（SP）800-50［6］ 標(biāo)準(zhǔn)提到，信息安全的關(guān)鍵因素是人而并非科技。信息安全素養(yǎng)課程體系采用信息安全基礎(chǔ)（ABC’s of Information Technology Security）中的相關(guān)知識，具體并詳細(xì)說明信息安全的基本概念，提供給人們學(xué)習(xí)并能遵守的信息安全的一般性主題和概念，分別是法律和規(guī)范、組織與信息技術(shù)安全、系統(tǒng)互聯(lián)和信息共享、敏感性、風(fēng)險管理、管理控制、獲取/開發(fā)/安裝/執(zhí)行控制、運(yùn)行控制和技術(shù)控制等九大類。在SP500-172中提出，各組織機(jī)構(gòu)應(yīng)對所有管理、使用計算機(jī)系統(tǒng)的作業(yè)人員，實施強(qiáng)制且定期的計算機(jī)安全認(rèn)知的訓(xùn)練［7］。Whitman and Mattord指出，員工位列公司信息資產(chǎn)安全的首要威脅因素，信息安全意識教育和培訓(xùn)是公司安全教育的環(huán)節(jié)之一。Czernowalow 認(rèn)為，員工的安全培訓(xùn)成本遠(yuǎn)小于潛在損失。信息安全控制只有在員工意識到安全的重要性時才能發(fā)揮作用。Drevin、Kruger和Steyn根據(jù)信息安全的定義認(rèn)為信息安全意識評價指標(biāo)體系應(yīng)該包含六個方面，這應(yīng)作為制定信息安全意識培訓(xùn)項目計劃的依據(jù)，并最終影響組織建立信息安全文化［8］。Aggeliki Tsohou、 Maria Karyda等人針對目前信息安全意識培訓(xùn)與信息安全管理相脫節(jié)的情況，認(rèn)為這兩個過程應(yīng)該放在一起討論，信息安全意識培訓(xùn)在信息安全管理中要占據(jù)重要位置［9］。截止2011年12月，筆者對中國知網(wǎng)、萬方數(shù)據(jù)庫和百度等搜索引擎檢索“信息安全素養(yǎng)”的論文，發(fā)現(xiàn)題名包含“信息安全素養(yǎng)”的只有三篇。而檢索“信息安全意識”的結(jié)果稍多，但理論研究成果更少。劉楓認(rèn)為，信息安全素養(yǎng)是在信息化條件下，人們對信息安全的認(rèn)識，以及對信息安全所表現(xiàn)出的各種綜合能力。吳倩萍對政府機(jī)關(guān)各層級人員的信息安全意識和其行為的關(guān)系進(jìn)行了研究［10］。雖然其他“信息安全”研究的有關(guān)成果中有涉及如何改善信息安全意識問題，但研究大多以定性描述為主，研究深度亟待拓展，所提出的對策操作性有待強(qiáng)化。

美國國防部制訂并實施了對軍人、文職及合同制信息人員的全方位教育、培訓(xùn)計劃。對信息系統(tǒng)的使用者規(guī)定了必須掌握的最低限度的信息安全領(lǐng)域的基本知識，沒有這些必備的基礎(chǔ)知識，工作人員不能上崗工作，全體人員每年進(jìn)行一次再培訓(xùn)。除此以外，秘密及非秘密系統(tǒng)的數(shù)據(jù)庫管理員需要考取上崗合格證。為了完善培訓(xùn)方法，成立了“信息安全計劃辦公室”。國防部信息系統(tǒng)局制作與下發(fā)了許多含有教育課程資料的光盤及電影。為了提高高等院校在信息安全領(lǐng)域的教學(xué)質(zhì)量，國家安全局成立了高校畢業(yè)生信息安全再教育中心。美國還設(shè)立了“國家網(wǎng)絡(luò)安全意識月”，即每年10月1日開始，舉辦一連串的網(wǎng)絡(luò)安全意識的推廣活動，教育美國民眾、企業(yè)、學(xué)校與政府機(jī)構(gòu)，保護(hù)他們的網(wǎng)絡(luò)環(huán)境、計算機(jī)以及國家的關(guān)鍵基礎(chǔ)建設(shè)，透過一些簡單而更有效的步驟教育使用者遠(yuǎn)離最新的威脅，以及遇到可能的網(wǎng)絡(luò)攻擊事件時如何響應(yīng)［11］。歐洲網(wǎng)絡(luò)與信息安全局在《信息安全意識創(chuàng)新：目前實踐和成果》調(diào)查報告中分析了歐盟中的組織和政府是如何看待信息安全意識和評價其影響的。該機(jī)構(gòu)在另一份題為《提高信息安全意識》的文件中指出：“在所有的信息安全系統(tǒng)框架中，人這個要素往往是其最薄弱的環(huán)節(jié)。只有革新人們陳舊的安全觀念和認(rèn)知文化，才能真正減少信息安全可能存在的隱患。具備高度信息安全意識的個人和有效的安全措施，被視作信息系統(tǒng)和網(wǎng)絡(luò)安全的第一道防線。”［12］英國政府內(nèi)政部及國家高科技犯罪小組開展了提升廣大青少年、家長及單位網(wǎng)絡(luò)用戶的安全意識活動，并聯(lián)合了微軟、賽門鐵克等商業(yè)組織建立了活動網(wǎng)站。荷蘭經(jīng)濟(jì)事務(wù)部為6-18歲的學(xué)生群體制定了一系列的網(wǎng)絡(luò)安全意識提升計劃。丹麥開展了旨在提升包括學(xué)生、家庭以及企業(yè)廣大網(wǎng)絡(luò)用戶安全意識的Net—Safe Now活動［13］。澳大利亞聯(lián)邦政府自2001年9月開始已制定增強(qiáng)全民信息安全素養(yǎng)的計劃，這個計劃覆蓋各類組織以及各個知識層次的國民。中國至今尚無承擔(dān)相應(yīng)推廣工作的機(jī)構(gòu)，亦無全民信息安全素養(yǎng)提升計劃的出臺，只有部分地區(qū)和組織開展類似活動［14］。中國臺灣從2008年開始于每年12 月初舉辦為期一周的“全民安全周”推廣活動，倡導(dǎo)對象由政府人員普及至學(xué)校、企業(yè)及民眾，共同推動全民信息安全意識［15］。上海在2011年10月13日至19日舉辦了首屆“信息安全活動周”，加強(qiáng)全民信息安全防范意識，保障和促進(jìn)上海智慧城市建設(shè)［16］。中山大學(xué)的信息與網(wǎng)絡(luò)中心每個月都會舉行信息安全意識的主題教育活動。上海交通大學(xué)網(wǎng)絡(luò)信息中心也于2008 年11月編寫了《網(wǎng)絡(luò)安全常見問題》宣傳單在校園內(nèi)發(fā)放。武漢大學(xué)已從2005年開始在全校陸續(xù)開設(shè)了4門通識選修課用于培養(yǎng)大學(xué)生的信息安全意識和提高他們基本的信息安全防護(hù)能力［17］。總體來說，目前國內(nèi)研究大多以定性描述為主，研究方法有待改進(jìn)，研究深度亟待拓展，所提出的對策操作性有待強(qiáng)化，更沒有從評價指標(biāo)體系和影響因素角度研究信息安全素養(yǎng)的內(nèi)涵和培養(yǎng)工作，這對于信息安全管理研究和實踐是一個非常大的缺陷，也和國內(nèi)外信息安全研究逐漸重視管理視角和用戶的現(xiàn)狀不相符合。國內(nèi)外信息素養(yǎng)的研究主要側(cè)重于如何獲取和利用信息解決問題，忽視了當(dāng)前信息安全形勢嚴(yán)峻背景下如何有效防護(hù)各種信息安全威脅的討論。信息安全素養(yǎng)理應(yīng)在信息素養(yǎng)的概念體系中占據(jù)重要位置。另外國內(nèi)的信息安全素養(yǎng)推廣和培訓(xùn)活動的范圍與形式還有待加強(qiáng)。從理論和實踐兩個層面的國內(nèi)外對比可以看出，中國必須真正重視信息安全素養(yǎng)的研究和培養(yǎng)工作。因此根據(jù)信息安全素養(yǎng)的自身特征和規(guī)律，確定一個科學(xué)合理且具有可操作性的評價指標(biāo)體系，并以此為基礎(chǔ)展開研究是當(dāng)務(wù)之急和重要突破點(diǎn)。目前還沒有從情報學(xué)角度對國民信息安全素養(yǎng)直接進(jìn)行評價研究，國家社科基金也沒有資助過這方面的研究項目。

四、國民信息安全素養(yǎng)評價的必要性

沒有科學(xué)的評價，就沒有科學(xué)的管理。國民信息安全素養(yǎng)的評價是對信息安全素養(yǎng)教育或培養(yǎng)過程中的自覺性反映，是國家信息安全保障體系建設(shè)中亟待解決的問題，具備一定的理論價值和現(xiàn)實意義。

第一，國民信息安全素養(yǎng)評價指標(biāo)體系的建立具有理論價值和科學(xué)意義。雖然各學(xué)科領(lǐng)域都從不同角度出發(fā)直接或間接地對信息安全進(jìn)行了研究，取得了一定的成果，但非常缺乏信息安全素養(yǎng)方面的研究。而在信息安全風(fēng)險評估與管理領(lǐng)域，人員風(fēng)險控制是重要組成部分。創(chuàng)建國民信息安全素養(yǎng)評價這一相對獨(dú)立的交叉研究領(lǐng)域，可以集中各門學(xué)科的優(yōu)秀研究成果，完善信息安全研究理論體系。

第二，國民信息安全素養(yǎng)評價指標(biāo)體系的建立具有實踐意義和現(xiàn)實作用。信息安全素養(yǎng)評價對于推動網(wǎng)絡(luò)環(huán)境下的國民信息安全素養(yǎng)教育和培養(yǎng)工作具有指導(dǎo)意義。只有進(jìn)行信息安全素養(yǎng)評價標(biāo)準(zhǔn)研究，構(gòu)建一套科學(xué)合理的信息安全素養(yǎng)評價指標(biāo)體系，相關(guān)部門和機(jī)構(gòu)才能更準(zhǔn)確、真實地了解當(dāng)前國民的信息安全素養(yǎng)水平，發(fā)現(xiàn)其薄弱環(huán)節(jié)，才能洞悉目前信息安全素養(yǎng)教育的不足，有針對性地制定課程計劃和培養(yǎng)方案，改進(jìn)信息安全素養(yǎng)教育，從而更好地指導(dǎo)中國開展普及化的信息安全素養(yǎng)教育和培訓(xùn)項目，滿足廣大國民自身的需求，進(jìn)一步從人員上落實國家信息安全保障體系建設(shè)工作，提升國家信息安全保障體系的總體水平，有效回應(yīng)2003年中辦27號文關(guān)于明確加強(qiáng)信息安全保障工作的總體要求和全面工作部署精神。

五、國民信息安全素養(yǎng)評價的原則

“評價”是評定價值的簡稱。從本質(zhì)上說，評價是一種價值判斷活動，是用一種能夠獲得公眾認(rèn)可的價值標(biāo)準(zhǔn)衡量和判斷事物的價值與優(yōu)點(diǎn)，是對客體滿足主體需要程度的判斷。指標(biāo)就是將抽象的、難以測量的社會概念翻譯成可以考察、分析的操作性術(shù)語。對國民信息安全素養(yǎng)的評價是對國民在面臨信息安全問題時的應(yīng)用能力的價值判斷，相應(yīng)的指標(biāo)體系就是要將評價目標(biāo)中定性的難以測量的部分進(jìn)行量化、細(xì)化，把抽象的、原則性的目標(biāo)具體化、可操作化，使評價能夠更加準(zhǔn)確更加容易的進(jìn)行。因此，需要按照下列原則選擇和組織［18］。

（一）科學(xué)性原則

任何評價體系都應(yīng)該建立在一定的理論基礎(chǔ)之上，科學(xué)性是構(gòu)建評價體系最基本的原則。國民信息安全素養(yǎng)評價指標(biāo)體系框架及各級指標(biāo)的確定應(yīng)該由強(qiáng)有力的信息安全理論以及學(xué)科教育標(biāo)準(zhǔn)作為支撐，應(yīng)嚴(yán)格從信息安全素養(yǎng)的概念內(nèi)涵出發(fā)，客觀揭示影響國民信息安全素養(yǎng)的各個要素。各級指標(biāo)相互照應(yīng)又彼此獨(dú)立，指標(biāo)間具有清晰的邏輯層次關(guān)系，層層遞進(jìn)，環(huán)環(huán)相扣。上下級指標(biāo)具有一致性，同一層次的指標(biāo)不雷同，外延不交叉，確保整個評價指標(biāo)體系構(gòu)成一個科學(xué)完整的邏輯系統(tǒng)。

（二）可操作性原則

評價指標(biāo)體系應(yīng)能直接測量，簡便易行，具有良好的可操作性。在指標(biāo)描述時應(yīng)從非信息安全專業(yè)人士的視角展開，盡量避免空而全的指標(biāo)，盡可能多地通過實例或注釋的形式將指標(biāo)說明清楚。

（三）導(dǎo)向性原則

國民信息安全素養(yǎng)評價指標(biāo)體系不僅應(yīng)反映信息安全領(lǐng)域最新進(jìn)展，同時，還應(yīng)該對國民信息安全素養(yǎng)的自主學(xué)習(xí)與培養(yǎng)有明確的導(dǎo)引和參考作用。

（四）動態(tài)性原則

由于信息安全素養(yǎng)是一個動態(tài)發(fā)展的概念，不同的時期其內(nèi)涵和外延也不同，因此所構(gòu)建的指標(biāo)體系應(yīng)具有一定的前瞻性，不僅適用于現(xiàn)階段，還能在時間上延續(xù)，在內(nèi)容上拓展。

六、國民信息安全素養(yǎng)評價指標(biāo)體系的構(gòu)建

在明確信息安全素養(yǎng)內(nèi)涵的基礎(chǔ)上，信息安全素養(yǎng)評價體系的構(gòu)建應(yīng)結(jié)合信息安全素養(yǎng)標(biāo)準(zhǔn)，按照系統(tǒng)工程的思想，將總體目標(biāo)層層分解。國內(nèi)外處理類似問題主要有三種方法：列舉描述法、過程結(jié)構(gòu)法和目標(biāo)描述法。以信息安全素養(yǎng)為例，列舉描述法是根據(jù)個人或組織的理解，以一種平鋪直敘的方式描述信息安全素養(yǎng)的內(nèi)涵，其弊端之一就是對信息安全素養(yǎng)的不同理解會導(dǎo)致信息安全素養(yǎng)內(nèi)涵的隨意收縮和擴(kuò)張，弊端之二是缺乏對各個組成要素之間邏輯關(guān)系的描述。過程結(jié)構(gòu)法是在詳細(xì)了解信息安全素養(yǎng)的概念基礎(chǔ)上，按照信息安全需求、信息安全知識儲備、應(yīng)對處理等一個完整的信息安全行為過程而展開。信息安全行為過程由很多個環(huán)節(jié)構(gòu)成，這些環(huán)節(jié)緊密相連環(huán)環(huán)相扣。信息安全素養(yǎng)的完整內(nèi)涵由這些環(huán)節(jié)對信息主體在知識、能力、技能等方面要求構(gòu)成。由于信息主體的信息安全行為在內(nèi)容和秩序上都保持較高的穩(wěn)定性，具有穩(wěn)定的內(nèi)容結(jié)構(gòu)和秩序結(jié)構(gòu)，因此使用這種方法推導(dǎo)的信息素養(yǎng)內(nèi)涵相對全面和穩(wěn)定。但在信息安全行為過程中起到引導(dǎo)作用的情感態(tài)度與價值觀因素（信息安全意識和信息倫理道德等），貫穿于整個信息安全行為過程當(dāng)中，而過程結(jié)構(gòu)法不能將其融入某一個具體的過程，只能將其一一列出。目標(biāo)描述法是在充分理解信息安全素養(yǎng)概念內(nèi)涵和外延的基礎(chǔ)上，對國民信息安全素養(yǎng)教育目標(biāo)的明確概述。目標(biāo)描述法對信息安全素養(yǎng)的高度抽象和概括是信息時代社會對人們的信息安全素養(yǎng)的要求，即達(dá)到信息安全意識、信息安全知識、信息安全能力、信息倫理道德四個方面的要求，就可被認(rèn)為具備較高的信息安全素養(yǎng)。目標(biāo)描述法的優(yōu)點(diǎn)是符合中國人高度概括的思維習(xí)慣。但該方法也有其缺點(diǎn)，一是這種描述方法缺乏可操作性，二是在每一層次中所包含的具體內(nèi)容不夠清晰［18］。

過程結(jié)構(gòu)法是國外處理類似問題的思考方式，目標(biāo)描述法則是國內(nèi)應(yīng)用的主要方式。盡管這兩種方式的思路不同，但有著相同的認(rèn)識對象，因此在本質(zhì)上能夠?qū)⑺麄兘y(tǒng)一。比如過程結(jié)構(gòu)理論中明確信息安全需求與目標(biāo)結(jié)構(gòu)理論中的信息安全意識可以視為同一方面的內(nèi)容；而目標(biāo)結(jié)構(gòu)理論中的信息安全能力與過程結(jié)構(gòu)論中的信息安全應(yīng)對處理等能力相對應(yīng)。將上述兩種結(jié)構(gòu)結(jié)合便構(gòu)成了信息安全素養(yǎng)的過程——目標(biāo)結(jié)構(gòu)體系。在過程—目標(biāo)結(jié)構(gòu)體系中，以信息安全素養(yǎng)的目標(biāo)為核心，在信息安全行為的整個過程中都體現(xiàn)著信息安全素養(yǎng)的目標(biāo)，更好地展現(xiàn)了信息安全素養(yǎng)的內(nèi)涵。由于國內(nèi)還沒有具有權(quán)威性的信息安全素養(yǎng)標(biāo)準(zhǔn)，因此，筆者在借鑒美國NIST SP800-16信息安全ABC（ABC’s of Information Technology Security）的基礎(chǔ)上，結(jié)合過程—目標(biāo)結(jié)構(gòu)法和層次分析法構(gòu)建國民信息安全素養(yǎng)評價指標(biāo)，力求每項指標(biāo)反映信息安全素養(yǎng)的內(nèi)涵，既不重復(fù)又互相補(bǔ)充，從而構(gòu)建信息安全素養(yǎng)評價指標(biāo)體系。為了簡化分析過程，本文只構(gòu)建二級指標(biāo)體系，暫時不確定權(quán)重，具體如表1所示。信息安全素養(yǎng)是一個能力集群，它由各種各樣的能力構(gòu)成，其中包含廣大國民必須掌握的核心能力，而每項能力又可細(xì)分為若干子能力。筆者將信息安全素養(yǎng)分為三層：目標(biāo)層、準(zhǔn)則層和指標(biāo)層，其中L1、L2、L3、L4層構(gòu)成了上述核心能力。該體系能夠較為全面地反映國民信息安全素養(yǎng)應(yīng)該包含的各項能力，同時符合中國民眾所處的網(wǎng)絡(luò)化大環(huán)境。

七、結(jié)語

信息安全是當(dāng)下中國必須認(rèn)真面對的一個重大問題，如果處理不慎，將嚴(yán)重影響中國信息化健康發(fā)展，甚至可能嚴(yán)重威脅中國經(jīng)濟(jì)安全乃至國家安全。當(dāng)前那些由最先進(jìn)的信息安全設(shè)備組成的銅墻鐵壁由于“人”的缺位很可能不堪一擊。因此，要實現(xiàn)“以人為本”的信息安全管理，第一步就要加強(qiáng)國民信息安全素養(yǎng)的教育和培養(yǎng)。筆者運(yùn)用過程—目標(biāo)結(jié)構(gòu)法構(gòu)建了國民信息安全素養(yǎng)評價指標(biāo)體系，可以在一定程度上幫助建立信息安全素養(yǎng)教育的內(nèi)容和目標(biāo)，但因時間有限，尚未運(yùn)用層次分析法和模糊綜合評判法確定指標(biāo)權(quán)重，應(yīng)用于評價實踐中，這是下一步將要努力研究的內(nèi)容。

參考文獻(xiàn)：

［1］國內(nèi)首份員工信息安全意識調(diào)查報告問世［EB/OL］［2011-10-23］.http://wwwenetcomcn/article/2010/0915/A20100915729062shtml

［2］從索尼數(shù)據(jù)泄漏事件看網(wǎng)絡(luò)安全的“人禍” ［EB/OL］［2011-10-23］.http://articlepchomenet/content-1331343html

［3］密碼泄露事件暴露網(wǎng)絡(luò)信息安全弊端［EB/OL］［2012-01-01］.http://financejrjcomcn/tech/2011/12/28213811933543 shtml

［4］張靜國家安全中的信息安全研究［D］成都：電子科技大學(xué)，2005:3-4

［5］劉楓大學(xué)生信息安全素養(yǎng)分析與形成［J］計算機(jī)教育，2010(21):77-80

［6］NIST Building an information technology security awareness and training program， NIST special publication 800-50［EB/OL］.［2012-01-01］http://csrcnistgov/publications/nistpubs/800-50/NIST-SP800-50pdf

［7］NIST Computer security training guidelines， NIST special publication 500-172［M］.US Government Printing Office.Washington， November ，1989

［8］DREVIN， KRUGER，STEYN Valuefocused assessment of ICT security awareness in an academic environment［J］ Computers Security，2007(26):36-44

［9］AGGELIKI T， MARIA K， SPYROS K， et alaligning security awareness with information systems security management［C］ MCIS Proceedings，2009:865-876

［10］吳倩萍 政府機(jī)關(guān)個人信息安全認(rèn)知與行為之探討［D］國立臺北大學(xué)公共行政暨政策學(xué)系碩士在職專班碩士論文， 2006

［11］奧巴馬宣布10月為美國國家網(wǎng)絡(luò)安全意識月［EB/OL］.［2011-12-20］http://wwwhackbasecom/news/2009-10-12/30075

［12］蔣莉，楊培靜 歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識［J］ 中國教育網(wǎng)絡(luò)，2008（7）：48-49

［13］楊培靜 歐洲國家安全意識提升計劃［J］ 中國教育網(wǎng)絡(luò)，2008(11)：41-44

［14］熊四皓 澳大利亞聯(lián)邦政府信息安全管理體制［J］網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004(3)

［15］全民資安推廣網(wǎng)［EB/OL］.［2011-12-30］http://wwwcybersecuritytw/

［16］徐瑞哲全國首個信息安全活動周啟動［EB/OL］.［2012-01-01］.http://wwwpeoplecomcn/h/2011/1014/c25408-3797252916html

［17］彭國軍，黎曉方，張煥國信息安全意識培養(yǎng)應(yīng)納入大學(xué)生素質(zhì)教育培養(yǎng)體系［J］計算機(jī)教育，2008(31):44-45，31

［18］曹秋花 師范院校本科生信息素養(yǎng)評價指標(biāo)體系研究［D］ 山東：曲阜師范大學(xué)，2010：15-20

（責(zé)任編輯 彭建國）