淺析國內外網絡安全意識教育知識體系

◆齊 斌 鄒紅霞 王 宇 李冀興

?

淺析國內外網絡安全意識教育知識體系

◆齊 斌 鄒紅霞 王 宇 李冀興

（裝備學院 北京 101416）

網絡安全意識作為國家網絡安全戰略的重要內容之一得到了社會的廣泛關注，意識教育也逐漸受到重視，論證表明唯有通過提高網絡安全意識才能從人為因素角度降低個人乃至國家遭受的網絡安全風險。本文給出了網絡安全意識和網絡安全意識教育的定義，并通過對國內外網絡安全意識教育的知識體系分析，歸納總結出知識體系的分類標準，為提高我國的網絡安全意識教育效果提供參考。

網絡安全意識教育；知識體系；分類標準

0 引言

近年來，世界各國紛紛將全民網絡安全意識教育作為國家網絡安全戰略的重要內容之一，通過增強全民網絡安全基礎知識和基本技能培訓[1]，提高對網絡安全威脅和網絡犯罪行為的認知，促進公眾采取保護措施來降低個人乃至國家遭受網絡安全風險的可能性。

大數據研究表明，絕大多數的高級持續攻擊（APT:Advanced Persistent Threat）都是由于人員安全意識缺乏造成的。在網絡安全的鏈條中，人為因素作為其中的薄弱環節，使得越來越多的攻擊者利用人的意識弱點實施社會工程學等攻擊，通過手機短信、垃圾郵件等引誘用戶提供敏感信息（包括賬號、密碼、通訊方式等信息）或下載帶有木馬、病毒的惡意軟件，從而造成了大量的財產損失。據國際反釣組織APWG最新統計[2]，2016年的網絡釣魚攻擊數量比2015年增加了65%，數據表明中國是全世界受網絡釣魚攻擊最嚴重的國家，僅惡意軟件感染的數量就占據了全部計算機的47.09%。

感知網絡安全態勢，做好風險防范，就要求“人”必須接受良好的網絡安全意識教育才能降低系統的攻擊面。2016年4月習主席在網絡安全和信息化工作座談會上指出,“網絡安全為人民，網絡安全靠人民，維護網絡安全是全社會共同責任......共筑網絡安全防線”[3]因此，提高人在使用網絡過程中的安全意識，是維持網絡空間秩序的有力保障，是網絡安全研究的重要內容。

提高網絡安全意識就務必重視網絡安全意識教育，通過意識教育促進網絡的安全管理。而網絡安全意識教育的核心便是其知識體系，知識體系是支撐網絡安全意識考試、測評和培訓的基石。好的知識體系必須要有科學的分類標準，可以將網絡安全知識梳理的更加系統、準確，這將直接決定了網絡安全意識教育的效果。

本文首先嘗試詮釋網絡安全意識和網絡安全意識教育的內涵，通過對國內外網絡安全意識教育知識體系和分類標準的分析，指出當前網絡安全意識教育知識體系存在的優勢和不足，為更好提高網絡安全意識教育的效果提供參考。

1 對網絡安全意識的理解

意識，通常指人腦對大腦內外表象的察覺，是生物由其物理感知系統能夠感知的特征總和以及相關的感知處理活動，必須有一定的刺激強度和一定的持續刺激時間才能產生知覺。心理學中定義為人所特有的一種對客觀現實的高級心理反映形式，也就是所謂對客觀物質世界活動的反應過程。因此，網絡安全意識就是指在網絡空間活動中為了保障個人信息、財產安全而發現可能存在的威脅、判斷其危害性并及時預防或化解威脅的能力。

2 對網絡安全意識教育的認知

網絡安全意識教育是指通過考試、測評、培訓等手段提高人的網絡安全意識的活動，旨在加強自身對網絡安全相關知識的掌握，提高發現、判斷并處理安全威脅的能力。網絡安全意識教育一般包括網絡安全意識考試、網絡安全意識測評和網絡安全意識培訓三個方面的內容。

網絡安全意識考試是指通過試卷等手段判斷被測人對網絡安全知識和技能的認知情況。問卷考試是目前針對網絡安全意識內容最多的測試方法，通過對網絡安全知識點抽樣的考核，量化得分標準，通過成績判別知識或技能的掌握程度。

網絡安全意識測評是指通過網絡攻防對抗、仿真場景演練和威脅情報分析等手段方法對被測人的網絡安全意識進行客觀的測量與科學評價。目前鮮有大型公司采用測評的方式對員工的網絡安全意識進行考核，而在運用測評手段上也僅僅是簡單攻防對抗或者數據分析等，沒有構成體系，測試的數據對于量化分析員工的網絡安全意識有很大的干擾。就當前領域，測評的手段仍然很稀缺，實施起來依然有很大困難，對測評的研究也存在很大的空白。

網絡安全意識培訓是指通過科學的方法提高人員網絡安全素質和能力而實施的有計劃、有系統的培養和訓練活動。網絡安全培訓活動是各大企業、組織開展的較為多次數的培訓活動之一，但是數據表明網絡安全培訓活動多數以老師授課的形式進行的，培訓內容主要以知識點為主?？偨Y來說，就是培訓體驗感較差，具體表現為培訓內容枯燥、形式單一、對象區分度低；二是未形成體系，具體表現為培訓績效無法度量，無法可視化，意識提升效果無法對比，更缺少有效的渠道收集反饋意見和建議。

3 國內外網絡安全意識教育的知識體系分析

世界各主要國家普遍將網絡安全意識教育作為國家網絡安全戰略的重要內容之一，并主要通過專門網站來傳播網絡安全風險相關知識、普及網絡安全風險防范技巧與實用工具，通常也會在學生的課堂上和教材中提及。本文通過對中、美、英、法等國家的網絡安全意識教育網站和部分教材分析，歸納總結出網絡安全意識教育的知識體系主要分為網絡技術性質和網絡安全需求兩類標準，具體如下。

3.1根據網絡安全技術的性質分類

依照網絡安全技術的性質分類是目前最為國內外最為常見的分類標準，因其易于模塊式教學而受到很多培訓網站的青睞，甚至很多教學大綱也是據此分類。依照對國內外部分網絡安全教材和例如“安全意識”（http://www.sectv.cn）等網站的分析歸納，綜合最新的一些網絡安全技術對其分類，如圖1所示。雖然分類相對容易，涵蓋知識點很多，但是針對性較弱，很難專門對某一類人進行培訓教學，對于安全意識教育有一定參考意義。

3.2根據網絡安全需求分類

網絡安全需求分類是以網絡安全體系基礎架構的主要涉及層面為依據，劃分為技術需求和管理需求兩個大類。此類方法繼承了網絡安全技術性質分類的優勢，同時囊括了關于人的行為管理層面的安全知識點。是目前各大網絡安全公司較為常見的一種分類方法，示例如圖2所示，其中每一項類別又可以按照相應需求繼續劃分多個具體類別知識點。但此種分類標準仍需要改進，具體標準需要進一步明確，知識點還需要細致歸納。

圖2 網絡安全需求分類示例

4 國內外網絡安全意識教育的知識分類標準

通過對現有國內外網絡安全意識教育知識體系分類標準的歸納，目前大致采用4個分類角度，具體是按照對象層次、崗位層次、場景應用和威脅等級分類的。

4.1按對象層次

目前國外大多數網絡安全意識教育網站均采用了此種分類方法，而區別在于具體分類中的標準不同，使得在網站的知識體系結構中出現了分化。以“安全在線”（www.staysafeonline.org）為例，網站按照對象層次分為了兩個模塊，分別是培訓對象和培訓教師兩大模塊，而培訓對象又細分為個人網絡安全和企業網絡安全兩類，并在此基礎上根據各自標準再次分類。如個人網絡安全中，又分為計算機系統安全（惡意軟件和僵尸網絡、垃圾郵件和網上誘騙、被黑客攻擊的系統、家庭網絡設備安全），個人信息保護（ID盜竊與欺詐、密碼與賬戶安全、社交網絡、網購、備份），網絡安全教育（教育數字公民、網絡欺凌與騷擾、家長控制權、游戲提示），移動終端安全（移動設備、移動家長控制權）等相關基礎知識和問題處理辦法。具體示例如圖3所示。

圖3 “安全在線”網站知識體系

國外以對象層次作為分類標準的網絡安全意識知識體系在知識點的劃分上較為寬泛，選擇對象標準不同，網絡安全意識知識點的劃分也就不會相同，知識體系必然就會出現差別。以“確保IT安全”網站（www.makeitsecure.org）為例，對象角度分為家庭用戶、年輕用戶、商業用戶和一般用戶四大種類，并據此繼續劃分。又如“身份盜用中心”（www.idtheftcenter.org）為例，在按照身份盜用的對象角度上又分為了金融身份盜竊、政府身份盜竊、醫療身份盜竊、犯罪身份盜竊、孩童身份盜竊等五大種類。

綜上，按對象層次分類是國外網絡安全知識體系中較為常見的分類方法，是一種從用戶使用角度接受信息較為方便的分類方法，但依然存在不足，那就是分類范圍過大、分類重疊兩個主要問題。以“安全在線”網站為例，在知識體系的劃分中，個人網絡安全意識的知識體系框架就非常大，而且在細化知識的劃分上就會出現了重疊和混亂。而“確保IT安全”網站就是典型的分類不全面，政府用戶需要關注的安全意識明顯與其他分類用戶重點不同。

4.2按照崗位層次分類

按照崗位層次分類是安全意識知識體系分類中相對較為少見的一種分類方法，但是在大型企業和公司的安全教育體系中較為常見。不同的崗位對網絡安全意識知識的要求也不同，同時，行業區別也決定著安全意識知識體系標準的差異。按照崗位層次分類示例如圖4所示，本文僅給出普通企業的一般分類標準，不同的公司對安全意識的標準會存在程度不同的差別。

圖4 崗位層次一般分類示例（崗位需求金字塔）

國內外此類的標準尚無法統一，一般也不作為面向公眾的網絡安全意識教育，往往由企業內部自行構建網絡安全意識知識體系標準，按照管理崗位需求對本單位的職工進行相應的培訓教育，或者由網絡安全服務公司對企業進行系統的安全意識教育培訓。通常情況下安全知識體系自下而上逐漸專精，例如普通員工僅需打好網絡安全意識基礎，了解并掌握一般性網絡安全防范知識即可，而企業高管則在掌握一般性網絡安全知識的基礎上，只需要強化本層次的知識，不需要掌握項目開發人員需要掌握的開發安全知識。此類標準對企業內部職工的針對性更強，效果更好，但以目前的國際網絡空間安全意識教育來看，其成本相對較高。

4.3按照場景應用分類

按照場景應用分類也是國內外網絡安全知識體系中較為主流的一種分類方法，但往往存在于細化知識體系的層次中。以“在線安全”網站（www.getsafeonline.org）的知識體系為例，依據場景使用角度分為了七大類，包含家庭場景、工作場景、網絡購物、銀行支付、青少年上網、社交網絡和企業商業活動，具體如圖5所示。

此種標準分類效果較優于其他標準，該知識體系規模龐大，涵蓋了大部分知識點，比較全面。但由于層次級數低，使得知識點多次交叉而降低了獲取知識點的效率。對于瀏覽網站的用戶來講，雜亂知識點的堆砌阻礙了意識的培養，需要對該標準重新規劃并將類別下的知識點進一步劃分。

4.4按照威脅等級分類

按照威脅等級分類是目前國外網絡安全知識體系較為時尚的一種分類標準，使用者較少。以“智慧在線”網站（www.staysmartonline.gov.au）為例，采用威脅等級高、中、低尺度標準按程度線性劃分，每一類又根據時間和技術層次分為具體的網絡安全意識知識點。威脅等級信息將會依照級別顯示具體的內容，實時性強，能及時的通報給用戶，以便更好的維護自身網絡安全。該體系目前標準不明確，劃分較為簡單，具體分類標準如圖6所示。

圖5 場景應用分類示例

以威脅等級為分類標準，無疑是很好的抓住了網絡安全的重點。解決好威脅級別高的安全問題就會減少相應的風險，從而維護網絡安全。但是，分類的弊端也同樣突出，以威脅等級的角度來看，隨著漏洞的發現或某些安全技術的發展，威脅的級別會進行波動性變化，而且這些威脅往往跨越了多個技術層級，對于繼續劃分的標準提出了很高的要求，“智慧在線”網站就是在威脅層級的繼續劃分上出現了明顯缺陷。

5 結束語

加強網絡安全意識教育是保護網絡空間免受損失的最有效辦法，預防并及時解除威脅遠遠好于安全事件的善后工作，而網絡安全教育便是通過科學的手段與方法，將網絡安全知識融入到人的意識當中。網絡安全知識就好比是血液，而分類標準就像是血管，沒有血管的傳導血液就無法精準傳遞到全身每一個角落，但錯綜的血管當然也不可能將所需要的血液傳遞到指定位置。為了能夠支撐起網絡安全意識教育系統，就必須要梳理好網絡安全知識體系，將龐雜的知識點準確無誤地搭建成一架穩固合格的橋。

中國相對于歐美國家來說，網絡安全意識教育拖延了不少時間，直到2014年11月，中央網信辦才會同政府機構部門舉辦了中國首屆網絡安全宣傳周。雖然國家高度重視，全社會共同參與，但同歐美國家網絡安全意識教育仍存在著差距。為了盡快縮短差距，提高我國全民的網絡安全意識，就要站在前人的肩膀上，汲取經驗教訓，綜合國內外知識體系的優勢與不足，急需提出一種甚至幾種相對更加科學、更加合理、涵蓋范圍更好、準確性更高的分類標準，構建相對健全的網絡安全意識教育知識體系，以便在未來的網絡空間競爭中取得更大的優勢。

[1]張慧敏.青少年網絡安全意識教育納入多國國家戰略[EB/OL].中共中央網絡安全和信息化領導小組辦公室， 2015.

[2]APWG Phishing Attack Trends Reports[EB/OL]. APWG，2017.

[3]習近平在網絡安全和信息化工作座談會上的講話[EB/OL].人民日報， 2016.

[4]張慧敏.國外全民網絡安全意識教育綜述[J].信息系統工程，2012.