文│北京航空航天大学 王宇 北京红山瑞达科技有限公司 朱代祥

一、需要建立网络安全意识评价标准和体系

网络安全意识,即网络空间的安全意识。全民网络安全意识的提升事关国家网络空间安全和人民切身利益。在国家基础设施保护、加强网络文化建设、打击预防网络恐怖和网络犯罪、完善网络治理、提高网络防御能力、加强网络安全人才建设、提高全民网络安全意识等战略任务中,人的网络安全意识是极其重要的因素,也是明确的战略任务。

我国虽然已经意识到网络安全意识的重要性,但因起步较晚,相关技术标准仍然处于空白。《网络安全法》第六条明确指出“采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境”,但在人员及组织等群体性的网络安全意识的评价指标和方法上,还没有具体细则,亟需重点研究。

建立一个能够评测内部人员网络安全意识的标准和指标体系,会有效促进内部网络安全意识提升,从而为我国社会各个业务领域的网络安全意识测评、教育提供指导和参考,以便从人员网络安全意识管控角度降低信息安全保障体系的网络安全风险,减少网络资产损失,构筑全民网络安全防线。

二、网络安全意识评价方法概述

国内外现有网络安全意识测评多是以达到网络安全意识普及和教育为目的来进行,主要方法有以下几种:问卷调查、在线测试以及试卷考试、基于游戏模式进行测试、基于攻击情景模拟的测试方法。下文将对这几种测评方法进行详细的论述。

(一)问卷调查方法

2006年,安格鲁阿山帝黄金矿业公司为了测量员工信息安全意识水平,用AHP法构建了信息安全意识评价指标体系,将信息安全意识分为知识、态度和行为三个维度,并根据该指标体系编制了一组包含有35个题项的测试量表,对员工的信息安全保密意识水平进行了调查分析。通过对测量结果进行统计分析,并以二维图的形式,展示被测者信息安全保密意识及其各二级指标特质水平。

国内用问卷调查方法进行网络安全意识测评研究,比较具有代表性的是360公司在2017年10月份发布的《中国网民网络安全意识调研报告》,针对网民的上网安全感、安全知识的关注与学习、上网安全意识与习惯、网络诈骗防范意识、网络诈骗心理影响、网络诈骗受害者的个体因素等方面,通过问卷调查的方法,以网民自我评价为主要手段,对中国网民的网络安全意识进行调研,通过问卷调查所得数据进行结果分析。

李克斯特五点量表测量法在问卷调查中的运用也很有代表性。如第四军医大学网络中心的网络安全素养测评研究团队的研究中,以信息安全保密素养评价指标体系为准则,从指标体系的四个维度出发,按照内部一致性较佳的李克斯特五点法编写了测量表,共包含28个题项,均已通过多次实验,完成了因素分析和信度分析。可说明被测者对其信息安全保密素养高低水平的自我感知情况,可以反映被测者信息安全保密素养的整体水平。

(二)在线测试及考试方法

由于实行方法简单,易定量测评,可操作性强等优点,在线测试和组卷考试是现有的网络安全意识测评中运用最普遍的一种方法。

欧美的许多大学如亚利桑那大学、加州理工大学、加利福尼亚大学、休斯顿大学等每年会对师生进行信息安全意识在线培训,学生需在特定的时间内完成在线测验。未能按时完成的学生将不能访问特定的在线资源,顺利完成且表现突出者,即可参与月度的安全意识竞赛及国家的网络安全意识竞赛,优胜者可获得相关证书及有趣的礼物等。

英国的劳埃德TSB银行在其官网上设有安全栏目,栏目下设11个主题,其目的是让银行用户关注日常所遇到的信息安全问题以及遇到此类问题该如何保护自己:如网络钓鱼、身份盗窃、社交网络等,使用户在使用银行业务中体验尽可能的安全。其中有一个在线的信息安全意识小测验,用户可进行在线测试,若某一道题回答错误,则会提醒用户错误之处及正确的做法。

马来西亚理工大学在2009年对中学教师和学生的信息安全意识水平展开了研究,基于ABC模型构建了一套信息安全意识水平评估模型,将信息安全保密意识分为知识、行为和态度三个维度。同时开发了一套信息安全意识水平的测量工具ISATS(Information Security Awareness For Teacher And Student Tool),该测评工具由教师测验模块、学生测验模块、测试结果展示模块和测试水平分析模块四大功能模块组成。马来西亚理工大学于2012年又进行了一项研究,测量银行职员信息安全意识水平。此项研究同样利用ABC模型作为理论基础,将银行职员分为三类,高级管理人员、行政人员、最终用户。每个职员的信息安全意识分为三个维度,知识、态度和行为,每个维度下分有七个层面,分别为使用互联网、电子邮件、密码、保护敏感数据、遵守银行规章、报告安全隐患、物理安全。

(三)基于游戏模式的测试方法

2005年,美国海军研究生院发布了一款美国政府版本的CyberCIEGE,这是一款旨在支持计算机和网络安全教育和培训的视频游戏。这个游戏是一个高度可扩展的游戏,运行在一个独立的计算机系统用于实际教学。游戏基于不同的场景,用户需要采取特定的行动来学习威胁和获取知识,以防止和减轻威胁。这些场景包括:停止蠕虫、使用宏、身份盗窃、密码、物理安全、补丁、过滤器、加密链接和身份管理等主题。玩家在CyberCIEGE虚拟世界中受到黑客、破坏者和潜在的专业人士的攻击,用户需要构建和配置必要的计算机网络,操作和保卫他们的网络,观察他们选择的后果。

一些研究人员于2011年提出了一个由社交网站发起的互动游戏,旨在提高人们对信息安全威胁和漏洞的认识。其目的是展示虚拟工具在网络意识创造中的有效性。该游戏在设计过程中,将影响用户使用系统行为的原因进行分析与研究,并建立用户行为塑造结构图。

(四)基于攻击情景模拟的测试方法

更有效的测试方法,是从攻击者的角度出发,对影响信息安全的因素进行全面的检查,并对其进行识别,以发现和消除漏洞。对于成功的安全性测试,必须考虑影响信息系统安全性的因素的权重,并开发针对不同系统的不同场景。为安全测试开发的场景将根据所使用的技术、用户的信息级别、所需的信息安全级别以及信息安全组件的特征不同而不同。除了技术测试之外,还必须进行非技术测试,以受控的方式识别信息安全违规行为。

社会工程测试是此类非技术测试中最重要的测试。海德纳古是世界上第一个社会工程框架(www.social-engineer.org)的主要开发者,与BackTrack(www.backtrack-linux.org)安全团队一起参与了各种类型的安全项目。他提出了一种基于攻击情景模拟的实践测试方法,利用社会工程学手段对需要网络安全意识培训的企业和个人进行测试和教育,并在其著作《社会工程·安全体系中的人性漏洞》以及《社会工程·防范钓鱼欺诈》书中,详细介绍了运用钓鱼邮件等社会工程学手段进行测试培训的方法。

美国哥伦比亚大学设计了一套模拟邮件钓鱼攻击的网络安全意识测评系统,旨在通过发现单位或组织中的个人漏洞而衡量组织安全水平,而不是仅靠硬件防御技术。哥伦比亚大学在一年实验过程中,从其大学中随机挑选了4000名学生、员工以及教员,使用各种各样的钓鱼邮件来测试用户的脆弱性,当用户成为其虚假钓鱼攻击受害者并被告知后,用户就可以进行学习并改变他们的行为。

“了解你的敌人”的蜜网项目提供了关于钓鱼的实际信息,并利用了德国蜜网项目和英国蜜网项目收集的数据。其讨论了网络钓鱼者所使用的各种技术和工具,提供了三种实证研究的实例,即利用蜜网捕获真实世界的钓鱼攻击。它还指定了垃圾邮件发送者在自动化电子邮件地址中使用的各种恶意软件,以便在欺骗用户时生成真实的电子邮件。

(五)网络安全意识测试方法比较

对常用网络安全意识测试方法,分别从运用普及率、展开测试工作量、测试准确率、详细优势以及劣势等角度进行比较和判别,总结如表所示:

从图表中可以看出,问卷调查以及在线测试组卷考试的测试方法考察较为全面,运用较为简易,但劣势也很明显,在针对网络安全意识方面的测试中,其方法在测试结果方面可能存在较大偏差,受不定因素影响较大。而基于游戏模式的测试方法,对于设计系统难度较大,交互要求高并且操作较为复杂,劣势同样明显。基于攻击情景模拟的测试方法是近些年为了对网络安全中人的风险漏洞进行防御而新兴的一种测试方法,其可以准确反映被试者的真实情况,对被试者有一个准确的测评判断,而该方法在操作方面较为复杂,并且在测试方法的科学性系统性方面还有待提高。综上所述,如何建立一个科学有效、综合应用多种测评方式、操作便捷的攻击情景模拟测试系统仍是需要研究的重点内容。

(本文刊登于《中国信息安全》杂志2020年第9期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。