文│复旦大学大数据研究院副院长 邹宏

习近平总书记在 2021 年 10 月 18 日中央政治局第三十四次政治局集体学习时指出,“要提高全民全社会数字素养和技能,夯实我国数字经济发展社会基础。”数字素养是数字社会公民学习工作生活应具备的数字知识、能力、素质、伦理道德等一系列要素的集合,其中网络安全意识是数字素养的重中之重,是全民全社会数字素养的基础课、必修课。可以说,只有网络安全意识有了明显提升,全民全社会数字素养才会有质的跃升;只有网络安全意识有了大的加强,才能为建设网络强国、数字中国提供坚实的人力资源基础。

一、加强网络安全意识教育要坚持正确导向

2021 年 11 月,中央网络安全与信息化委员会印发《提升全民数字素养和技能行动纲要》,明确指出要把坚持正确导向、保障安全作为全民数字素养教育的基本原则,有力有序推进全民数字素养与技能提升。

一是要引导公众正确认知安全和发展的关系。网络安全和信息化是“一体之两翼、驱动之双轮”,没有网络安全就没有经济社会的稳定运行,人民群众的利益、福祉也难以得到保障,老百姓在数字世界的幸福感获得感安全感也难以得到满足。世界因互联网而精彩、生活因互联网而丰富,互联网既是阿里巴巴的宝库,也可能是潘多拉的魔盒,在数字经济高速发展、数字应用层出不穷的今天,必须把公民的数字素养建立在安全意识的基础之上,只有树立正确的网络安全观,科学认知安全和发展的关系,才能拥有一双看清数字世界迷雾的“慧眼”。

二是要强化底线思维和风险意识。网络空间最大的风险是没有意识到风险的存在,不知道风险在哪里,不知道是什么风险,不知道风险什么时候发生。在百年变局和新冠肺炎疫情的双重影响下,人们对数字化工作生活学习的需求更加迫切,在线会议、共享办公、网络教育、非接触经济等新业态新模式快速发展,而公众往往会忽视其中所隐匿的安全风险和隐患,个人隐私、敏感数据、行为特征、生物信息得不到有效保护,大数据杀熟、无良算法、信息茧房等新的社会问题相继出现,究其最根本原因还是公众的底线思维不够、风险意识不强,在一味追求方便、快捷的时候牺牲了安全、放弃了权益。因此,在加快数字社会建设的同时,必须补齐全社会网络安全意识教育的短板。

三是要强固法律意识和法治思维。网络空间、数字世界绝对不是“法外之地”。这个空间虽然是一个虚拟的形态,但绝不是空中楼阁,其中的主体都是现实世界的客观存在,都必须树立与现实世界一样的法律意识,谁都不愿意网络的隐匿性变成了攻击、诽谤、造谣、谩骂的护身符,谁都不愿生活在一个充斥着虚假、诈骗、恐怖、色情、暴力的空间,谁都希望有一个安全、有秩序、可管理的虚拟世界。近年来,国家先后出台《网络安全法》《个人信息保护法》《数据安全法》等法律法规,一方面保护老百姓的合法权益,另一方面也为每个公民划出了底线、红线、高压线,知法懂法守法用法、自觉抵制网络不良信息、自觉同不法行为作斗争是数字时代公民的基本素质。

四是要强化数字文明和道德规范。网络安全需要用人文的精神呵护,需要用道德的力量浸润,网络空间天朗气清、生态良好,符合人民利益,是广大人民群众的迫切期盼。公民的数字素养、全民的网络安全意识,必须要涵盖网络文明规范、网络文明观念、积极健康的网络文化,通过全社会文明办网、文明用网、文明上网、文明兴网的共同行动,引导全民遵守数字社会规则,形成良好行为规范,弘扬主旋律,激发正能量,让科学理论、正确舆论、优秀文化、数字文明充盈在网络空间。

二、加强网络安全意识教育要注重建构场景

对普通老百姓而言,网络空间虚拟无形、难以触摸,网络安全意识教育难在做到“感同身受”、避免 “空对空”。这就需要遵循教育引导的一般规律,通过建构和现实生活联通的真实场景,让百姓置身其中、触及心灵。

一是要打通与虚拟世界连接的认知场景。脱“虚”向“实”,是实现网络安全意识教育创新的重要方向。达成这一目标,需要构建符合公众认知特点、思维规律的基础场景。可以从公众的兴趣出发构建场景,特别是借助公众对互联网的神秘感、求知欲,把网络拓扑、数据生产、安全防护体系中的要素、部件提取出来,把网络信息技术发展中的杰出人物、标志事件、典型成果凝练出来,把网络风险隐患的产生机理、内在特征、具体案例演化出来,通过框架化、图形化、数字化、可视化的形式,形成历史、人文、科技、艺术相耦合的一系列场景,通过有形认知无形,打开进入数字世界的一扇窗户。

二是要贴近新型数字生活场景。生活中的场景最打动人、最吸引人。当下,数字生活已成为人们的必需品,贴近数字生活构建网络安全意识教育场景,能够获得公众的广泛认同,引起情绪共鸣。比如,对于移动支付而言,单纯的教育难以起到良好的效果,但是如果构建一个让公众切身体验支付陷阱的场景,对普通群众的教育作用就十分明显;再比如,对于智慧家居,如果构建一个智慧家居安全的真实场景,让普通人能够通过网络操控智能设备,那么,他们对相关风险的认识就会更加深刻。这些来自生活中的场景,更加接“地气”,有利于提升教育效益。

三是要注重社会交往场景。社会交往也是公众关注的一个热点,网络安全和社会交往息息相关,再现社会交往中的安全风险能强化公众对网络安全的关注度。在郑州的网络安全科技馆,馆方设置了一个“反偷拍挑战屋”,在一个 40 平方米的空间,布设了一个快捷酒店客房的场景,在这个模拟的“客房”中安放了 180 个针孔摄像头。这些摄像头的密度和安放位置都超越了普通老百姓的想象空间。这个场景推出之后,就成为明星展项,引起公众关注。在大家震撼之余,再讲解如何识别风险、增强意识、提高技能,公众才能听得进去,才能取得实效。

四是要凝练政企安全场景。2022 年 2 月 15 日,新版《网络安全审查办法》正式施行,对党政机关业务系统、网上金融、传媒新闻网站、企事业单位网站和办公系统等关键信息基础设施的网络安全审查提出明确的安全监管要求。这些领域涉及国计民生各个方面,既要在线开放,又要流畅稳定,还要安全合规。在政企场景设计上,要重点突出两个方面,一是警示性,可通过再现“震网病毒”“棱镜门”等网络安全事件,让受众通过真实案例认知政企网络安全的潜在风险,强化安全意识;二是体验性,以网络安全科技馆为例,专门设计了“大号”优盘,参观者如果违规进行插拔操作,显示屏上就会复现“摆渡”攻击的全部流程。如何建立连接、如何窃取文件,大家一目了然。公众在切身体验和操作中增强了对风险的认知和对规范的敬畏。

五是要引入国家安全场景。“没有网络安全就没有国家安全”,网络安全意识教育必须要充分体现国家安全的内容和要求。事实上,网络安全保密和信息防护不仅仅是涉密单位工作人员的责任,也是每一个公民的责任和义务。在网络安全意识教育中,亟待引入国家安全教育的场景,比如《保守国家秘密法》《反间谍法》的普法宣教场景,手机泄密、优盘泄密以及激光窃密、声波窃密等新型窃密泄密的场景,以及国家关键信息基础设施保护的场景等。通过这些场景和体验,强固每个公民在网络空间的国家安全意识。

三、加强网络安全意识教育要突出重点人群

网络安全意识教育需要突出重点,需要把最合适的知识、技能传递到最需要的人群之中。

一要关注“银发网民”。“银发网民”指中老年人群体,是遭受电信网络诈骗的重点人群。当下,数字化技术加速覆盖医疗、养老、交通出行、财务等中老年人生活的方方面面。他们日均在线时间最长,人均消费水平高于全年龄人均消费水平,但对网络最不熟练,面临着更为明显的数字鸿沟。近年来,针对这一群体的红包诈骗、网络传销、非法集资等诈骗手段层出不穷。在银行、医院、保险等行业向老人提供流畅、便捷的线上服务时,老年人群体也成为不法分子的“最佳”诈骗对象。要以创新的手段、喜闻乐见的形式、面对面的服务弥合安全鸿沟,运用他们看得懂、看得见的形式,提高中老年人的网络安全意识和基本技能。

二要关注青少年群体。青少年群体是网络安全尤其是网络沉迷的易感人群。据 2021 年 7 月共青团中央发布的《2020 年全国未成年人互联网使用情况研究报告》,65% 的未成年人每天网络使用超过 10 小时,其中 8% 超过 15 小时。成功的数字产品都深谙人类对连接、赞赏和肯定的深层心理需求,而互联网公司都在追求用户黏性、用户使用时长,这正迎合了青少年群体的需求。解决青少年网络沉迷之困,根本上是要让他们正确看待网络、强化风险意识,要大力普及《未成年人保护法》,动员企业、学校、机构形成全社会护苗共同体;要对家长进行安全素质培训和防沉迷技能教育,从家庭的角度实现更好的监管。

三是关注大学生群体。大学生伴随互联网的发展而成长,是数字社会建设的生力军。他们既深入介入网络社会,也受到互联网全方位的影响。对他们的网络安全意识教育要突出两个重点,一方面,要加强大学生群体网络空间行为素养的教育,引导大学生遵守法律法规、加强道德规范、遵守技术规范,做正能量的建设者;另一方面,要强化大学生的使命意识,建立以天下为己任的责任感,为筑牢国家网络安全屏障、实现更高水平自立自强多做贡献。

四是互联网从业人员。互联网从业人员是互联网的建设者,他们的网络安全素养直接影响网络安全现状。业内普遍认为,因人员行为导致的网络安全风险占到了 70% 以上,错误的操作可以归因为安全意识淡薄、安全认知不足、安全技能不熟等。要注重提升安全素养,以教育培训、规定规则等形式,将安全意识渗透到方方面面;要注重提高职业操守,加强员工激励的同时把安全责任落实到人;要注重提升法律意识,定期进行法律法规和行业政策宣讲,在工作部署中不越雷池,依法行事。

五是关注政企工作人员。政企工作人员既是网络安全的执行者、实践者,更是网络安全的管理者、推动者。目前,我国网络安全整体投入不高,国内网络安全占信息化的投入比例约为 3%,而欧美等发达国家均在 10% 以上,部分超过 15%。投入偏低的问题,从一定程度上反映了管理者的重视程度,反映了对网络安全的认识水平。工业和信息化部2021 年发布的《网络安全产业高质量发展三年行动计划(2021—2023 年)(征求意见稿)》提出,到2023 年,电信等重点行业网络安全投入占信息化投入比例达 10%。要达到这个投入比,首先要解决管理者的认识问题,从思想深处认清安全和发展的关系,切实把网络安全作为城市数字化转型最大的“里子工程”“基础工程”,真正把“网络安全与信息化同步规划、同步建设和同步使用”的要求树立起来、落实下去。

四、加强网络安全意识教育要丰富平台和举措

当前,我国网络安全意识教育最大的短板是缺乏平台和载体,网络安全意识教育需要平台支撑,网络安全意识教育需要全社会的关注和投入。

一是要加大优质内容供给。网络安全教育需要坚持内容为王的指导原则,要有贴近老百姓、贴近不同人群的优质内容,把内容做精、做新、做出吸引力,才能提高网络安全教育的效益。要有优质教材的供给,特别是中小学校要根据学生的实际情况开发校本教材,面向中小学生开设实践课程和校本课程;要有优质科普内容的供给,以科普漫画、科普图书、科普视频等群众喜闻乐见的形式呈现;要有优质新媒体内容供给,结合热点以及公众形象进行内容创造,直击痛点,及时回应社会关注,实现更大规模的教育覆盖。

二是要建立专业教育基地。河南省郑州市高新技术开发区于 2020 年建成了我国第一个网络安全科技馆。建馆一年来,科技馆持续开展各类网络安全教育活动,组织各类网安科普活动 1800 余场次,其中包括场馆主题展教活动 260 余场、志愿者培训活动 110 余场、面向社区的公益宣传活动 300 余场、面向青少年的网络安全主题教育活动 200 余场、面向老年人的“智慧老人”课堂 50 余场,接待各类参观人员 25 万余人,以及来自国内 20 余个省市区、涵盖党政军企的参观团组 1500 余个,基本形成了面向社会各层次、覆盖多类人群的科普活动体系。从网络安全科技馆的运作情况看,专业化的网络安全教育基地对于推动全民网络安全素养提升具有明显的带动作用和示范效应。

三是要创建移动宣教平台。2020 年,河南省委网信办组织了“网络安全大篷车”活动,自主研发国内首个移动式网络安全科普宣教平台,开展“网安科普大篷车巡展活动”,把网络安全知识送到学校、社区、厂矿,走进群众、服务人民。目前,已在 4 个省、25 个县市、60 余个基层单位进行巡展,巡展里程达到两万公里,覆盖人群超过 50 万,填补了国内网络安全科普体系的空白,打通了网络安全科普教育走进千家万户的“最后一公里”。这种巡展方式,得到了公众的广泛认同,达成了把网络安全送到千家万户的目标。

四要开展专精型的实训演练。目前,国内大部分政企单位都建立了网络安全演练的相关制度,但在实际演练中也存在形式多内容少、推演多实操少、面上多点上少等问题。在政企网络安全演练中,需要克服“一锅煮”“大呼隆”的问题,建立专精型的演练平台和机制。在演练环境和平台上要“专业”、要“专用”,构建网络安全的专修环境和平台,把防御、监测、响应、处置等流程集于一体,把各个环节的制度、规范、责任嵌入其中,从日常网络安全事件中凝练形成可按需推动、可柔性组合的“案例库”,让政企人员对网络安全有一个全局的、整体的认识。在演练组织和实施上要“精准”,针对不同人群、不同岗位设立场景和科目,比如通过钓鱼邮件对网络安全防范意识进行测试,通过“绵羊墙”强化对热点服务安全的认知,通过“隐身人”建立样本对抗、算法对抗的概念等。通过这些精准化的训练内容,让政企人员在体验中强意识,由点到面、触类旁通。

五是要形成一体联动效应。要以落实《大中小学国家安全教育指导纲要》为契机,指导大中小学系统规范科学地开展国家安全尤其是网络安全教育,区分大中小学生的特点设置阶段教育目标明确、一体联动贯通的教育体系和实践场景。要以聚合性的交汇集为抓手,实现各类网络安全教育平台的一体联动,推动网络安全科技馆、综合性科技场馆、高新企业网络安全教育展馆等资源的有效聚合,把网络安全教育与科学素质教育、创新精神教育有机结合起来。要推动全社会网络安全教育资源的一体联动,利用国家网络安全周、国家安全教育日、国家科普日等重要时间节点,以及国内各类网络安全竞赛、网络安全论坛等时机,大力宣传网络安全知识,引导公众提升网络安全素养和技能,共同践行“网络安全为人民、网络安全靠人民”的重要思想。

(本文刊登于《中国信息安全》杂志2022年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。