■ 中国信息安全测评中心  桂畅旎

网络安全意识是指国民在网络空间活动中所具备的安全风险意识,主要包括对网络空间的认知、对网络环境的认识、对网络活动中各种风险因素的感知和对具体安全事件或挑战的反应等。“意识决定行为”,网络安全意识的强弱既直接影响着个人的财产、心理乃至人身安全,也现实影响到社会的稳定与平安,更深刻关乎国家的繁荣与发展。因此各国越来越重视国民网络安全意识培养,将其作为网络安全能力建设的重要组成部分,并采取各种政策举措,努力提高公众的网络安全意识,促进公众理性认识网络空间,合理合法利用网络,自觉保护个人权益和国家利益。梳理和分析各国网络安全意识培养的主要做法与基本特点,可为我国加强网络安全宣传教育,培养国民网络安全意识,完善网络安全治理提供借鉴。

一、各国的主要做法

为应对信息技术日新月异,网络安全形势多变的现实挑战,各国特别是西方发达国家均将加强网络安全意识作为提升网络安全保障能力的有效手段。

(一)纳入国家网络安全整体规划,进入政府重要议事日程

网络安全意识培养已被越来越多国家纳入到国家网络安全的整体规划中。美国早在2003年颁布的《保护网络安全国家战略》中就明确提出要“启动国家网络安全意识普及和培训计划”;2008年小布什总统签署的《国家网络安全综合计划》进一步要求“扩大网络教育”,“建立一支技术熟练、精通网络的人才队伍”;2009年的《网络空间政策评估》与2016年的《网络安全国家行动计划》均要求提高公众网络安全风险意识,加强和推动网络安全教育。紧随美国,日本在2010年《保护国民信息安全战略》中强调“通过普及安全意识来加强国民针对个人电脑采取的信息安全措施”。而一向注重个人网上隐私权利的欧盟在2013年《欧盟网络安全战略》中也建议各成员国“每年组织网络安全宣传月活动以提升用户意识”。除此之外,各国高层极为重视,如以色列总理内塔尼亚胡连续8次出席以色列网络安全国际会议并发表重要讲话。连一向被指责不重视网络安全的特朗普也在2017年9月30日公开发表关于“国家网络安全意识月”的宣言。可以看出,各国启动网络安全宣传是与其国家信息化发展相适应,与网络空间形成相匹配,与国家信息安全保障体系相同等。

(二)开展专项宣传行动,集中强化社会对信息安全的认识

在顶层设计之外,各国纷纷举办安全周、安全月等活动,以传播新知,揭露风险,提供对策。美国早在2004年将开始举办“网络安全意识月”(NCSAM),以引导公众和企业关注网络安全,提升安全意识,向公众和企业提供安全上网所需要的工具和资源,并借此增强国家在遭遇网络事件时的恢复能力。美国还借此打造出“停止·思考·连接(Stop·Think·Connect)”亮点活动,旨在通过宣传安全上网的重要性及具体步骤,增进美国公众对网络威胁的理解,使线上活动变得更加安全。欧洲于2013年也开始在每年10月举办“欧洲网络安全月”(ECSM),并开展形式多样的网络安全宣传教育活动,增强欧盟公民的网络安全意识和个人防护能力,目前该活动已成为欧盟网络安全整体战略的重要组成部分。日本则在每年的2月1日至3月18日举行“网络安全意识月”活动,每年均以“意识,安全,持续”为主题帮助公民持续跟踪和研判不断变化的新型网络安全威胁并做出对策。此外,以色列、英国、澳大利亚、新加坡、加拿大、新西兰、斯里兰卡、挪威等国家也都有年度网络安全宣传周或宣传月活动。这类网络安全主题活动,往往能在社会上引起广泛关注,集中强化社会对网络安全的认识,因此也成为许多国家进行网络安全意识培养的主要抓手。

(三)利用学历和非学历教育等渠道,将安全意识培养与能力建设相结合

网络安全意识的形成不在一朝一夕,而是需要通过长期的系统化的学习和培训助力。各国普遍通过学历教育和职业培训来提高国民网络安全知识和专业技能。如美国在2008年启动的“国家网络安全教育计划”(NICE),其主要目的就是提高美国各地区、各年龄段公民的网络安全意识和技能。英国从2016年起将网络安全知识技能作为取得计算机及数字化相关的继续教育资格证书的关键考核因素,并将网络安全列为学士学位课程的必要组成部分。日本2011年发布《信息安全普及与启蒙计划》,要求在学校开展多种形式的信息安全教育,提高信息安全相关的意识、知识和技能。“网络安全意识培养从青少年抓起”,各国特别重视面向青少年的网络安全教育。《欧盟网络安全战略》中就明确要求各成员国要在年度网络安全宣传月中设立针对青少年网络与信息安全意识提升的相关活动。英国在2006年就将网络安全教育纳为学童的必修课程;美国在2010年开始要求中小学开展网络安全教育,并在每年举办的国家网络安全意识挑战赛中强化青少年的网络安全意识,普及和提高应对网络威胁的能力。亚洲国家中,日韩从小学、中学阶段已开展增强网络安全意识的活动。

(四)支持官产商学各界协力,以国际国内专业性、学术性会议助力意识的提高

由于网络安全领域发展迅速,威胁更新层出不穷,举办网络安全会议可传播最新的网络安全热点议题,助力公众网络安全意识的提高。目前,网络安全相关国际会议内容不断丰富,影响不断扩大,层级越来越高,既有BlackHat、DEFCON等网络安全专门会议,又有慕尼黑安全会议、世界经济论坛等传统会议对网络安全议题的关注,更有G20、联合国等国际组织对网络安全问题的论证,加大了网络安全的国际关注度。另一方面,各国内专业会议逐年增多,会议内容不断扩展,以色列的“国际网络安全会议”、美国的RSA信息安全大会、欧洲信息安全论坛暨展会等,已成为享誉国内外的年度盛会,国际影响力不断上升,成为各国交流网络安全经验的主要平台,会议成果通过媒体发布扩散,极大地提高了民众认知。

(五)网络攻防演习愈演愈烈,不断增强安全意识的紧迫感

近年来,网络攻防演习呈现出规模化、常态化的特点,单边、双边和多边演习轮番上演。美国的网络演习包括“网络风暴”、“网络防卫”、“网络夺旗”,北约也先后举行了“锁定盾牌”、“波罗的海幽灵”、“网络联盟”等多场大规模网络攻防演习,欧盟则有“网络欧洲”、“Cybrid联合网络防御”,日本政府也将实施针对奥运网络攻击的对策演习。此外,俄罗斯、土耳其、越南都开始举办常规化的网络攻防演习。这些演习包括大量军事机构、ICT企业、学术界代表和军队,因此通过开展实战化网络安全演习不仅可提高国家、地区间的应急响应能力,还有助于各行业领域的管理人员和技术人员发现网络安全威胁和网络漏洞,更可增强公众对于安全威胁认知的直观性和紧迫感。

二、特点与影响

网络安全意识的培养关键在“人”,重点在“网”,深入分析各国主要做法的具体内容和方式,可以大致了解其特点和影响。

(一)紧扣网络空间特点,安全意识的内涵与时俱进

网络空间万物互联,对现实世界的影响日益深广,网络安全的内涵在不断发展变化,网络安全意识的内涵随着网络安全范围的拓展而扩大。从个人安全到社会安全,再到国家安全;从防病毒,防窃取到防攻击;从防网络欺诈,防数据丢失到防意识操作,近十多年来,网络安全意识的丰富,直接反映了网络安全形势的复杂。当前的网络安全意识已从单纯思想上的感知提升到能力上的自觉,不仅具备了遭遇网络不安全时能及时分辨,发现和判断危险所在的认知能力,而且拥有面对安全威胁选择正确应对方法的动手能力,更是达到面对重大隐患或风险,能够共享信息,分享经验,共同应对的群体智慧。

(二)结合重大案例开展警示教育,“恐惧心理”效应明显

“吃一垫,长一智”是人类安全意识形成的原始本能,网络安全意识培育中,安全事件同样扮演着重要推动力的角色。从“蠕虫”病毒到“震网”,从阿桑奇到斯诺登,从网络攻击到“通俄门”等,世界各国在这些重大事件后无不痛定思痛,举一反三,见微知著,增强意识,指导修正和调整。“蠕虫”不断演进发展,防病毒产业经久不衰;“震网”事件后,工业控制系统的安全备受重视;阿桑奇爆料和斯诺登事件后,防止大规模数据的泄露和防内部泄密成为世界各国高度关注的问题;“通俄门”事件后,防止互联网内容被操纵、确保选举的网络安全已成为各国政府网络安全治理的重中之重。这种“狼来了”、“一人生病,大家吃药”的案例警示效果最为直接。

(三)充分利用网络手段,倡导为公民提供便捷服务

为补充宣传周、宣传月等专项行动,各国还设立专门的网站来传播网络安全的基本知识、普及网络安全风险的防范技巧与实用工具。如美国的“安全在线”(stay safe on line)网站提供相关的活动介绍和发布相关的资源,并针对不同的群体如个人、家庭、教育行业及商业领域而提供不同的内容。英国的“在线安全”(get safe on line)网站则提供了一个关于如何应对威胁和保护自己和企业的建议的综合信息库,为公众提供基本知识与工具。“ISC非洲”则是专门协调非洲国家政府、行业和社区,向非洲公民宣传和教育如何安全、负责任地使用计算机和互联网的网站。

(四)发挥媒体的宣教作用,推进社会安全意识的提高

在传播渠道上,各国十分注意线下与线上相结合、传统媒体渠道与网络新媒体渠道相结合,充分利用网络、广播、电影电视、报刊等多种平台,面向大众宣传网络安全常识,传播网络安全知识,培育网络安全文化,实现全媒体、多形式、高频次传播,实现各种资源的有效整合。《纽约时报》、《华盛顿邮报》、《金融时报》等报纸、网站均越来越多地开设和发展信息安全的专题、栏目、报道和评述,与新媒体传播领域起到了相辅相成的作用。

(五)注重宣传技巧,提高公众的接受度

有效的网络安全意识培养活动必须是简单易学,且兼具趣味性的,而不是让人觉得安全规章太复杂、安全原理太深奥、安全措施太笼统等,不然就会让公众感到“安全疲劳”,也会被视为义务行为降低宣传的效果。因此,在提高网络安全意识行动中必须要注重宣传技巧。如欧美网络安全月在宣贯的渠道与可视化展示上均进行了创新,利用包括多语言的网络安全小贴士、宣传海报、宣传片和安全建议材料。日本更是通过卡通漫画等方式向公众普及网络安全知识。

三、启示与借鉴

近年来,我国高度重视网络安全意识培养工作,成绩斐然,主要体现在:(1)高层重视,习总书记多次强调网络安全意识培养工作的重要性,并在2016年网信工作座谈会上明确了“网络安全为人民,网络安全靠人民”的基调;(2)立法保障,《网络安全法》明确指出“采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境”;(3)学科建设,不仅“网络空间安全”被增设为一级学科,我国还开始推行一流网络安全学院建设示范项目;(4)社会重视,从2014年网络安全宣传周开始以来,在政府的大力宣传下,企业、社会组织、广大网民均开始意识到网络安全的重要性,纷纷参与到维护网络安全的工作中。但网络空间在发展,技术在进步,安全风险在变化,网络安全意识提高永远在路上,他山之石,可以攻玉,国外网络安全意识培养活动对我国有以下几点启示:

(一)持续办好宣传周,但要不断充实新的内容,充分反映我国的网信发展热点。

我国的网络安全宣传周自举办以来,内容不断丰富,形式逐渐多样,影响越来越大。我们应维持住宣传周的良好势头,并不断改进完善。一是要与时俱进,不断充实新的内容,反映新的网络安全热点,比如公众关心的网络病毒,网络诈骗,网络暴力,网络谣言等,尤其要关注老年人预防网络诈骗和青少年抵御互联网不良信息,及时向公众提供解决方案。二是要扩大宣传范围,从首都及几个大城市推广到各省市、各行业,形成全国联动,并加强与其他国家的互动。三是要改善宣传手段,创新宣传形式,增强宣传效果。

(二)利用重大安全事件强化警示教育,强化民众的心理认知。

近年来,全球性网络安全事件层出不穷,影响深远。我国同样面临着严峻的网络安全形势,包括大面积的公民信息泄露,针对关键基础设施的网络攻击,日益猖獗的网络犯罪,我们应该将此类重大事件作为警示教育素材,以案说法,以案示警,将影响面广,危害性大的重要安全隐患和技术风险以通俗易懂的形式说清讲透,教育引导公民提高网络安全防护能力。

(三)开设公益性的网络安全宣传热线和网站,及时回应公众对网络问题的关切。

网络安全不应只在宣传周上讲,还应成为常态性、长期性的政务工作。各地政府可开设公益性的网络安全宣传热线和网站专栏,及时发布最新的威胁预警,随时回应公众对网络问题的关切,提供足够的信息安全知识和工具,并将此项工作纳入各地网信工作的议事日程,作为为民服务的实事。

(四)引导网信企业承担更多社会责任,在向社会提供服务和产品的同时,积极培育安全的社会生态。

网络安全意识培养行动离不开企业的参与。一方面,企业既是网络安全意识培养的践行者,政府需要引导企业提高自身网络安全意识,以身作则,保护用户的网络安全;另一方面,企业还应成为网络安全意识培养的引领者,主动承担社会责任,向公众提供先进的技术,指导和工具,积极宣讲网络安全知识和技能,努力在全社会树立“安全源自警惕,事故出于麻痹”的意识,培育“网络安全人人抓,网络安全为大家”的社会共识。

(本文刊登于《中国信息安全》杂志2018年第9期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。