何秉姣

（中南民族大学，湖北 武汉430074）

实现善用自律降低信息安全威胁的举措

何秉姣

（中南民族大学，湖北 武汉430074）

健全的法律和先进技术工具对网络信息受到攻击的程度并没有降低，因为人是主要的因素，据此指出信息安全管理者必须了解人性，并进一步提出从优化信息安全策略层面和实际管理工作中认识人性的自律，并善加利用，能大大降低网络信息安全的威胁。

自律；网络信息；信息安全；威胁

一、引言

信息是交流的工具，是智慧的源泉，是财富，所以，维护信息安全势在必行。上到国家已经制定了很多针对维护信息安全的法律，下到企业不仅从企业规章制度，而且从科学技术双管齐下，力图保障计算机网络的信息安全，发挥它应有的价值。但大量的资料显示，信息受到的攻击正在逐年增加[1]。本文在一定研究的基础上提出：善用自律是维护信息安全，降低安全威胁的有效途径。

二、日益健全信息安全法和先进技术与现状的矛盾

（一）日益健全的信息安全法和日新月异的先进技术

美国的《信息自由法》、《伪造访问设备和计算机欺骗与滥用法》、英国的《数据保护法》、加拿大的《个人隐私法》等法律都是为维护信息安全而制定的。我国十分重视信息化法制建设，并运用法律手段保障网络系统安全，促进信息网络的健康发展。从1994年国务院147号发布《中华人民共和国计算机信息系统安全保护条例》开始，国务院与相关部委陆续发布了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《商用密码管理条例》、《计算机病毒防治管理办法》、《互联网信息服务管理办法》等多部法规文件，最近人大常委会通过了《中华人民共和国电子签名法》。随着信息安全的需要相应的法律也会越来越健全[2]。

先进技术是信息安全的根本保障。用户须首先对安全威胁进行风险评估，根据评估报告和所需的安全级别决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，最后还要定期升级相关的技术。先进技术日新月异。从计算机硬件维护、软件安全技术，到计算机病毒防治、数据加密压缩、网站安全和防火墙等先进技术安全保障。

（二）网络信息不安全的现状

计算机信息系统也是一个网络系统。计算机信息系统面临的安全威胁主要是计算机网络面临的安全威胁。计算机网络所面临的威胁包括网络中信息的威胁和对网络中设备的威胁。影响计算机网络的因素有很多，这些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非认为的；还可能是外来黑客或内部人员 （包括信息系统的管理者、使用者和决策者）、特殊身份人员（具有特殊身份的人，比如审计人员、稽查人员、记者等）、外部黑客及组织、竞争对手、网络恐怖组织等。

卡巴斯基实验室安全网络（KSN）发布了《2010年第一季度信息安全威胁报告》。报告显示，在全球不同国家，共计发生327,598,028次恶意程序试图感染用户计算机的行为，同上一季度相比，总体增长26.8%。报告统计中国依然是“最易遭受网络攻击的国家”。卡巴斯基分别统计了互联网上最常见恶意软件家族和漏洞威胁。在2010年第一季度，卡巴斯基实验室在用户计算机上共检测到12,111,862个未修补的漏洞。同上一季度相比，增长了6.9%。排名前十位的漏洞中，有六种来自微软的软件产品，有九种可以被网络罪犯用来获取系统的安全控制权。可见,保护计算要及时安装漏洞补丁[1]。

在国内，根据CNCERT周报报道，“依据CNCERT抽样监测结果，境内被木马控制的主机IP地址数目为69873个，境内被僵尸网络控制的主机IP地址数目为6471个，境内被篡改政府网站数量为145个。虽然CNCERT给出的安全态势是“良”，但是依然有众多的政府网站被篡改，众多的主机被控制。正是信息系统的如此不安全，造成了全世界的经济损失每年高达上千亿美元，许多发达国家每年损失几百亿美元，还有无法用经济数字来评价的巨大安全隐患。

美国国土安全部一项最新研究显示，大部分黑客入侵事件都是由于计算机使用者的人为因素造成的。在研究过程中，研究人员将一些计算机光盘和U盘丢在停车场中。在捡到这些光盘和U盘的人中，有60%会将它们插入办公室电脑，看看其中有什么内容。如果光盘和U盘上带有官方标志，那么有90%的人都会这么做。

计算机科学公司网络安全和私人咨询主管马克·拉什（Mark Rasch）表示：“没有一种设备可以阻止人们的这种愚蠢行为。”测试结果验证了计算机安全专家长期以来的看法：人为因素是网络安全问题中最弱的一环，成功的攻击和信息犯罪往往利用了人性的弱点。

在现实中，EMC旗下ESA Security、英特尔和谷歌的高管成为攻击目标，收到了含有链接陷阱的电子邮件。而这些员工在毫不知情的情况下将重要信息发布到了 Facebook和Twitter。根据信息安全公司McAfee的说法，此类问题造成了1万亿美元的损失。

可见，日益健全的法律和先进的技术并没有效解决信息安全的问题，而且这对矛盾在逐步升级中。从以上统计信息说明网络信息的威胁不仅来自网络系统本身的安全漏洞，更多的与人的因素有关，包括合法和非法的信息威胁者。那么了解人性就显得很必要。

三、人性简述及计算机犯罪心理特征

（一）简述人性

人总是在本能、理智和道德之间来回游走。人的多样性首先来源于人的基本属性。人的基本属性就是我们通常所说的人性。

上世纪初，伟大的心理学家弗洛伊德提出了具有划时代意义的“人格结构论”。他认为人格包含“本我、自我、超我”三种不同的概念：本我是潜意识的结构部分，是所有本能的大本营，它与生俱来，遵循快乐原则；自我是理性的，是意识的结构部分，处于本我与外界之间，遵循的是现实原则；超我则是道德化了的自我，是内在的道德满足其欲望，超我则要求自我将欲望压抑下去，自我则依照现实环境，采取适当措施，调和两方面。弗洛伊德的女儿安娜·弗洛伊德把这三种不同的人格通俗易懂地表述为“本能的，理智的，道德的”。也有人说“本我、自我、超我”[4]。

弗洛伊德认为，只有三个“我”和睦相处，保持平衡，人才会健康发展，不违规违法；而三者吵架的时候，人有时会怀疑：“这一个我是不是我？”或者内心有不同的声音在对话：“做得？做不得？”或者内心因为欲望和道德的冲突而痛苦不堪，或者为自己某个突如其来的丑恶念头而惶恐，人就经常在本我、自我、超我三者之间来回游走，有时候表现得很有责任感，有时候又显得随心所欲不负责任，有时候理智而沉稳，有时候又痴迷而疯狂。前者是超我、自我在主导他的行为，后者则是本我在蠢蠢欲动，让他不知所措，经常以侥幸心理支配人们做很多对信息安全有害的行为，例如误操作、随便打开不安全的链接等，行为者此时一般处于潜意识状态下。这就是人性的弱点。这个弱点经常被利用，成为信息安全的威胁。

（二）计算机网络犯罪主体的犯罪心理

计算机网络犯罪是典型破坏信信息安全的行为。其犯罪主体的犯罪心理可分为三类:1.发泄型：由于学习、工作或生活上的压力而感到迷惑、苦闷，甚至愁肠百结，不在沉默中灭亡就在沉默中爆发。在计算机网络这个虚拟的世界里，他们自以为可以随心所欲地发泄、攻击他人、破坏网络的正常秩序。2.自我型：这类犯罪主体以年轻人、黑客、怪客为主，他们并无明确的作案动机，仅是利用自身具有较高的科技知识，在网上称霸一方，同时传一些小病毒、电子炸弹之类，再有甚者，闯入国家机密机关网站等。这此行为也仅仅是他们所认为的智力游戏的一种，一句话概括表演癖好。于是，他们不经意间便损害了个人或企业的利益，甚至触动了法网。3.心怀不轨型：这类犯罪主体年龄不一，文化背景小同，家庭出身也不样，但是犯罪目的明确：即为满足自己扭曲的心理需求，为已之利益所驭动。他们有的本着人为财死，鸟为食亡的错误思想，利用技术手段去刺探机密情况，欺诈别人；有的引诱青少年，打击报复他人；有的制造黄色垃圾，传播黄色文化，他们在网络里无论干什么事都别有用心，以满足刺激及玩弄他人为日的，这类人虽具有定才智，但特别具有侵犯性、攻击性，尤其以心理变态者居多，具窥视隐私的癖好与暴力倾向。对于前面两类，是大多数，可以采用引导教育为主的措施予以帮助，最后一类是少数，以法律严惩为主的方式予以解决。

（三）善用自律降低信息安全威胁

自律就是自我管理，自觉遵守基本的法律法规，不做对信息安全有害的行为，较少无意泄露密码等行为。这能极大程度消除情绪性和自我型犯罪。马克·拉什表示，有大量的网络安全事故没有被曝光。企业防火墙通常能够阻止病毒和其他恶意软件感染计算机，窃取信用卡信息和用户密码等数据。然而人为错误往往使这样的努力白费。他表示：“规则第一条是不要打开可疑的链接。规则第二条是认真阅读第一条。而第三条则是阅读第一条和第二条。”这就是引导人们自律自觉维护信息安全的措施。

另外还可以设计一个简易的数据库软件，其包括介绍心理学的知识，便于人们提高自己认识的能力，调整自己的不良情绪，做情绪的主人，学会自我管理。把软件加载在电脑桌面上，还包括各种信息安全法，计算机维护技巧等知识，方便人们随意学习。这些方式都能激发培养人们自律性，维护信息安全性。

四、实现善用自律降低信息安全威胁的举措

诺贝尔得主洛伦兹认为人的侵犯是一种需求，不可避免，只能尽量避免侵犯及其升级。所以保障信息安全主要考从事信息安全工作的专业人才，从德治、法制和先进技术三个层面予以维护信息的安全。那么，科学培养信息安全专业的人才显得尤为重要了。

（一）基于自律优化本科信息安全人才培养的课程设置

课程设置是根据特定的教育培养目标，组织个编排课程的系统化过程，它受一定的教育目标和教育价值观的决定和制约，是实现教育目标的载体，如果说专业设置直接影响学生的培养方向，那么课程设置就直接影响学生的培养质量。

目前我国普通高等信息安全专业教育的课程教学管理实行学分制。一般讲，课程设置框架主要由通识教育课程、文理基础课程、专业教育课程和任意选修四部分组成。纵观我国多所在该专业水平高大学，它们所设课程体系中都缺乏对于人性知识有科学了解的课程，比如心理学的普及知识。本专业培养的目标是“重专业懂管理”的复合型人才。这就要求在培养学生管理能力前首先必须了解被管理的“人”，才能对人科学有效管理。有能力激发人们扬善惩恶，自觉维护信息安全，将各种威胁尽量消灭在萌芽状态。本文建议将心理学知识的课程开设为必修课程。

（二）现有通用信息安全策略存在的欠缺

信息安全策略是具体维护信息安全的依据，十分重要。目前信息安全策略主要包括“严格管理”和先进技术。这里主要就其中“严格管理”存在的问题予以探讨和完善。

第一，目前的严格管理流于形式。国际国内针对维护计算机信息安全的法律不断地制定和颁布，内容不断全面丰富，为计算机犯罪行为的惩罚提供有力的法律依据。各企业在“严格管理”方面的规章制度也十分齐全。但上到法律下到企业的规定，一般流于文本和文件文字形式，并没有内化到人们的心里，上升到基本安全理念，化为安全使用信息的行动了。

第二，重视管理的程度不够。国家工商行政管理总局信息中心高级工程师石跃军这样评价安全体系的构成：“三分在技术，七分在管理。”可见相对先进技术因素，管理因素在保证信息安全中是更加重要的。但现实是，由于计算机技术日新月异，从事该领域的人员，在被要求不断开发和学习新技术的压力下，上到信息安全的管理者，下至工作技术人员，都存在轻管理重技术、重管理的形式轻管理的落实。这种模式直接导致所有的法律、法规和各级管理规章流于摆设，主要是应付上级检查和考核，没有安全使用信息的行为，也就难以养成安全规范操作的习惯了。

第三，严格管理属于法制。从各种法律规章制度的提出形成和执行情况来看，都是一方对另一方的严格管理。众所周知，所有的法律、条款等规章制度都是用来管人的，执行起来具有强制性，被管的人一般都有抵触的心理。他们一般采用消极的态度和应付行为尽量躲过被管。这是人的本性之一。这样的严格管理不仅难以收到较好效果，而且引起不少的敌对情绪，而不良情绪就是一种安全隐患。计算机犯罪是典型破坏信息安全的行为，这类犯罪主体的犯罪心理主要是情绪发泄型[3]。他们有意无意在计算机虚拟平台上发泄各种现实生活中不良的情绪，对信息安全构成威胁和破坏。显然，现有的信息安全策略有待完善和优化。

（三）强化德法兼治，充分利用人的自律潜能

德治、法治和先进技术都能从不同的角度维护信息安全，三者辩证统一，缺一不可。目前在先进技术层面得到了社会的共识，投入大量人力财力不断研制先进技术。它是维护信息安全的基本保障，是信息安全的重要一环，主要解决信息系统硬件和软件的各种漏洞及不断升级的问题，并做好危机处理等预备方案。同时，进一步完善相关法律法规的制定，并给予大力宣传普及，增强人们的法律意识，做到遵纪守法地使用信息，减少对信心安全的威胁。

应该强化信息安全管理人员比较忽视的资源——人有自律向上的潜力。这就要求普及心理学知识，提高道德意识，解决情绪不良引起的信息安全问题。人性的弱点是客观存在的，无法否认。面对信息安全问题，管理者能做的事，就是引导人们自己自我认识、自我约束和自我管理。借助学习心理学方面的知识，提高自我素质，清楚认识自己的优点和缺点，接纳自己，依据“本能、理智和道德”三种状态，在工作和生活中养成有意识经常评价自己，尽量保持自己以理智和道德状态为主，遵守信息安全法律和法规，维护信息安全。这样很多由于不良情绪引起的安全威胁被消灭的开始阶段了。

综合以上三个方面，管理者可以从情、理、法三方面有效综合管理，真正实现七分管理。法律条款是冷冰冰的，但人心是热乎乎的。管理者在充分认识自己的基础上，提高自己的管理素质，用感情温暖别人，用道理说服别人，用法理约束别人，加上先进技术的保障，如此四管齐下，能保证信息基本安全运作。

（注：本文系湖北省教育厅科学技术研究项目，项目编号：B20110808）

[1]美国研究显示人为因素带来信息安全问题[EB/OL].http://www. cnbeta.com/articles/147079.htm.

[2]刘艺，蔡敏，李炳伟.计算机科学概论[M].北京：人民邮电出版社，2008.11.

[3]黄肃扬，周晖.网络犯罪及其心理特征[J].兰州大学学报，2004.5.

[4][奥]弗洛伊德.弗洛伊德心理哲学[M].杨绍刚，等译.北京：九州出版社，2005.9.