◆齐 斌 邹红霞 王 宇 李冀兴



浅析国内外网络安全意识教育知识体系

◆齐 斌 邹红霞 王 宇 李冀兴

（装备学院 北京 101416）

网络安全意识作为国家网络安全战略的重要内容之一得到了社会的广泛关注，意识教育也逐渐受到重视，论证表明唯有通过提高网络安全意识才能从人为因素角度降低个人乃至国家遭受的网络安全风险。本文给出了网络安全意识和网络安全意识教育的定义，并通过对国内外网络安全意识教育的知识体系分析，归纳总结出知识体系的分类标准，为提高我国的网络安全意识教育效果提供参考。

网络安全意识教育；知识体系；分类标准

0 引言

近年来，世界各国纷纷将全民网络安全意识教育作为国家网络安全战略的重要内容之一，通过增强全民网络安全基础知识和基本技能培训[1]，提高对网络安全威胁和网络犯罪行为的认知，促进公众采取保护措施来降低个人乃至国家遭受网络安全风险的可能性。

大数据研究表明，绝大多数的高级持续攻击（APT:Advanced Persistent Threat）都是由于人员安全意识缺乏造成的。在网络安全的链条中，人为因素作为其中的薄弱环节，使得越来越多的攻击者利用人的意识弱点实施社会工程学等攻击，通过手机短信、垃圾邮件等引诱用户提供敏感信息（包括账号、密码、通讯方式等信息）或下载带有木马、病毒的恶意软件，从而造成了大量的财产损失。据国际反钓组织APWG最新统计[2]，2016年的网络钓鱼攻击数量比2015年增加了65%，数据表明中国是全世界受网络钓鱼攻击最严重的国家，仅恶意软件感染的数量就占据了全部计算机的47.09%。

感知网络安全态势，做好风险防范，就要求“人”必须接受良好的网络安全意识教育才能降低系统的攻击面。2016年4月习主席在网络安全和信息化工作座谈会上指出,“网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任......共筑网络安全防线”[3]因此，提高人在使用网络过程中的安全意识，是维持网络空间秩序的有力保障，是网络安全研究的重要内容。

提高网络安全意识就务必重视网络安全意识教育，通过意识教育促进网络的安全管理。而网络安全意识教育的核心便是其知识体系，知识体系是支撑网络安全意识考试、测评和培训的基石。好的知识体系必须要有科学的分类标准，可以将网络安全知识梳理的更加系统、准确，这将直接决定了网络安全意识教育的效果。

本文首先尝试诠释网络安全意识和网络安全意识教育的内涵，通过对国内外网络安全意识教育知识体系和分类标准的分析，指出当前网络安全意识教育知识体系存在的优势和不足，为更好提高网络安全意识教育的效果提供参考。

1 对网络安全意识的理解

意识，通常指人脑对大脑内外表象的察觉，是生物由其物理感知系统能够感知的特征总和以及相关的感知处理活动，必须有一定的刺激强度和一定的持续刺激时间才能产生知觉。心理学中定义为人所特有的一种对客观现实的高级心理反映形式，也就是所谓对客观物质世界活动的反应过程。因此，网络安全意识就是指在网络空间活动中为了保障个人信息、财产安全而发现可能存在的威胁、判断其危害性并及时预防或化解威胁的能力。

2 对网络安全意识教育的认知

网络安全意识教育是指通过考试、测评、培训等手段提高人的网络安全意识的活动，旨在加强自身对网络安全相关知识的掌握，提高发现、判断并处理安全威胁的能力。网络安全意识教育一般包括网络安全意识考试、网络安全意识测评和网络安全意识培训三个方面的内容。

网络安全意识考试是指通过试卷等手段判断被测人对网络安全知识和技能的认知情况。问卷考试是目前针对网络安全意识内容最多的测试方法，通过对网络安全知识点抽样的考核，量化得分标准，通过成绩判别知识或技能的掌握程度。

网络安全意识测评是指通过网络攻防对抗、仿真场景演练和威胁情报分析等手段方法对被测人的网络安全意识进行客观的测量与科学评价。目前鲜有大型公司采用测评的方式对员工的网络安全意识进行考核，而在运用测评手段上也仅仅是简单攻防对抗或者数据分析等，没有构成体系，测试的数据对于量化分析员工的网络安全意识有很大的干扰。就当前领域，测评的手段仍然很稀缺，实施起来依然有很大困难，对测评的研究也存在很大的空白。

网络安全意识培训是指通过科学的方法提高人员网络安全素质和能力而实施的有计划、有系统的培养和训练活动。网络安全培训活动是各大企业、组织开展的较为多次数的培训活动之一，但是数据表明网络安全培训活动多数以老师授课的形式进行的，培训内容主要以知识点为主。总结来说，就是培训体验感较差，具体表现为培训内容枯燥、形式单一、对象区分度低；二是未形成体系，具体表现为培训绩效无法度量，无法可视化，意识提升效果无法对比，更缺少有效的渠道收集反馈意见和建议。

3 国内外网络安全意识教育的知识体系分析

世界各主要国家普遍将网络安全意识教育作为国家网络安全战略的重要内容之一，并主要通过专门网站来传播网络安全风险相关知识、普及网络安全风险防范技巧与实用工具，通常也会在学生的课堂上和教材中提及。本文通过对中、美、英、法等国家的网络安全意识教育网站和部分教材分析，归纳总结出网络安全意识教育的知识体系主要分为网络技术性质和网络安全需求两类标准，具体如下。

3.1根据网络安全技术的性质分类

依照网络安全技术的性质分类是目前最为国内外最为常见的分类标准，因其易于模块式教学而受到很多培训网站的青睐，甚至很多教学大纲也是据此分类。依照对国内外部分网络安全教材和例如“安全意识”（http://www.sectv.cn）等网站的分析归纳，综合最新的一些网络安全技术对其分类，如图1所示。虽然分类相对容易，涵盖知识点很多，但是针对性较弱，很难专门对某一类人进行培训教学，对于安全意识教育有一定参考意义。

3.2根据网络安全需求分类

网络安全需求分类是以网络安全体系基础架构的主要涉及层面为依据，划分为技术需求和管理需求两个大类。此类方法继承了网络安全技术性质分类的优势，同时囊括了关于人的行为管理层面的安全知识点。是目前各大网络安全公司较为常见的一种分类方法，示例如图2所示，其中每一项类别又可以按照相应需求继续划分多个具体类别知识点。但此种分类标准仍需要改进，具体标准需要进一步明确，知识点还需要细致归纳。

图2 网络安全需求分类示例

4 国内外网络安全意识教育的知识分类标准

通过对现有国内外网络安全意识教育知识体系分类标准的归纳，目前大致采用4个分类角度，具体是按照对象层次、岗位层次、场景应用和威胁等级分类的。

4.1按对象层次

目前国外大多数网络安全意识教育网站均采用了此种分类方法，而区别在于具体分类中的标准不同，使得在网站的知识体系结构中出现了分化。以“安全在线”（www.staysafeonline.org）为例，网站按照对象层次分为了两个模块，分别是培训对象和培训教师两大模块，而培训对象又细分为个人网络安全和企业网络安全两类，并在此基础上根据各自标准再次分类。如个人网络安全中，又分为计算机系统安全（恶意软件和僵尸网络、垃圾邮件和网上诱骗、被黑客攻击的系统、家庭网络设备安全），个人信息保护（ID盗窃与欺诈、密码与账户安全、社交网络、网购、备份），网络安全教育（教育数字公民、网络欺凌与骚扰、家长控制权、游戏提示），移动终端安全（移动设备、移动家长控制权）等相关基础知识和问题处理办法。具体示例如图3所示。

图3 “安全在线”网站知识体系

国外以对象层次作为分类标准的网络安全意识知识体系在知识点的划分上较为宽泛，选择对象标准不同，网络安全意识知识点的划分也就不会相同，知识体系必然就会出现差别。以“确保IT安全”网站（www.makeitsecure.org）为例，对象角度分为家庭用户、年轻用户、商业用户和一般用户四大种类，并据此继续划分。又如“身份盗用中心”（www.idtheftcenter.org）为例，在按照身份盗用的对象角度上又分为了金融身份盗窃、政府身份盗窃、医疗身份盗窃、犯罪身份盗窃、孩童身份盗窃等五大种类。

综上，按对象层次分类是国外网络安全知识体系中较为常见的分类方法，是一种从用户使用角度接受信息较为方便的分类方法，但依然存在不足，那就是分类范围过大、分类重叠两个主要问题。以“安全在线”网站为例，在知识体系的划分中，个人网络安全意识的知识体系框架就非常大，而且在细化知识的划分上就会出现了重叠和混乱。而“确保IT安全”网站就是典型的分类不全面，政府用户需要关注的安全意识明显与其他分类用户重点不同。

4.2按照岗位层次分类

按照岗位层次分类是安全意识知识体系分类中相对较为少见的一种分类方法，但是在大型企业和公司的安全教育体系中较为常见。不同的岗位对网络安全意识知识的要求也不同，同时，行业区别也决定着安全意识知识体系标准的差异。按照岗位层次分类示例如图4所示，本文仅给出普通企业的一般分类标准，不同的公司对安全意识的标准会存在程度不同的差别。

图4 岗位层次一般分类示例（岗位需求金字塔）

国内外此类的标准尚无法统一，一般也不作为面向公众的网络安全意识教育，往往由企业内部自行构建网络安全意识知识体系标准，按照管理岗位需求对本单位的职工进行相应的培训教育，或者由网络安全服务公司对企业进行系统的安全意识教育培训。通常情况下安全知识体系自下而上逐渐专精，例如普通员工仅需打好网络安全意识基础，了解并掌握一般性网络安全防范知识即可，而企业高管则在掌握一般性网络安全知识的基础上，只需要强化本层次的知识，不需要掌握项目开发人员需要掌握的开发安全知识。此类标准对企业内部职工的针对性更强，效果更好，但以目前的国际网络空间安全意识教育来看，其成本相对较高。

4.3按照场景应用分类

按照场景应用分类也是国内外网络安全知识体系中较为主流的一种分类方法，但往往存在于细化知识体系的层次中。以“在线安全”网站（www.getsafeonline.org）的知识体系为例，依据场景使用角度分为了七大类，包含家庭场景、工作场景、网络购物、银行支付、青少年上网、社交网络和企业商业活动，具体如图5所示。

此种标准分类效果较优于其他标准，该知识体系规模庞大，涵盖了大部分知识点，比较全面。但由于层次级数低，使得知识点多次交叉而降低了获取知识点的效率。对于浏览网站的用户来讲，杂乱知识点的堆砌阻碍了意识的培养，需要对该标准重新规划并将类别下的知识点进一步划分。

4.4按照威胁等级分类

按照威胁等级分类是目前国外网络安全知识体系较为时尚的一种分类标准，使用者较少。以“智慧在线”网站（www.staysmartonline.gov.au）为例，采用威胁等级高、中、低尺度标准按程度线性划分，每一类又根据时间和技术层次分为具体的网络安全意识知识点。威胁等级信息将会依照级别显示具体的内容，实时性强，能及时的通报给用户，以便更好的维护自身网络安全。该体系目前标准不明确，划分较为简单，具体分类标准如图6所示。

图5 场景应用分类示例

以威胁等级为分类标准，无疑是很好的抓住了网络安全的重点。解决好威胁级别高的安全问题就会减少相应的风险，从而维护网络安全。但是，分类的弊端也同样突出，以威胁等级的角度来看，随着漏洞的发现或某些安全技术的发展，威胁的级别会进行波动性变化，而且这些威胁往往跨越了多个技术层级，对于继续划分的标准提出了很高的要求，“智慧在线”网站就是在威胁层级的继续划分上出现了明显缺陷。

5 结束语

加强网络安全意识教育是保护网络空间免受损失的最有效办法，预防并及时解除威胁远远好于安全事件的善后工作，而网络安全教育便是通过科学的手段与方法，将网络安全知识融入到人的意识当中。网络安全知识就好比是血液，而分类标准就像是血管，没有血管的传导血液就无法精准传递到全身每一个角落，但错综的血管当然也不可能将所需要的血液传递到指定位置。为了能够支撑起网络安全意识教育系统，就必须要梳理好网络安全知识体系，将庞杂的知识点准确无误地搭建成一架稳固合格的桥。

中国相对于欧美国家来说，网络安全意识教育拖延了不少时间，直到2014年11月，中央网信办才会同政府机构部门举办了中国首届网络安全宣传周。虽然国家高度重视，全社会共同参与，但同欧美国家网络安全意识教育仍存在着差距。为了尽快缩短差距，提高我国全民的网络安全意识，就要站在前人的肩膀上，汲取经验教训，综合国内外知识体系的优势与不足，急需提出一种甚至几种相对更加科学、更加合理、涵盖范围更好、准确性更高的分类标准，构建相对健全的网络安全意识教育知识体系，以便在未来的网络空间竞争中取得更大的优势。

[1]张慧敏.青少年网络安全意识教育纳入多国国家战略[EB/OL].中共中央网络安全和信息化领导小组办公室， 2015.

[2]APWG Phishing Attack Trends Reports[EB/OL]. APWG，2017.

[3]习近平在网络安全和信息化工作座谈会上的讲话[EB/OL].人民日报， 2016.

[4]张慧敏.国外全民网络安全意识教育综述[J].信息系统工程，2012.