国民信息安全素养评价指标体系构建探究.doc

国民信息安全素养评价指标体系构建探究摘要：信息安全已成为信息时代国家总体安全的基石，是当下中国必须认真严肃面对的一个重大问题。要想实现“以人为本”的信息安全管理，第一步就要重视国民信息安全素养。文章对信息安全和信息安全素养的内涵进行剖析，对国内外信息安全素养研究和推广项目进行回顾，指出信息安全素养应该包括信息安全意识、信息安全知识、信息安全能力、信息伦理道德等内容，信息安全素养应在信息素养的概念体系中占据重要位置。最后根据信息安全素养内涵，运用过程—目标结构法构建了国民信息安全素养评价指标体系。 关键词：信息安全;信息安全素养;信息安全保障;评价指标体系 中图分类号：C32 文献标志码：A 文章编号：10085831(2012)03008106 一、引言 目前，随着中国社会信息化程度的全面提升，网络与信息系统已经成为国家的关键基础设施，其基础性、全局性作用进一步增强，信息资源在国民经济发展中的作用与日俱增，谁能够及时掌握丰富的信息资源，谁就能在政治、经济、军事和文化等方面占据优势地位。但与此同时，信息安全问题日益多样化、复杂化。针对网络和信息系统的攻击活动以及网络与信息系统自身的安全问题，严重影响着金融、电力、交通等关键基础设施的正常运转，病毒传播、网络攻击、网络泄密等案件逐年上升。信息安全问题已经不仅仅是一个技术问题，也不仅仅是一个社会问题，而是涉及到政治、经济、社会、文化、军事等方方面面，进而上升成为国家全局性战略问题。中共十六届四中全会已将信息安全列入国家安全的四大重要组成部分之一，另外三大部分为政治安全、经济安全和文化安全。据北京谷安天下科技有限公司发布的《2010企业员工信息安全意识调查报告》显示，428%的受访者认为个人信息安全意识不足是最大的信息安全隐患，然后依次是缺少安全制度或现有制度未落实、投入或人员不足或缺乏信息安全培训、安全产品功能不足和其他。而对于目前有效保护信息安全面临的最大障碍是普遍缺乏信息安全意识，其他依次是管理水平落后、技术不过关、法律不健全、信息安全人才不够和其他障碍。报告进一步显示，中国企业员工普遍缺乏信息安全意识［1］。另外在RSA2011信息安全大会上，不少信息安全专家不约而同地提出了一个引人关注的问题，即众多缺乏安全意识的员工，正在成为黑客突破企业安全防护时，最大也最难修补的漏洞［2］。2012年初CSDN和天涯等众多网站用户数据大规模泄露事件的主要原因是用户习惯使用一号多用的账户和密码，当个别网站个人资料泄露后，直接导致了多个网站的账户同时被曝光［3］。因此，加强对国民信息安全素养进行评价，让广大国民认识到自身信息安全素养的现状，并有效提升其信息安全素养是亟待解决的重要问题。 二、信息安全与国民信息安全素养的内涵 信息安全是一个既古老又年轻的话题，包含的范围很大，大到国家政治军事科技等机密安全，小到防范企业商业机密被窃取、个人信息泄露等。信息时代的到来更加凸显了信息安全的重要性和紧迫性。目前一般从狭义和广义两个方面理解信息安全。狭义的信息安全是指信息本身的安全问题，基本包括信息的保密性、完整性、可用性、可控性及可靠性五个方面。保密性是指确保信息仅为那些被授权者获取使用；完整性是指保护信息不被删除、修改、伪造、乱序等以确保其完整准确；可用性是指保证被授权者可以按需获取使用信息；可控性是指信息和信息系统处于安全监控管理状态；可靠性是指信息系统在规定条件下完成特定功能的概率。广义的信息安全是指社会信息化状态和信息技术体系不受外来威胁和侵害，以此维持国家政治、军事、经济、科技、文化、社会生活等系统正常运行的状态。广义的信息安全包括政治信息安全、经济信息安全、科技信息安全、军事信息安全、文化信息安全、生态信息安全、公共信息安全等内容［4］。 国民信息安全素养是指在信息化、网络化环境下，国民对信息安全的认识，以及对信息安全所表现出的各种综合能力，包括信息安全意识、信息安全知识、信息伦理道德和信息安全能力等具体内容［5］。它是信息社会中信息素养的重要组成部分，已成为信息社会人类生存立足的重要条件。信息安全意识是指人们能够认识到信息安全在工作、学习和生活中的重要性，对信息安全有一定的敏感性和洞察力，熟悉常见安全威胁的识别方法以及有效的安全保护措施。信息安全知识是指人们熟悉信息安全的基本概念和基本理论框架，了解计算机安全和网络安全的最新技术。信息伦理道德是指人们在获取、利用、加工和传播信息的过程中必须遵守一定的网络信息伦理道德规范，自觉抵制网络盗版、计算机病毒、电脑黑客等行为。笔者所讨论的信息安全素养的内涵比信息安全意识更加丰富，不仅包含关心和维护信息安全的意识取向，更包含后续各种防护能力、信息安全伦理道德等内容。信息安全素养与计算机素养有所不同，后者主要指个人使用