胡松 邓刚 马丽 赵平

摘 要：信息安全意识是指人们能够认识到可能存在信息安全风险的敏感程度，执行信息安全行为规范的符合程度，以及响应信息安全事件的灵敏程度。本文提出信息安全意识模型和信息安全意识测评体系。信息安全意识模型是人们对信息安全意识和如何提升信息安全意识的理解。依托中国信息安全认证中心，在四川和重庆地区电子政务和金融领域进行安全意识提升测评与验证，证明了该模型和测评体系的正确性。

关键词：信息安全意识；测评体系；中国信息安全认证中心；安全风险

中图分类号：TP319 文献标识码：A 文章编号：1671-2064（2018）05-0017-05

《国家安全法》第二十五条规定：“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。政务、国防、金融、通信、医疗、能源、交通、物流等重要行业、重点领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标[1]。

统计结果显示：在所有信息安全事件中，只有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄密造成的，人的因素比信息安全技术和产品的因素更重要。在保障信息安全的这场“持久战”中，“人”的因素是永远第一位的[2]。

2012年1月，公安机关查处了某研究所泄密案件，该研究所是国家一类科研事业单位，担负着国家密码体制算法和保密通信的重要任务。在涉案期间，由于内部人员安全意识淡薄，被外部人员利用并勾结外国情报组织，导致大量涉密文件被泄露，使国家遭受巨大损失。

2013年6月，前美中情局（CIA）职员爱德华斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》，标志着“棱镜门”事件的爆发，至今其影响还在持续发酵。该事件暴露出美国全球监听丑闻，引发全球信息安全热潮，为世界各国敲响了警钟。除此之外，美国国家安全局同时还在进行“巧言”计划，收集各类国外设备元数据，为美国情报机构对外情报战提供数据基础，利用从各类元数据中测绘出的信息疆域，可以快速锁定被攻击目标，筛选攻击方式和程序，精确打击目标。由此可见，信息安全形势极其严峻[3]。

2013年下半年，于乌克兰发生的自动取款机（ATM）无故吐钱事件。当时，乌首都基辅的一处ATM机在没有插入银行卡或触碰按钮的情况下，时不时自动吐出现金。监控录像显示，ATM机吐钱时，总有人“准时”待在机器前，取走现金。经过调查发现，是黑客向银行系统员工发送看上去来自于可信赖渠道的病毒邮件，当后者点击打开后，“Carbanak”病毒软件病毒开始入侵内部系统，让黑客得以进入整个银行网络。在获取资金相关的账号信息同时，病毒能入侵银行系统管理员账号，让犯罪分子获得权限，通过内部视频监控镜头观察员工的一举一动。犯罪分子逐渐熟悉银行业务操作，模仿银行员工的业务手法将资金转移到一些虚假账户，或者通过程序操控指定ATM在指定时间吐钱[4]。

2014年12月19日，一则“130万考研用户信息网上叫卖”的消息引发社会广泛关注。据报道，上百万考生的报名信息被人以1.5万元的价格出售，一些考生因此遭遇各种电话和短信的“精准营销”。围绕个人信息的采集、加工、开发和销售正悄然变为一条黑色“数据产业链”。由于信息泄露造成的“精准营销”和金融诈骗活动，给人们的隐私和财产造成了难以估量的损失[5]。

《我国公众网络安全意识调查报告（2015）》显示：我国民众定期更换密码的仅占总体的18.36%，而遇到问题才更换密码的被调查者有64.59%，有17.05%的被调查者从来不更换密码；同时，我国多账户使用同一密码的问题也非常突出，有44.42%的被调查者使用生日、电话号码或姓名全拼设置密码；将近10.88%的被调查者使用“AAAAAA”、“123456”等简单字母或数字作为密码[6]。

《中国网民权益保护调查报告（2015）》显示：去年遇到过网络诈骗的被调查者高达55.18%，熟悉我国网络安全法律法规的被调查者仅为9.05%；因个人信息泄露等原因，遭受經济损失1000元以上的，就有大约4500万网民；中国网民身份信息泄露率达78.2%，网上活动信息泄露率为63.4%，感受到泄露影响的占82.3%，2015年全国网民因为信息泄露总损失高达805亿元，人均124元[7]。

以上仅仅是个案，但可以深刻的体会到：人员信息安全意识不足是导致信息安全问题频繁发生的根本之源，只有提升人员的信息安全意识才能真正提高信息安全保障水平。正如世界头号黑客凯文·米特尼克（Kevin Mitnick）所说：“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话”[8]。

2016年4月19日，习近平在主持召开网络安全和信息化工作座谈会时指出：“没有意识到风险是最大的风险”。信息安全意识不足的表现包括：不清楚风险在哪里、不了解基本的安全常识、不知道如何应对常见风险；其结果是：“一念之差就把敌人引进了家门”、“一项误操作就进入了别人设下的圈套”、“出了大事还在火上浇油”。提升从业人员信息安全意识已经迫在眉睫[9]。

1 信息安全意识模型

模型是人们认识和描述客观世界的一种方法。信息安全意识模型是人们对信息安全意识和如何提升信息安全意识的理解。

信息安全意识主要包括风险意识、合规意识、响应意识三个方面。图1给出了一个信息安全意识模型（见下页图1）。

知识主要包括数据、载体、边界、环境方面的常识，例如验证码一般不会上行传输、U盘拷贝容易遭受“摆渡”攻击、内网电脑不能给智能手机充电、外部人员不能随便进入单位机房等。具备一定的常识是信息安全意识提升的基础。

技能主要包括风险评估、技术保障、管理保障、资源保障四个方面。能够对所使用的信息资产进行风险评估，知道可能存在的典型风险；能够从技术、管理、资源三个方面对可能存在的风险进行预防和处置。具备一定的技能是信息安全意识提升的关键。

经验主要包括相关人员进行信息安全风险评估、处置信息安全事件、开展信息安全演练的经验。“吃一堑长一智”、“百闻不如一见”，具备一定的经验是信息安全意识提升的重点。

2 信息安全意识评测体系研究

2.1 评测目标

信息安全意识测评一方面，让每一个从业人员了解自己的信息安全意识状况，弄清自身需要进一步学习和提高的领域；另一方面，根据全员信息安全意识测评结果，分类、分级统计分析相关岗位人员的信息安全意识状况，形成针对性的信息安全意识测评报告，为系统化实施信息安全保障人员建设提供建议方案。

2.2 评测指标

根据信息安全意识模型，设计相应的测评指标体系，每个指标的权重见表1。针对每个测评指标，将基于信息安全意识模型的信息安全试题库选择相应的题目。每一份测评问卷含有40道测试题目，题目数量的分布依据相应测评指标的权重。例如，“意识”指标的权重为30%，即包括12道题目；“风险意识”占一级指标的“意识”的40%，即包括5道题目。

2.3 评测方法

2.3.1 数据呈现方法

采用高、中、低三个档次呈现数据。其中，得分在80分以上的设置为“高”，用绿色表示，即指示为绿灯；得分在60至79分的设置为“中”，用黄色表示，即指示为黄灯；得分在60分以下的设置为“低”，用红色表示，即指示为红灯。

在每个维度，根据绿、黄、红的比例，即得分为高、中、低的比例，采用“饼图”的方式呈现结果，用以表示参训人员在相关维度上的得分状况。例如，图2中，在相应维度，只有9%的人员得分为高（绿色）、43%的人员得分为中（黄色）、48%的人员得分为低（红色）。

2.3.2 数据分析流程

如图3为数据分析流程。

首先，针对回收得到的调查问卷，结合参考答案进行评阅，给出得分状况。

其次，将结果在4个维度进行统计分析，分别给出全部员工的得分状况，并且给出相应的平均分，给出信息安全意识的全员现状。

再次，针对不同岗位工作人员的得分状况，指出相关岗位的人员信息安全意识现状，为后续体系建设提供数据支撑。

最后，结合总体情况、不同岗位人员的信息安全意识状况，提出实施信息安全保障人员体系建设的建议。

另外，每个参加培训的人员可以根据自己的答题状况，了解自己在信息安全意识方面的基本状况。

2.4 测评结果现状分析

意识测评报告，对企业的现状会做出分析，分析内容涵盖5个方向，下面以某家企业的现状分析为例：

2.4.1 现状总体分析

全部参加培训人员的得分分布状况如图4所示。总体上看，仅有10%的参训人员得分为高，47%的参训人员得分为中，高达43%的参训人员得分为低。

由图4可知，本次参加培训人员的信息安全意识现状不容乐观，包括信息安全知识掌握不准、技能掌握不牢、经验不是很多。相关人员需要进一步加强信息安全意识，接受信息安全意识培训，学习最新的信息安全知识、掌握最新的信息安全技能、增加更多的信息安全经验，包括信息安全演練。

2.4.2 意识现状分析

意识维度的得分分布状况如图5所示，仅有6%的参训人员得分为高、高达49%的得分为低。

全部参加培训人员在风险意识、合规意识、响应意识三个子维度的平均分依次为30、48、56，如图6所示。

由图6可知，本次参训人员在“风险意识”、“合规意识”、“响应意识”三个子维度上的得分依次增加，这表明相关人员目前对信息安全的认识还主要关注事后，而对事前关注较少。然而，对于信息安全保障而言，其重心应是以事前“风险”为中心，而不是以“事件”为中心。

2.4.3 知识现状分析

知识维度的得分分布状况如图7所示，仅有11%的参训人员得分为高、高达42%的得分为低。

全部参加培训人员在数据安、载体安全、边界安全、环境安全四个子维度的平均分依次为72、68、46、58，如图8所示。

由图8可知，参训人员在“数据安全”、“载体安全”两个子维度得分超过及格线，表明相关人员对数据安全、载体安全方面的知识有一定了解；但是，在“边界安全”、“环境安全”两个子维度的得分没有达到及格线，分别为46分和58分，表明相关人员对边界安全、环境安全方面的知识了解还比较薄弱。需要指出的是，边界安全、环境安全两个方面的信息安全事件在不断增加，也是需要着力解决的问题，在培训过程中应多侧重这两个方面的知识和案例。

2.4.4 技能现状分析

技能维度的得分分布状况如图9所示，仅有9%的参训人员得分为高、高达44%的得分为低。

全部参加培训人员在风险评估、技术保障、管理保障、资源保障四个子维度的平均分依次为45、68、56、36，如图10所示。

由图10可知，在“风险评估”、“技术保障”、“管理保障”、“资源保障”维度四个子维度上，参训人员只有在“技术保障”上的得分超过及格线。“三方技术、七分管理”，对相应的信息安全管理技能还需要进一步了解。同时，还需要特别注意的是，风险评估是信息安全保障的“第一道防线”，但是相关人员的风险评估技能还很不理想。另外，对于信息安全保障的资源保障技能更为糟糕，尤其是对“第一资源”——人员的重要性认识还需大幅度提升。

2.4.5 经验现状分析

技能维度的得分分布状况如图11所示，有12%的参训人员得分为高、高达39%的得分为低。

全部参加培训人员在风险识别、事件处置、安全演练三个子维度的平均分依次为40、75、54，如下页图12所示。

由图12可知，参训人员在“事件处置”子维度上的得分为75分，表明相关人员大多具有处置信息安全事件的经验。同时，由于单位对信息安全工作的重视，组织了一定数量的安全演练，让工作人员熟悉信息安全情景和处置流程。但是，对风险识别的经验比较欠缺。正如前面分析得到，由于风险评估技能的薄弱使得相关人员缺少风险识别的经验；另一方面，风险识别又是信息安全保障的“第一道防线”，如果能够让风险不成为事件，就能大大提升信息安全保障效果。

2.5 测评结果短板分析

意识测评报告，对企业的短板会做出分析，分析内容同样涵盖5个方向，下面以某家企业的现状分析为例：

2.5.1 总体短板分析

目前参训人员得分为高、中、低的比例分别为10%、47%、43%，得分为低的人员比例太大，差不多到了一半，而得分为高的仅有10%。理想状况下，得分为高的人员比例应高于30%，得分为低的应低于10%，这样才能够真正建立有效的信息安全保障人员体系如图13所示。

因此，参训人员的信息安全意识还很不理想，提升信息安全意识刻不容缓，这也是本次培训的意义所在。在培训过程当中，应充分运用案例、演示等手段，对参训人员形成冲击，让他们对信息安全意识的重要性有深刻认识。同时，还需要结合具体案例、小技巧、实际操作进一步提升参训人的信息安全技能。

2.5.2 意识短板分析

由图14可知，参加培训人员在风险意识、合规意识、响应意识三个子维度均存在短板；其中风险意识的短板最大，理想值为95，当前值仅为30。

由图14可知，参训人员的风险意识、合规意识、响应意识还需要进一步加强。在培训过程中，应特别重视风险意识的加强。结合生活、工作常见的情景和案例，介绍可能存在的风险，并且给出一定的规律让参训人员自己掌握，能够有意识地在未来工作对新的系统和情景有更深的风险意识。

2.5.3 知识短板分析

由图15可知，参加培训人员在数据安全、载体安全、边界安全、环境安全四个子维度均存在短板；其中边界安全的短板最大，理想值为85，当前值仅46。

由图15可知，增加参训人员的边界安全知识、环境安全知识非常关键。例如，关于内网、外网、互联网应用中应该注意哪些问题，如何避免发生相应的信息安全事件，应给予充分重视。对于环境安全知识也需要结合新版本的操作系统、新上线的应用系统介绍相应的安全隐患和防护知识。

2.5.4 技能短板分析

由图16可知，参加培训人员在风险评估、技术保障、管理保障、资源保障四个子维度均存在短板；其中资源保障的短板最大，理想值为90分，当前值仅为36分。

由图16可知，提升参训人员的风险评估技能和资源保障技能非常必要。在风险评估方面，应结合具体的场景，让参训人员了解风险评估的方法和流程，对风险评估技能的掌握有进一步的提升；在资源保障方面，应让参训人员意识到信息安全保障工作是与每个人息息相关的，只有全部人员参与到信息安全保障工作中，信息安全保障这场“战争”才能取得胜利。

2.5.5 经验短板分析

由图17可知，参加培训人员在风险识别、事件处置、安全演练三个子维度均存在短板；其中风险识别的短板最大，理想值为85分，当前值仅为40分。

由图17可知，在培训过程中，应在讲授信息安全知识以及风险评估方法的基础上，让参训人员具备风险识别的知识和技能储备，在未来工作中能够增加风险识别的经验，能够主动去发现风险，而不是“坐等”风险演变成事件，更不是让“小风险”酝酿成“大风险”、“小事件”演变成“大事件”。

2.6 评测结果对单位的意义

2.6.1 了解全员信息安全意识的总体状况

通过对全员的信息安全意识测评，统计分析单位的全员信息安全意识状态，从整体上描述单位人员的信息安全意识状况。

2.6.2 掌握不同岗位人员的信息安全意识状况分析

根据不同的岗位，将相关人员的测评结果进行分类统计分析，分类别描述单位人员的信息安全意识状况。图18给出了一个单位测评结果示例。

2.6.3 了解人员信息安全意识存在的不足及原因分析

综合分析全员信息安全意识的总体状况、不同岗位人员的信息安全意识状况，找出单位人员信息安全意识存在的不足，并对形成的原因进行分析。

2.6.4 取得信息安全保障人员建设的建议方案

针对人员信息安全意识现状，结合中国信息安全认证中心推出的信息安全保障人员认证体系（CISAW），提出信息安全保障人员建设的建议方案。

2.7 评测结果对个人的意义

个人测评结果首先会给出总体测评结果，采用雷达图的方式展示，如图19所示。测评结果给出相应人员在意识、知识、技能、经验四个维度的理想值和当前值。

同时，将为个人提供分项测评结果，如图20所示。分别为意识、知识、技能、经验四个分项的测评结果。

个人可以针对测评结果，对比理想值，找到自己目前存在的短板。

3 安全意识模型和测评体系验证

依托中国信息安全认证中心对信息安全意识模型和测评提醒进行了验证。中国信息安全认证中心是中共中央网络安全和信息化领导小组办公室（中央网信办）指定的办事机构。在四川和重庆地区电子政务和金融领域30多家单位，2000多名人员组织信息安全意识问卷调查，形成学员信息安全意識现状分析报告；组织信息安全意识考评测试，形成学员信息安全意识结果报告。通过讲授信息安全基本概念、法律合规，传播正确的信息技术设备使用习惯，分析国内外最新的信息安全事件，探讨潜在的安全威胁及风险，全面提升相关人员的信息安全意识，确保重要行业、重点领域从业人员的信息安全意识整体处于较高水平，为信息安全保障人才队伍建设提供基本保障。

我们对学员进行了测评，发放了“网络安全意识测评试卷”（含A、C、B卷），收回答卷全部有效。测评结果显示，全部学员通过考核（60分通过），全部学员平均成绩77.7分。对比培训前的问卷调查情况，得分为优、良的人员比例提升了19%，得分为中、差的人员比例下降了65%，学员网络安全知识和技能有了明显提高，网络安全经验也有了一定积累，培训达到了预期目的。但是对比理想参考模型，当前学员网络安全意识及各个维度的水平还有较大的提升空间，特别是网络安全相关的知识、技能、和经验显得比较欠缺，当然客观来讲，这与培训对象工作岗位偏重管理不无关系。最终结果有效验证了该模型和测评体系的正确性高达99.5%。

根据网络安全意识模型，网络安全意识的提升须要从知识、技能、经验三个维度提升着手，即通过增加安全知识、提高安全技能、积累安全经验，进而提升安全意识，所以各个维度看似独立，却又相互关联。通过本次测评，我们在了解现状的同时，也找出了短板，为今后有针对性的进行提高提供了宝贵的数据基础。结合本次测评结果以及当前的网络安全形势和国家战略，提出如下建议：一是全面推广网络安全意识提升培训；二是重要岗位推行电子政务安全认证；三是定期开展人员网络安全技能考评；四是持续加强完善网络安全保障措施。

4 结语

面对如此严峻的信息安全形势，由于年龄、学历、经历等原因，我国重点行业、重要领域的信息安全意识不容乐观，相关的信息安全事件频频出现，全面提升相关人员的信息安全意识已经迫在眉睫。本文提出了信息安全意识模型和测评体系，依托中国信息安全认证中心，进行安全意识提升测评与验证，证明了该模型和测评体系的正确性，为组织系统化实施信息安全保障人员建设奠定基础。