网站原创摘 要:信息安全已成为信息时代国家总体安全的基石,是当下中国必须认真严肃面对的一个重大问题.要想实现“以人为本”的信息安全管理,第一步就要重视国民信息安全素养.文章对信息安全和信息安全素养的内涵进行剖析,对国内外信息安全素养研究和推广项目进行回顾,指出信息安全素养应该包括信息安全意识、信息安全知识、信息安全能力、信息道德等内容,信息安全素养应在信息素养的概念体系中占据重要位置.最后根据信息安全素养内涵,运用过程—目标结构法构建了国民信息安全素养评价指标体系.
关 键 词:信息安全,信息安全素养,信息安全保障,评价指标体系
中图分类号:C32文献标志码:A文章编号:10085831(2012)03008106
一、引言
目前,随着中国社会信息化程度的全面提升,网络与信息系统已经成为国家的关键基础设施,其基础性、全局性作用进一步增强,信息资源在国民经济发展中的作用与日俱增,谁能够及时掌握丰富的信息资源,谁就能在政治、经济、军事和文化等方面占据优势地位.但与此同时,信息安全问题日益多样化、复杂化.针对网络和信息系统的攻击活动以及网络与信息系统自身的安全问题,严重影响着金融、电力、交通等关键基础设施的正常运转,病毒传播、网络攻击、网络泄密等案件逐年上升.信息安全问题已经不仅仅是一个技术问题,也不仅仅是一个社会问题,而是涉及到政治、经济、社会、文化、军事等方方面面,进而上升成为国家全局性战略问题.十六届四中全会已将信息安全列入国家安全的四大重要组成部分之一,另外三大部分为政治安全、经济安全和文化安全.据北京谷安天下科技有限公司发布的《2010企业员工信息安全意识调查报告》显示,428%的受访者认为安全意识不足是最大的信息安全隐患,然后依次是缺少安全制度或现有制度未落实、投入或人员不足或缺乏信息安全培训、安全产品功能不足和其他.而对于目前有效保护信息安全面临的最大障碍是普遍缺乏信息安全意识,其他依次是管理水平落后、技术不过关、法律不健全、信息安全人才不够和其他障碍.报告进一步显示,中国企业员工普遍缺乏信息安全意识[1].另外在RSA2011信息安全大会上,不少信息安全专家不约而同地提出了一个引人关注的问题,即众多缺乏安全意识的员工,正在成为突破企业安全防护时,最大也最难修补的漏洞[2].2012年初CSDN和天涯等众多网站用户数据大规模泄露事件的主要原因是用户习惯使用一号多用的账户和,当个别网站个人露后,直接导致了多个网站的账户同时被[3].因此,加强对国民信息安全素养进行评价,让广大国民认识到自身信息安全素养的现状,并有效提升其信息安全素养是亟待解决的重要问题.
| 有关论文范文主题研究: | 信息安全类论文范文 | 大学生适用: | 研究生论文、学士学位论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 57 | 写作解决问题: | 本科论文怎么写 |
| 毕业论文开题报告: | 论文任务书、论文总结 | 职称论文适用: | 期刊目录、职称评初级 |
| 所属大学生专业类别: | 本科论文怎么写 | 论文题目推荐度: | 经典题目 |
二、信息安全与国民信息安全素养的内涵
信息安全是一个既古老又年轻的话题,包含的范围很大,大到国家政治军事科技等机密安全,小到防范企业商业机密被窃取、泄露等.信息时代的到来更加凸显了信息安全的重要性和紧迫性.目前一般从狭义和广义两个方面理解信息安全.狭义的信息安全是指信息本身的安全问题,基本包括信息的保密性、完整性、可用性、可控性及可靠性五个方面.保密性是指确保信息仅为那些被授权者获取使用;完整性是指保护信息不被删除、修改、伪造、乱序等以确保其完整准确;可用性是指保证被授权者可以按需获取使用信息;可控性是指信息和信息系统处于安全监控管理状态;可靠性是指信息系统在规定条件下完成特定功能的概率.广义的信息安全是指社会信息化状态和信息技术体系不受外来威胁和侵害,以此维持国家政治、军事、经济、科技、文化、社会生活等系统正常运行的状态.广义的信息安全包括政治信息安全、经济信息安全、科技信息安全、军事信息安全、文化信息安全、生态信息安全、公共信息安全等内容[4].
国民信息安全素养是指在信息化、网络化环境下,国民对信息安全的认识,以及对信息安全所表现出的各种综合能力,包括信息安全意识、信息安全知识、信息道德和信息安全能力等具体内容[5].它是信息社会中信息素养的重要组成部分,已成为信息社会人类生存立足的重要条件.信息安全意识是指人们能够认识到信息安全在工作、学习和生活中的重要性,对信息安全有一定的敏感性和洞察力,熟悉常见安全威胁的识别方法以及有效的安全保护措施.信息安全知识是指人们熟悉信息安全的基本概念和基本理论框架,了解计算机安全和网络安全的最新技术.信息道德是指人们在获取、利用、加工和传播信息的过程中必须遵守一定的网络信息道德规范,自觉抵制网络盗版、计算机病毒、电脑等行为.笔者所讨论的信息安全素养的内涵比信息安全意识更加丰富,不仅包含关心和维护信息安全的意识取向,更包含后续各种防护能力、信息安全道德等内容.信息安全素养与计算机素养有所不同,后者主要指个人使用计算机所需要的各种基础知识.另外信息安全素养的养成是长期“修习”的结果,并非天生就有,也不能一朝一夕就形成.信息安全素养的形成有一个程度变化的过程,即从低到高逐步发展的过程.
三、国内外信息安全素养研究与推广进展分析
国内外文献调研表明,欧美等西方国家在信息安全素养研究与培养方面走在了前面.NIST(NationalInstituteofStandardandTechnology,美国国家标准技术学会)推出的SpecialPublication(SP)800-50[6]标准提到,信息安全的关键因素是人而并非科技.信息安全素养课程体系采用信息安全基础(ABC’sofInformationTechnologySecurity)中的相关知识,具体并详细说明信息安全的基本概念,提供给人们学习并能遵守的信息安全的一般性主题和概念,分别是法律和规范、组织与信息技术安全、系统互联和信息共享、敏感性、风险管理、管理控制、获取/开发/安装/执行控制、运行控制和技术控制等九大类.在SP500-172中提出,各组织机构应对所有管理、使用计算机系统的作业人员,实施强制且定期的计算机安全认知的训练[7].WhitmanandMattord指出,员工位列公司信息资产安全的首要威胁因素,信息安全意识教育和培训是公司安全教育的环节之一.Czernowalow认为,员工的安全培训成本远小于潜在损失.信息安全控制只有在员工意识到安全的重要性时才能发挥作用.Drevin、Kruger和Steyn根据信息安全的定义认为信息安全意识评价指标体系应该包含六个方面,这应作为制定信息安全意识培训项目计划的依据,并最终影响组织建立信息安全文化[8].AggelikiTsohou、MariaKaryda等人针对目前信息安全意识培训与信息安全管理相脱节的情况,认为这两个过程应该放在一起讨论,信息安全意识培训在信息安全管理中要占据重要位置[9].截止2011年12月,笔者对中国知网、万方数据库和百度等搜索引擎检索“信息安全素养”的论文,发现题名包含“信息安全素养”的只有三篇.而检索“信息安全意识”的结果稍多,但理论研究成果更少.刘枫认为,信息安全素养是在信息化条件下,人们对信息安全的认识,以及对信息安全所表现出的各种综合能力.吴倩萍对政府机关各层级人员的信息安全意识和其行为的关系进行了研究[10].虽然其他“信息安全”研究的有关成果中有涉及如何改善信息安全意识问题,但研究大多以定性描述为主,研究深度亟待拓展,所提出的对策操作性有待强化.