摘要:
如今的網絡環境中,網絡安全威脅日益嚴峻,面對此類問題,除了提升相關硬件的安全性、樹立法律法規及行業準則,增強網民的網絡安全意識的重要性也逐漸凸顯。本文梳理了2000年以來有關網絡安全意識的研究,綜述范圍為中國知網中篇名為“網絡安全意識”的期刊、碩博論文、會議論文、報紙。網絡安全意識的內涵是在“網絡安全”“網絡安全風險”等相關概念的發展中逐漸明確并豐富起來的,但到目前為止并未出現清晰的概念界定。此領域內的實證研究主要針對網絡安全意識現狀與問題,其研究對象主要是青少年。網絡安全意識教育方面,很多學者總結了國外的成熟經驗,但在具體運用上仍缺乏考慮我國的實際狀況。
隨著信息化的深入發展、互聯網對社會生活的全面滲透,網絡環境日益復雜多變,信息系統的脆弱性也逐漸凸顯,而網民的網絡素養仍處于較低層次,這些因素共同決定了網絡威脅的客觀存在。技術層面講,網絡安全是一種相對的安全,并不存在一勞永逸的技術,所以增強用戶的網絡安全意識就成為了實現網絡安全的重要措施。歐洲網絡信息安全局在一份題為《提高信息安全意識》的文件中指出,大量研究表明,在所有的信息安全系統框架中,人這個要素往往是最薄弱的環節。只有革新人們陳舊的安全觀念、提高認知水平與認知能力,才能真正抵御網絡威脅。因此,如何提高網絡安全意識等問題逐漸進入了學者的視野。
圖1 網絡安全意識相關文獻分布
在中國知網數據庫中以篇名為“網絡安全意識”為檢索條件對 2000 年以來的期刊、碩博論文、會議論文、報紙進行檢索,共獲得中文文獻共有 111 篇(截至 2019 年 1 月 15 日)。從總體趨勢來看,2000—2014 年文獻數量相對較少,2015 年開始明顯增加,主題分布主要包括網絡安全、網絡安全意識、安全意識、信息安全意識等。
01
網絡安全意識的相關概念研究
盡管網絡安全意識研究的重要性已經被學界認同,也經常作為重要概念出現在研究中,但并沒有清晰、系統性的理論發展脈絡與明確的概念界定。網絡安全是網絡安全意識的目標與來源,而網絡安全風險決定了網絡安全意識的具體內涵。因此,本文總結了現有研究中關于“網絡安全”與“網絡安全風險”的相關研究,試圖厘清網絡安全意識這一概念的界限并明確其內涵。
早期的網絡安全主要指數據內容安全、信息系統安全、網絡結構安全等。在網絡作為信息工具的時代,網絡安全可以理解為傳統的信息安全,強調信息(數據)本身的安全屬性,包括信息的秘密性、完整性和可用性。2004 年,李炅等人提出,網絡安全是一個系統性的概念,不僅包括計算機上信息儲存的安全性,還要考慮信息傳輸過程的安全性,即通信安全和主機安全共同構成了網絡安全。金雷聚焦電子商務面臨的網絡安全威脅,將網絡安全目標的最小集合總結為身份真實性、信息機密性、信息完整性、服務可用性、不可否認性、系統可控性、系統易用性、可審查性。何德全提出,人是網絡發展的基本動力和信息安全的最終防線,所以網絡安全機制要面向用戶,保障用戶的網絡應用。可見,雖然這個時期也有學者意識到“人”作為主體的重要性,但沒有將“人”放在網絡安全概念的核心位置進行深入研究。如今,網絡安全的內涵正在不斷變化,從最初的硬件安全擴展到包括全球、國家、社會、個人在網絡空間中的安全狀態。安靜指出,目前,個人網絡安全的重要性明顯提升,這種個人的網絡安全可以從個人財產安全、個人人身安全、個人心理安全三個方面來認識。
時至今日,互聯網的作用早已超出了工具范疇,逐漸成為一種社會空間。隨著相關領域研究的深入,網絡安全的內涵也得到了豐富和擴展,與相關概念“信息安全”之間的關系辨析進入研究視野。張煥國認為,網絡安全應當包含設備安全、數據安全、內容安全和行為安全四個層次,提出網絡安全的基本思想是在網絡的各個層次和范圍內采取防護措施,以便能對各種網絡安全威脅進行檢測和發現,并采取相應的響應措施,確保網絡環境的信息安全。然而,目前學者對于信息安全問題的研究已經不再局限于個人隱私,也涉及商業機密和國家安全的各個方面。例如,黃奕信結合國情將信息安全定義為保證信息主體(國家、組織和私人)的信息不受到內部和外部的威脅、侵害以及誤導,確保信息的獨立性和隱私性。正是由于“信息”這一概念的擴展,所以也有學者對上述分類持不同觀點,劉仁認為網絡安全的內涵比信息安全的內涵要狹義,因為信息的概念比較寬泛、更多元化,而網絡安全是從網絡環境出發,只需要保證使用者在網絡環境中的信息得到保護,處于安全狀態即可,故更多的是設計網絡層面上的信息數據安全。可見,雖然學界對于“信息安全”與“網絡安全”的范圍存在爭議,但不可否認的是,對于傳統信息安全領域的研究奠定了如今網絡安全研究領域的發展基礎。
互聯網的基本特點是全球性的廣泛連接,這種廣泛連接使信息資源的作用得到了充分的發揮,但也不可避免地導致了眾多不安全因素的進入,這些網絡安全風險決定了網民應當具備的網絡安全意識的基本內容。因此,關于網絡安全風險的研究成果對梳理網絡安全意識的內涵具有重要意義。
在早期的研究中學者認識網絡安全風險的主要視角為信息系統和網絡本身的安全性,認為網絡安全威脅主要來源有惡意攻擊、安全缺陷、軟件漏洞、結構隱患等幾個方面,威脅產生的主要原因包括人為故意、偶然失誤、自然災害等。相應地,這一時期的研究熱點包括新型加密技術、入侵檢測 IDS、病毒識別與清除技術等,著力提升網絡信息、網絡數據安全的發展。目前,網絡環境中的不安全現象除了包括上述技術方面的客觀安全威脅,還包括主要受個人主觀因素影響的網絡詐騙、個人信息泄露、網絡暴力、網絡謠言、網絡成癮等問題。
在所有網民中,未成年人面臨的網絡安全風險又格外典型,引起了學者們的關注。對于他們而言,網絡風險不一定會造成實際的傷害,而是會提高未成年人遭遇風險的可能性。政策條款不能夠消除所有風險,其目的是管理風險,以便利用所有資源,將網絡對未成年人的危害降至最低。2012 年,英國未成年人互聯網安全理事會就倡議應該在 5 ~ 11 歲年輕人面臨的網絡風險方面加強研究,以便為學校、家長和青少年制定未來的教育策略。
圖2 DeMoor等人研究得出的未成年人使用網絡信息過程中面臨潛在危險
DeMoor 等人將未成年人互聯網利用中面臨的風險用結構圖進行表達(圖 2),包括內容風險、接觸風險和商業風險,成為多數學者接受并認可的一種模式。其中,內容風險指未成年人使用網絡信息時可能受到的網絡信息資源內容的負面影響,包括不良網絡信息資源內容和錯誤、不可信的信息。聯系風險包括在線聯系風險與離線聯系風險,如網絡欺凌、性誘惑、隱私風險等。對于未成年人來說,其網絡行為涉及到商業活動的主要包括參與電子商務或電子廣告活動,其中一個相當隱蔽的風險就是對未成年人個人數據的收集和商業開發。
綜合網絡安全與網絡安全風險的相關研究成果,網絡安全意識的概念與內涵也逐漸清晰。
早期,網絡安全意識的概念相對比較狹隘,Siponen 將網絡安全意識定義為一種教育模式,使所有網民對各種各樣的網絡威脅、計算機和數據漏洞保持敏感。Shaw 等人在研究中將網絡安全意識的內涵綜合考量為用戶理解信息安全重要性的程度、控制信息的能力、保護個人和組織信息的能力。互聯網發展初期,我國學者對網絡安全意識的最初認識體現在網絡社會責任感,即用戶作為主體對網上信息內容的發布和接受負有社會責任,要自覺抵制不良信息的傳播,要有“網絡安全人人有責”的觀念。張衛清曾在網絡文化和安全文化的基礎上提出“網絡安全文化”的概念,指人們對網絡安全的理解和態度,以及對網絡事故的評判和處理原則,是每個人對網絡安全的價值觀和行為準則的總和,包括網絡安全物質文化、網絡安全制度文化和網絡安全精神文化三個層面。
網絡安全是網絡安全意識的目標,而網絡安全風險決定了網絡安全意識的實際內容,因此,網絡安全意識的內涵隨著上述兩方面研究領域的深入逐漸得到擴展。當前的網絡安全意識指遭遇網絡不安全因素時所表現出來的判斷、分析、應對等綜合能力,體現在面對網絡安全風險時“發現問題—應對難題—化解危機”的整個過程當中。具體來講,包括對個人所處的網絡或空間有一定的認知,對網絡環境可能具備的危險性有一定認知,并且對網絡空間中的不安全因素有一定認知。按照網絡安全意識的對象劃分,現有的研究主要包括網絡設施安全意識、網絡信息安全意識、網絡運營安全意識和網絡行為安全意識。在實證研究中,魏德才在調查大學生群體網絡安全意識時選取了五項指標,包括網購時防侵權意識、網絡安全知識的獲取、注冊網絡用戶信息是否留有真實信息、對待未證實的社會敏感消息的態度、在遭受網絡侵權后的維權途徑調查;王炎龍、鄧倩通過未成年人對網絡語言的使用的角度透視了未成年人的網絡安全觀,包括網絡接觸環境和途徑、對網絡不潔字眼的態度、對網絡語言內涵的認知力、使用網絡語言的目的、網絡文明意識等。可見,在具體的實證研究中,研究者往往會根據自己的研究目的將“網絡安全意識”概念的外延拆分成不同的層面,通過不同的表現形式進行測量和評估,缺少系統性的理論框架。
02
網絡安全意識現狀與問題研究
隨著人們對于互聯網的使用頻率和嵌入程度越來越高,在享受互聯網帶來的生產、生活等方面的便利和優勢的同時,網絡安全意識也應該引起相應的重視,以免阻礙對互聯網的進一步利用乃至個人的成長與發展。學者們開始通過實證方法對部分群體網絡安全意識的現狀進行了研究。
盧偉在 2009 年,通過問卷調查的方法,收集了 475 位在校大學生的網絡安全知識掌握情況、網絡安全經歷和防范措施情況,并把網絡安全知識劃分為物理安全、網絡系統安全、信息系統安全、信息基礎設施安全和設施安全。調查結果顯示,大學生平時已習慣并喜愛利用網絡獲取信息資料、與朋友交流、放松娛樂等,但與此同時他們對網絡安全知識了解不足,并缺乏自我保護和防范意識,比如對文件加密、用戶權限限制、提高密碼設置的復雜程度等都不夠重視。
2011 年,劉新華、巢傳宣對大學生網絡安全意識和教育狀況進行調查后認為,行為是意識的外在表現,所以外在行為和內在意識之間存在較高相關性,于是依據學生的網絡危險行為,來評估學生的網絡安全意識高低。二人把網絡危險行為具體為 18 種:制造或傳播網絡病毒、在網上閱讀或制作反動宣傳資料、瀏覽“黃賭毒”站點、與別人色情聊天、上網時不利于防火墻軟件監視數據流動、不定期升級殺毒軟件、不及時修補系統漏洞、從網上下載的文件或軟件使用前不殺毒、隨意打開垃圾郵件、收到不明郵件后打開郵件中的鏈接、在公共場所上網后不及時關閉所登錄過的網站、不定期更改 QQ 密碼或電子銀行登錄口令、將自己的照片或其他真實資料發給陌生人或發布在網上、主動邀請網友見面、應邀與網友見面、收到虛假中獎信息后按要求登錄指定網站填寫信息、網上購物時不仔細核對網站地址和網絡成癮。并基于調查結果強調了網絡安全意識教育的重要性。魏德才和陳勝男于 2015 年在海南省對大學生網絡安全意識做了調查和研究,將網絡安全意識分為網購時防范意識、獲取安全知識途徑、注冊用戶留存信息真實度、信息核實判斷能力和被侵權后維權意識。問卷調查的結果表明,當代大學生在網絡空間中言行隨意,輕信虛擬世界中的言論,過度依賴虛擬世界中的交往,因此放松警惕,不注意隱私保護,并且在網購時,防范侵權意識差,高于六分之一的學生都曾在網購中被侵權。盡管如此,多數大學生依舊對于網絡安全知識主動獲取的意愿不高,能力不強,僅有 24.89% 的學生有意識地了解過網絡安全知識。
近年來,網絡安全意識的研究也開始向其他群體擴散。2017 年,劉志林對我國民眾的網絡安全意識現狀進行調查和分析,結果顯示,民眾已開始重視網絡安全,其中中老年群體的網絡安全意識相對較差。據數據顯示,18 ~ 29歲的年輕人對網絡認識和理解程度較其他年齡段更高,50 歲以上的中老年群體由于年齡、學習能力和知識水平的限制,沒有足夠的意愿或能力接觸和學習網絡安全知識,此外,思想觀念停留在被動接受而非主動防御,也是重要原因之一。因此,民眾網絡安全意識仍然需要進一步加強。
學者對網絡安全意識的劃分可歸類為信息甄別、自我防范和行為倫理規范。信息甄別一方面指在不同環境下對個人信息披露的真實程度和尺度的把控能力;另一方面是指在蕪雜泛濫的網絡信息中過濾垃圾信息、虛假信息和有害信息,篩選有價值的信息的能力。自我防范指人們在運用網絡時沒有做到科學合理,而引起如網絡攻擊、病毒感染、網絡篡改、信息泄密等網絡安全事故頻發。行為倫理規范是指人在缺乏網絡禮儀的情況下產生的行為失范而影響自身乃至社會發展。網絡的隱匿性、虛擬性使青少年容易規避現實社會的約束而成為網絡的破壞者。輕者表現為發泄不滿、肆意謾罵、散布謠言等,重者則包括參與實施網絡詐騙、傳播病毒、傳播違法信息等犯罪活動。網絡道德素養和網絡法律意識等規范意識的缺失還有可能導致青少年被不法分子利用,無意識地成為不法信息的攜帶者、傳播者和受害者,既危及自身發展,也傷害到他人和社會。值得一提的是,青少年群體是網絡“非主流”文化的主要接觸者和接受者。以圖片、文字、網站為主的“非主流”文化以其個性化的特點,對青少年的網絡安全意識產生著不可避免的消極影響。由于非主流文化具有一定的蒙蔽性,人們對非主流文化的價值標準和價值判斷存在模糊不清的問題,加上網絡安全知識缺乏,網絡安全意識不強,制約著青少年整體網絡安全水平的提升。
03
網絡安全意識的教育與培訓研究
教育是提升網絡安全意識的最佳途徑。我國近年來已愈加重視相關教育和培訓,既有可圈可點之處,也存在一些不足。
3.1 網絡安全意識教育存在的問題
網絡安全意識的提高勢在必行,凸顯了網絡安全意識教育的必要性和緊迫性。盧偉指出,我國大學生對信息安全知識掌握不到位,操作能力欠缺,但計算機應用基礎課程中相應的網絡知識不足,網絡安全專題的活動、講座很少。同年,肖紅光、譚作文和周亞卉三人對比研究了中美兩國信息安全教育的情況發現,美國在《信息系統保護國家計劃》中制定了四個信息安全教育培訓項目:聯邦計算機服務(FCS)項目、服務獎學金(SFS)項目、中小學拓廣項目和聯邦范圍內的培養項目。相比之下,我國的信息安全教育未得到足夠重視,導致有如下問題:從政府到學校再到學生信息安全意識不足;從事信息安全工作的人員較少,且大多數都是網絡管理人員通過短期自學或培訓后上崗;信息安全專業的課程設置仍然停留在技術防護層面,難以涵蓋信息安全的其他主要內容,比如有關網絡安全的多數內容基本是相近學科的翻版或外延,缺少系統觀點和方法,僅僅強調密碼學、防火墻、入侵檢測等安全理論和技術知識的教育;作為應用型教育,高質量的信息安全教材不足,大多是技術類和專業理論書籍;網絡信息安全是一門實用性較強的學科,但是目前我國多數高校尚未建立高質量信息安全仿真環境,所以實驗條件非常落后。2011 年,劉新華、巢傳宣提到了幾點我國高校網絡安全教育的不足:一是未得到高度重視;二是網絡安全教育不夠完整,沒有包含網絡法治、道德、安全防范和心理健康四部分;三是網絡安全教育沒有針對性,隨著學生的年級提升,網絡安全法制教育應該更重要,不能簡單地統一教學;四是網絡安全教育不夠深入,絕不能“頭痛醫頭腳痛醫腳”。
近年來,情況日漸改善。張俊強調,目前對于網絡安全教育的認識,主要是對其重要性和緊迫性認識不足,足夠透徹的認識才能正確指導行動,但是在某些地方政府或高校相關教育依然零散隨意,甚至邊緣化。網絡安全教育的管理機制同樣不夠健全,很多高校都成立了網絡安全教育領導小組,但分工不明、運轉不力,或僅停留在文件層面沒有實施,多數高校的方式僵化,比如開學時進行網絡安全教育或舉辦一次講座,之后分發傳單介紹殺毒軟件以及一些網絡安全知識,這些舉措顯然收效甚微。除此之外,網絡安全教育并未被真正納入教學計劃,多數課程依舊強調技術和理論,極少涉及網絡安全乃至倫理道德問題。
當下我國網絡安全教育存在的各類問題在不斷發展和進步中已得到一定解決,但依舊存在問題:像國家教育部→省市教育單位→高校黨政→二級院系→相關教學人員類似的管理負責機制未能明確建立,有關網絡安全教育到的法規體系尚不成熟——包括從國家層面的法規到教育部層面的指導性文件再到各高校或單位層面根據自身實際情況制定的管理規定;積極主動的宣傳引導不夠,不論是高校用多種形式發聲,還是社會組織以各種形式宣傳。
3.2 網絡安全教育的方式方法研究
研究顯示,我國網絡安全教育方式方法主要有:制度建設、優化管理、宣傳知識。
制度建設主要有法律,政府和高校三種層次。法律層次是與網絡安全教育和管理相關的法律法規的出臺,例如《中華人民共和國計算機信息系統安全保護條例》等;政府層次是教育部、省市教育廳(局)出臺指導性文件并進行指導督查;高校內部則是各自根據具體情況,建立多種計算機網絡管理制度、宿舍管理制度、網上巡查制度網絡言論引導制度等,規范學生的上網行為習慣,引導學生的使用網絡規范和知法懂法守法。
優化管理,指大學生網絡安全教育組織管理體系,秉承“誰主管誰負責,誰建設誰負責”的原則,建設中央到省市到高校到院系到老師的管理制度,比如高校中應當成立由校領導牽頭,黨委宣傳部、網絡管理中心、教務處、保衛處等部門負責人組成網絡安全教育領導小組,逐步落實。成立學生網絡安全委員會、校網宣聯合會等組織團體來發揮學生主觀能動性,引導學生自我管理,加強自律。
宣傳知識,分為課堂講學、知識講座和活動與宣傳。我國有關網絡安全意識教育的材料和書籍在不斷完善,課堂講學從原先不規范,過于理論化和技術化,轉向更深入、全面、具體的教學。知識講座是目前大多數高校常用的網絡安全意識教育的手段,通常在開學初期,邀請相關學者或業界專家來校為學生普及相關知識。活動與宣傳既包括最廣泛的布置櫥窗展板宣傳,也包括舉行線下的網絡安全知識競賽、組織模擬法庭等網絡安全法律的普法活動,以及部分高校建設的網絡安全意識教育網站,來為大學生提供多種獲取網絡安全知識的渠道。
3.3 國外網絡安全意識教育的經驗研究
張慧敏梳理了國外全民網絡安全意識教育的特點,歸納為以下四點:政府為主、各方合作;目標明確、保證投入;對象具體、方法多樣;主題多元、內容豐富。對于大學生群體的網絡安全意識教育,許多學者建議學校開設相關課程,或在現有課程中加入網絡安全意識、網絡道德規范、網絡法律法規等相關內容。管理方面,學校應加強對校園網絡的管理,包括 IP 地址管理、不良網站屏蔽、論壇實名制等,還要加強網絡輿情分析,形成統一協調、反應靈敏、高效暢通的網上輿情收集反映回饋機制,化解潛在的隱患。對于未成年人的網絡安全教育,王國珍梳理了新加坡中小學的網絡素養教育模式,認為其核心內容是培養孩子們的自我保護能力,應當將引導學生自尊自重使用網絡,不瀏覽有害網站、不參與非法網絡活動作為教育重點,加強對網絡潛在風險的辨識能力,學會如何保護自己。在此基礎上,加強責任感的教育,要求學生們認清自己網絡使用行為產生的后果,保護自己的同時也保護他人。
許暢和高金虎二人對美國的網絡安全意識教育進行了研究,并對我國提出了一些建議。早在 1993 年,克林頓政府頒布了《國家信息基礎設施條例》來規范信息基礎設施的各項標準。之后歷任政府不斷完善和調整,增強對網絡安全的重視。到奧巴馬執政時期,網絡安全上升到國家安全戰略核心地位。奧巴馬政府試圖建立一個全方位多層次的網絡安全環境,為達此目的,發起了多項全國性公民網絡安全常識普及和教育活動,并吸引和雇傭了大量網絡空間安全專家。2010 年,美國政府部署推行了“國家網絡安全教育計劃”,經過兩年的反復征集意見和調整修改,主要面向在校學生、一般公民和網絡空間從業人員推廣,并尊重和強調差異化,針對不同區域、不同年齡階層的公民的安全意識和技術水平做了詳盡安排。
對我國而言,可以借鑒美國對頂層設計的重視,加快推進網絡安全意識培養體系。此外應統籌社會資源,完善網絡安全管理機制,盡快建設完善以政府管理為核心,社會力量為協作主力的架構,充分調動企業、行業協會、學校、科研機構等社會資源,針對專職人員、學生、中老年人群體等使用不同策略,豐富教育方式和載體如各類專門網站、網絡信息安全大賽、課程和培訓項目,從而全面提升國民網絡安全意識。
通過以上的學習和借鑒,最終形成符合我國實際情況的全社會全方位多層次的網絡安全意識實施體系,即安全(Security)—安全信息(Information)—安全知識(Knowledge)—安全認識(Perception)—安全行為(Behaviour)。
04
總 結
綜合上述研究結果來看,目前學界對于網絡安全意識的內涵還沒有一個全面、系統的理論框架。雖然大部分學者已經認識到互聯網時代網絡安全意識的重要性,部分學者也分析了互聯網時代網絡安全意識概念范疇的發展演變,但是在實際操作化方面仍缺乏系統性方法,導致在實證研究中大部分學者都是按照各自的研究目的與研究問題將網絡安全意識進行不同層面的拆分,因此目前的研究領域略顯雜亂。
在研究對象方面,大學生群體、青少年群體成為主流研究關注的焦點,多數實證研究會選擇在大學或高中開展調查,導致此類群體的研究已經較為豐富和成熟,而針對未成年人、兒童群體的研究還相對薄弱。其中,關于青少年網絡使用特征與現狀的研究數量較多,聚焦在網絡安全意識的專門文獻較少。
本文認為,由于網絡安全意識正凸顯出日益重要的地位,學界應當加強此方面的研究,從不同維度提出完整的理論框架來評估、調查和引導青少年的網絡安全意識。在網絡安全意識教育部分,很多學者根據國外相關經驗提出了針對我國的提升策略,但結合我國自身特色方面略顯不足,也是日后研究中應當加強的部分。
