王强
我国信息安全全民教育模式探索
——以上海为例
王强
国家网络安全防线需要全民共同构筑。“网络强国”既需要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队,也依靠全民网络安全意识的提升。我国虽然是高速发展的网络大国,但广大网民信息安全素养总体还较为薄弱。2014年11月,国家首届网络安全宣传周正式启动,开启了我国网络安全全民教育的新进程。为了更好地推动我国信息安全全民意识教育总体规划,本文对上海信息安全全民意识教育模式进行介绍分析,为我国网络安全社会教育的提供了参考。
伴随移动互联网迅猛发展,“智能生活”走进千家万户,公众的工作、生活、娱乐离不开各类智能终端和泛在互联的网络。网络安全不再仅仅是网络安全专业人员的专属技能,而是每个网民都需要具备和掌握的必要素养。从这个意义上来看,面向全民的网络安全意识教育尤为关键,将使人们认识到网络安全在现实工作、学习和生活中的重要性,并对网络安全有必要的敏感性和洞察力,熟悉常见安全威胁的识别方法以及有效的安全保护措施,以及融入网络社会的手段方法和必须遵守的道德法律规范。
1.我国全民信息安全素养的总体现状
据中国互联网络信息中心发布的《2013年中国网民信息安全状况研究报告》显示,中国网民各种安全问题的整体发生率呈上升趋势。2013年半年中有74.1%的网民遇到过信息安全问题,总人数达4.38亿。更为触目惊心的是,近年来个人信息保护问题正在显示出频发,面广、危害级别高,连带风险大等新特征。如2014年3月22日,携程支付系统漏洞导致大量用户银行卡信息泄露;2013年10月,如家、汉庭等大批酒店开房记录泄露,涉及2000万条客户信息。日常生活中的个人信息被滥用更是比比皆是。这些个人信息被泄露所造成的后果正在上升和聚合成为一个挑战现实社会管理系统和诚信系统、直接影响社会和谐稳定的紧迫问题。
但发生在身边的安全事件并没有引起人们普遍和足够的重视。谷安天下发布的国内首份《中国企业员工信息安全意识调查报告(2010)》显示,58.6%的受访者半年以上更换一次密码,或者从不更换密码;仅有26.4%的人会定期给电脑做备份;当收到熟悉者发送的flash动画或邮件内部嵌入的网页时,69%的人会观看和下载动画、浏览网页或点击网页链接;面对内容吸引人的不明邮件,42.5%的受访者会看邮件内容。这一系列数据表明,与当前个人信息安全威胁事件快速上升的趋势相比,全民的网络与信息安全意识总体仍处于漠然状态,这是酝酿我国各类网络安全风险的土壤。
2.我国全民信息安全意识教育的主要问题
(1)社会重视不够,缺乏长效机制
在国家层面,随着“斯诺登事件”曝光,世界各国都对网络信息安全更加重视。中央网络安全和信息化领导小组的成立体现了中国最高层对保障网络安全、维护国家利益、推动信息化发展的决心。但是由于历史发展原因,在政府、企事业单位以及社会组织中,网络安全目前仍停留在IT部门内部范畴,并未上升到“一把手”主抓的战略高度。
对社会公众而言,对网络信息安全的认识和了解也仅仅止于频频被媒体曝光的各类个人信息泄露、网络欺诈犯罪、网银被盗等负面新闻。由于网络安全威胁不如地震、火灾等自然灾害对人类生命财产造成的危害来得直观,国家上下对全民信息安全意识教育的重视程度不够,尚没有形成类似于应对自然灾害的系统性长效机制。
(2)存在认识误区,意识教育难以普及
当前我国信息安全意识教育的认识存在诸多误区,导致面向全民信息安全意识教育宣传难以有效推进,主要包括:
误区一:实现网络信息安全就靠安全技术产品来保障。在此观念指导下,一些行业和地方主管领导以及企业负责人把安全预算大都投在产品上,舍得花巨资购买网络安全设备和软件,却不愿在全员信息安全意识教育上有所投入。
误区二:实现网络信息安全是专业人员的事情。社会普遍认为,只要提高网络信息安全相关技术人员的技能和水平,就足以弥补安全漏洞,防范安全风险。只要信息安全人员及时给系统打补丁,更新升级杀毒软件并尽职看护好关键基础设施,用户就可高枕无忧。
误区三:信息安全意识教育培训一次就够了。绝大多数企业和组织的领导人或者人力资源部门都认为,提高全员信息安全意识只要搞一次培训就够了,所以安全意识教育往往是搞形式走过场。即便搞了培训效果也不好,且容易陷入恶性循环的怪圈之中。
(3)教育培训专业性强,内容形式呆板枯燥
与防火、防盗、防地震等其他全民意识教育相比,信息安全普及教育具有专业性特征,因此需要将深奥的技术语言转化为普通百姓听得明白的通俗语言。但信息安全专业人员在具体实践中往往拘泥于“行话”,习惯性地引用许多专业词汇和专业知识,让大众媒体在报道信息安全领域新闻时容易造成误解,影响宣传效果。即便民众有了解网络与信息安全的意愿,也往往因为内容呆板枯燥而敬而远之。
长期以来上海走在全国信息化建设的前列,随着上海信息化建设进程以及智慧城市建设的深入,上海较早地重视网络与信息安全全民意识教育,并进行积极持续的尝试,目前已初步形成了独具特色的上海模式。
1.“上海市信息安全活动周”:品牌效应显著
“上海市信息安全活动周”从2011年至2014年已举办了四届,在国内尤其是长三角地区形成一定的品牌效应。该活动周由上海市网络与信息安全协调小组办公室主办,上海市信息安全行业协会等单位承办,每年活动周都得到上海市公安局、共青团上海市委员会、上海市新闻办等单位的大力支持。活动周根据社会和行业热点设置不同主题,在全市范围内举行各类现场宣传、大讲堂、应急演练、市民体验日、专题研讨会等形式多样的活动。参与活动的不仅有行业专家、企事业单位员工,还有许多普通市民。通过媒体报道等途径,每年的活动周都会在全市范围内掀起一股信息安全关注热潮。总体来看,“上海市信息安全活动周”具有以下特色:
(1)主题鲜明,重点突出
每届活动周都有一个鲜明主题,如第一届“信息安全保障智慧城市”;第二届“关注信息数据保护,共创网络信任环境”;第三届“我身边的信息安全”;第四届“智慧城市,走进美好生活”。其中,2014年第四届活动周进一步细分7个主题日,包括互动展示日、竞赛比拼日、市民体验日、专业人才日、思维碰撞日、安全教育日和行业风采日等。
这些主题都与上海城市信息化建设阶段和国家信息安全大环境相匹配。如第一届是从技术发展、系统防范、产业推动、意识培养、全面动员等多方面推动全民信息安全防范意识和知识的提高和普及,以适应上海城市运行安全和“智慧城市”建设的新要求;第二届重点是在大数据环境下进一步加强全社会的信息安全保障意识,提升城市信息安全保障水平,提高各层面对重要信息数据的保护能力,推动信息安全技术产业发展;第三届围绕日常的数字化生活,培育和创建安全可信的信息消费环境,重点从网络空间的安全治理、重点行业的信息安全保障、个人信息保护和信息安全知识普及等各层次提升城市信息安全保障能力,提高全社会信息安全意识;第四届结合上海实施智慧城市第一轮三年行动计划所取得成果的回顾与展示,通过让市民体验智慧生活的美好感受接受安全意识教育。
(2)全民参与,互动体验
活动周的宗旨是吸引广大市民参与,通过互动体验达到网络安全全民教育的目的。为保证活动的亲民性和针对性,活动周按不同对象设置不同的活动内容。如每届活动周都有技术产品展示、专业竞赛、专家访谈等内容,各取所需。活动周还强调互动性,主要体现在两个方面,一是市民通过参加竞赛、参观展览、接触产品、专家指导等,在亲历和互动中得到体验;二是企业即是活动的组织者,又是活动的受益者。它们通过参与活动组织、技术演示、新品展出,技术交流、科普辅导等活动而获得一种与市场和市民接触的互动新体验。
(3)活动丰富,寓教于乐
活动周的活动内容分“综合活动”、“专题活动”和“体验活动”。“综合活动”形式多样,既有面向市民的优惠促销活动,也有大数据开发应用创意大赛,还有信息安全技能竞赛和信息安全创意大赛以及青年最喜爱的APP评选等活动。“专题活动”精彩纷呈。有围绕智慧生活、智慧经济和信息安全等主题开展的活动数十项,包括车联网与智能交通展览会、智能课堂体验、泛智慧社区创新论坛、智慧园区高峰论坛、工业云发展论坛、信息安全人才相亲会、公用移动通信基站设置论坛等高品质的专题论坛及研讨会等。“体验活动”活泼新颖。如“2014年智慧城市体验周”在本市各区县的商圈广场、社区居(村)委、商务楼宇、工业园区、大学校园、居民家庭全方位、立体化地呈现智慧城市建设带来的新科技、新成果、新变化,让更多市民直观地感受智慧城市建设对城市经济社会发展和百姓生活的改变和影响。
(4)立体宣传,效果叠加,
如主题为“智慧城市,走进美好生活”的第四届活动周就结合“2014年智慧城市体验周”一并举办。活动周共推出180余项活动,邀请百万市民共同体验“智慧城市,走进美好生活”的最新发展。“2014年智慧城市体验周”既是对实施第一轮三年行动计划所取得成果的回顾与展示,更是对推进上海智慧城市新三年(2014—2016)行动计划的热身与憧憬。市民在体验智慧城市美好生活的同时,既知晓了政府工作和目标任务,又重视起自己身边的信息安全隐患,“只有提高安全意识,才能尽享美好生活”逐渐变成市民的普遍共识。
2.全年度的“系列活动”:扎根基层常年不断
仅仅依靠一周的集中宣传,影响范围和持续时间仍显不足,也不能满足社会各界对信息安全理念分享的需求。因此,从2014年开始,上海依托3年成功举办活动周的经验,开始举办贯穿全年的“走进”系列活动以及“大讲堂”系列活动,将信息安全知识传递和意识教育作为贯穿全年的工程。
(1)“走进”系列:面向行业和用户
作为主要面向行业和企业用户的“走进”系列活动,2014年开展10场专场活动,平均每场的直接覆盖人群超过百人。此外,活动视频还通过网站、微博、微信等渠道在更大范围内传播。以2014年7月20日举办的“互联网金融科技风险与治理高峰论坛”为例,做大会主题分享的专家包括互联网实验室创始人方兴东、互联网金融千人会创始人易欢欢、全球首张云安全认证项目负责人沈锡鏞、支付宝安全专家郑故炜等,参会的数百人现场聆听了互联网金融领域最前沿的信息安全问题,吸引了十多家媒体采访报道,将专家观点和安全理念传递给更多的社会大众。
(2)“大讲堂”系列:面向普通大众
相比专业性强的“走进”系列活动,“大讲堂”系列活动则更侧重面向普通大众。通过政府和行业协会的组织,行业内的资深专家深入上海的街道社区为市民举办专题讲座。讲座往往围绕广大市民日常生活中最常见的误区和问题展开。例如,浏览网页和下载应用的常见陷阱、电信诈骗钓鱼网站的识别方法、个人私密信息和密码的管理和保存技巧等。该项活动原计划每年举办10场,但很多社区举办过一场后,不少没有机会现场聆听的市民纷纷要求增加场次,其中仅闵行区虹梅社区2014年就举办了30场。
3.“e365易安在线”:搭建专业资讯平台
通过政府专项资金和课题项目等形式,上海打造了“e365易安在线”中国网络安全服务综合资讯平台,该平台包括:
资讯频道——侧重预警功能内容,包括热点新闻、专家观点、专业分析报道等。市民通过资讯频道就能获取网络与信息安全领域的最新动态以及热点事件对自身行为习惯的影响。
活动频道——侧重活动发布内容,包括线上体验和线下体验。线上体验包括相关活动介绍、线上体验馆、知识问答、有奖竞猜等。线下活动包括线下体验馆介绍、市民大讲堂、走进系列等活动的通告和报名等。市民通过该频道能及时获取信息并参与到信息安全活动中。
竞赛频道——侧重以赛带练内容,包括针对专业人员的技术挑战赛、针对企业的管理运维赛以及针对所有社会公众的创意征集。此外,针对行业或企业的特点和需求,还会定制针对企业全体员工的知识赛,以帮助企业进行全员网络与信息安全意识教育。
人才频道——侧重人才培养内容,包括以“人才相亲会”形式进行的专业人才对接服务以及企业岗位发布等。“人才相亲会”是建立在“信息安全技能竞赛”基础之上的国内首个信息安全人才专场公益活动,由现场招聘、科技体验、人才论坛、竞赛颁奖等多项环节构成,是国内信息安全人才宣传、体验、竞技、招聘选拔领域最具公信力和专业性的活动。
此外,还有包括微博、微信、游戏单元等,用市民乐于接受的方式传递信息安全理念。通过打造这一立体平台,并以此为阵地,进行网络与信息安全全民教育。
4.“信息安全技能竞赛”:成为辐射全国的产业界盛会
(1)以竞赛发掘专业人才,以竞赛吸引社会关注
“信息安全技能竞赛”(ISG)是目前国内信息安全专业化的竞赛平台,至今已举办了六届,影响力从上海到长三角并逐渐辐射到全国,成为国内信息安全产业界的一次盛会。
以2014信息安全技能竞赛(第六届)为例,其宗旨是“发现人才,体现价值”。赛事组成包括:技术挑战赛、管理运维赛、公益创意征集、人才相亲会。作为强调个人能力和对抗的技术挑战赛,本届比赛采用国际流行的CTF比赛规则,覆盖Web漏洞与渗透、软件逆向、漏洞挖掘与利用等最热门内容。赛事吸引了全国20多个省市万余人参赛,成员涵盖政府机关、重点单位、信息安全企业、高校学生以及信息安全爱好者,并引起了社会大众特别是青少年的关注,产生了很强的示范效应。它对于培养青少年的信息安全兴趣,从中发现苗子和发掘人才有着积极意义。
(2)以竞赛促企业交流,以竞赛提升保障能力
“管理运维赛”是“信息安全技能大赛”中的一项团体赛,面向企事业单位中负责信息化建设和运行维护的技术人员以及相关的管理人员,比拼的是团队综合运维技能、管理知识及协调能力等。近年来“管理运维赛”分上海、江苏、浙江、重庆等赛区举行,已经成为中国信息安全产业界的一个互动交流平台,通过赛事促进了业内的技术交流和工作探讨,通过参赛推动了专业技术人员的安全意识和相关技能的的提高,为我国重点部门和关键领域信息安全保障奠定了基础。基于参与者队伍的不断壮大,赛事的影响力不断提高。例如,2014年管理运维赛的覆盖对象就包括:网安办系统的199家上海信息安全重点保障单位;人民银行系统的200家银行法人单位、56家第三方支付企业;国资委系统55家集团公司及其下属企业;通管局的3大电信运营商以及数万家网站备案企业;证监会系统的300余家证券、期货、基金公司;保险同业工会的22家总部在沪保险公司;宣传部系统35家一级机构;上海外服系统的外企员工。大赛组委会还根据各行业自身特点为各行业定制了专门的信息安全意识培训、知识大赛等,将信息安全意识教育的范围扩大到全行业的全体员工。通过这种层层推进的方法,信息安全意识教育有了具体的落脚点,受训单位及其员工因为所学和所用关系紧密,更加主动参加和接受各类信息安全教育培训。
5.免费上送《市民手册》:市民身边的信息安全
对广大普通网民而言,信息安全不只是技术更是习惯和意识,需要持续地宣传和引导。鉴于各类品牌活动的影响面毕竟有限,为了达到更大的覆盖面,2013年,上海市网络与信息安全协调小组办公室牵头编写了《我身边的信息安全》市民手册,将市民身边常见的信息安全问题浓缩入一个普通人的一天生活中,并邀请专业漫画作者配图,以讲故事的方式具体呈现12个常见问题。这些手册通过分布在全市的上海移动营业厅以及保险、证券、银行等公共服务网点供市民取阅。《手册》中的内容还通过“上海发布”微信平台推送,以影响更多市民。
经过多年的探索实践,上海已经构建起了以“上海市信息安全活动周”为品牌,以“信息安全技能竞赛”、“走进”系列和“大讲堂”系列等为工作抓手的多维度、立体化的信息安全全民教育新模式,通过对上海经验的总结,可以为我国新一轮信息安全全民教育提供借鉴和参考。
1.建立首席信息安全官制度,确保制度创新先行
上海模式的重要经验之一是政府引导作用坚强有力。如历届“上海市信息安全活动周”就是由政府牵头,发挥行业协会和企业的积极性而成功举办的,“e365 易安在线”则是通过政府专项资金和课题项目的形式打造的,而常年开展的面向不同人群的“系列”活动是政府通过购买服务的方式进行的。
从长期看,我国信息安全教育作为一项持续性社会行动,除了政府主导下的推动和造势外,仍需要进行进一步的制度性暗锁,通过不断的制度创新才能形成长效机制。未来,建议在政府和重点企业层面建立“首席信息安全官制度”,这是从理念-体制-机制-方法的一种与信息化发展阶段相吻合的制度创新,首席信息安全官是组织的高层领导者,既是管理者,又是技术专家,围绕着首席信息官的一套完备管理体系能平衡处理建设、防范与应急的关系。从国家大局看,“首席信息安全官制度”既可解中国信息安全的“燃眉之急”,又是“网络强国”的制度保障,将对覆盖全民的信息安全教育培训工作起到关键作用。
2.上挥行业协会组织优势,推动社会各界力量参与
上海模式的另一个特点是积极发挥行业协会的作用。在上海市民信息安全教育宣传中,上海市信息安全行业协会始终承担着主要的组织协调功能,积极在政府、企业、公众之间搭建了重要的桥梁作用,在信息安全全民意识教育中发挥了信息服务、教育与培训、咨询服务、举办展览、组织会议等功能,这是政府和企业无法替代的。如以协会为载体承办的“信息安全技能竞赛”效果显著,这种政府引导、协会搭台、企业唱戏、市民参与的全民教育模式符合互联网发展的趋势,有助于我国信息安全产业的健康发展。
3.坚持“三性结合”原则,覆盖各类群体
上海模式还在于充分实现了普及性、针对性和专业性的结合。其中,对目标人群进行分类施教的做法值得总结,即根据不同人群对信息安全知识了解的程度不同、内在需求不同、接受能力也不同的特点,将信息安全意识教育对象人群分为三类:第一类是专业人群,主体为从事信息安全研发和保障的专业技术人员;第二类是信息安全用户人群,主体为各类单位中接触信息系统的相关人员;第三类是社会大众。针对以上三类人群的需求,意识教育活动手段不同、侧重点也不同,从而确保了全面教育的有效持续的开展。
4.汇聚民间智慧,全民教育活力之源
网络和信息安全教育是一项长期而艰巨的任务,需要长期坚持。上海模式从“周”活动发展到贯穿全年的持续性活动,从线上到线下,是一个不断发现需求、汇聚人才和解决问题的过程。例如,从2014年开始,上海信息安全周组委会面向社会大众直接开展信息安全公益创意征集。通过广泛发动和设置高额奖项,面向所有市民征集金点子,汇集全社会的智慧,以共同推动信息安全意识的普及。活动进行至今已经征集到包括创意海报、创意视频在内的数千份作品。获奖作品将通过电视、网站、微博微信、户外广告屏、地铁广告屏等多种渠道展示。通过身边人的创意作品,使得原本专业和高深的信息安全知识和理念得以用普通人喜欢看、看得懂的方式传播,这是全民教育活动的活力之源。
上海市信息安全行业协会)