论国民信息安全素养的培养

罗力

信息资源在国家政治、经济、军事以及社会生活中扮演着越来越重要的角色，谁能够及时掌握丰富的信息资源，谁就能占据优势地位。然而，每个硬币都有其两面性，作为信息资源获取的重要平台的互联网也不例外。人类也遭遇到了互联网给国家政治、经济、军事以及文化等领域带来的信息安全问题。信息安全问题不仅仅是一个技术问题，也是一个社会问题。中国互联网络信息中心与国家互联网应急中心在2010年3月联合发布的《2009年中国网民网络信息安全状况调查报告》显示，国内半数网民在2009年曾遭遇网络安全事件，网络下载和浏览成为病毒和木马传播的主要渠道；网民对网络的安全感降低，提供网上个人信息比以往更加慎重；半数网民无法区分各类安全软件的异同；近2100万网民缺乏密码设置方面的保护意识；近五成的网民不重视网上安全公告，极易引发网络安全事故。该报告侧重解读了2009年网民安全防护软件使用情况、网民遭遇网络信息安全事件情况及网民安全防范意识等。北京谷安天下科技有限公司发布的《2010企业员工信息安全意识调查报告》显示，42.8%的受访者认为个人信息安全意识不足是最大的信息安全隐患，然后依次是缺少安全制度或现有制度未落实、投入或人员不足或缺乏信息安全培训、安全产品功能不足和其他。报告进一步显示，中国企业员工普遍缺乏信息安全意识。另外在RSA2011信息安全大会上，不少信息安全专家都认为，众多缺乏安全意识的员工，正在成为黑客突破企业安全防护时最大也最难修补的漏洞。

1 信息安全的概念和内涵

信息安全是一个既古老又年轻的话题，其涵盖的范围很大，大到国家政治军事科技等机密安全，小到如防范企业商业机密被窃取、个人信息泄露等。信息时代的到来更加凸显了信息安全的重要性和紧迫性。目前一般从狭义和广义两个方面来理解信息安全。狭义的信息安全是指信息本身的安全问题，包括信息的保密性、完整性、可用性、可控性及可靠性5个方面：保密性是指确保信息仅为那些被授权者获取使用；完整性是指保证信息不被删除、修改、伪造、乱序等，以确保其完整准确；可用性是指保证被授权者可以按需获取使用信息；可控性是指信息和信息系统处于安全监控管理状态；可靠性是指信息系统在规定条件下完成特定功能的概率。广义的信息安全是指社会信息化状态和信息技术体系不受外来威胁和侵害，以此来维持国家政治、军事、经济、文化等系统正常运行的状态。广义的信息安全包括政治信息安全、经济信息安全、科技信息安全、军事信息安全、文化信息安全、生态信息安全、公共信息安全等部分。在不同的历史时期，国家安全有着不同的关注重心。信息化大背景下，信息安全已成为国家安全的一个重要要素，与其他安全要素之间的联系更为密切，已上升成为直接影响国家政治稳定、社会安定的战略性地位。

信息安全的主要威胁有以下5种。①计算机病毒，这是一种专门用来破坏计算机正常工作的能够自我复制的特殊程序，是目前人们公认的攻击和破坏计算机软件与数据的最有效工具，是信息安全的主要威胁。②网络入侵，主要是指黑客依靠其高超的电脑技术非法访问对方的电脑内部信息，以达到其不可告人的目的。③信息霸权，主要指互联网一方面加速了各种文化的传播和融合，另一方面也使一个国家的文化受到冲击，人们的价值观和生活方式在各种网络信息的影响下会发生改变。美国经常借助其强大的信息优势向发展中国家推行文化霸权主义。④信息泄露，主要指各种Web2.0网站鼓励用户上传和完善个人信息，几乎无限制地发布各种信息，但用户信息保护、信任机制建设相当滞后，相关网站可能为了商业利益出卖用户信息，而有关敌对国家和情报机构通过网络可以获取大量信息用于后续分析。⑤信息的社会化传播。谣言引发的信息安全问题古已有之，但基于互联网的高效社会化网络为谣言的迅速传播提供了便利条件，也为敌对国家、情报机构、恐怖组织、别有用心的各方操纵和制造社会舆论，引发社会危机创造了条件。

2 信息安全意识和信息安全素养辨析

在辩证唯物主义看来，意识是社会人对客观存在的主观反映，其具有感觉、知觉、表象等感性形式，也具有判断、推理、分析等理性形式。物质对意识有着决定作用，意识对物质能动产生反作用。信息安全意识具有丰富的内涵。一方面是个体对信息安全问题的全面反映，包括感性认识和理性认识。感性认识层面是指对信息安全问题的基本态度和信息安全现状的情感体验；理性认识层面则是指对信息安全问题的认知，包括对信息安全的重要性、内涵、威胁来源、实现途径等方面的认知。另一方面是关心和维护信息安全的意识取向，具体表现为忧患意识、防范意识、责任意识、保密意识等。

“素养”在《辞海》中的解释为经常修习的涵养，也指平日的修养，如艺术素养，文学素养等。素养的形成有一个程度变化的过程，即从低到高逐步发展的过程。与信息有关的素养讨论源于信息素养。此概念最早是由美国信息产业协会主席保罗·泽考斯基（Paul Zurkowski）于1974年提出的，他认为，所有经过训练并在工作中能善于运用信息资源的人被称为具有信息素养的人，信息素养就是利用多种信息工具及主要信息资源来解答问题的技术和技能。美国国家信息素养论坛在1990年的年度报告中指出，信息素养是了解自己的信息需求、承认准确和完整的信息是制定明智决策的基础、能在信息需求的基础上系统阐述问题、具有识别潜在信息源的能力、能制定成功的检索策略并能检索信息源、具有评价信息的能力、能为实际应用而对信息进行组织、具有将新信息结合到现存知识体系的能力、能批判地利用信息并解决问题的能力。国内有学者认为信息素养包括信息意识、信息知识、信息能力和信息道德4个方面，其中信息意识指的是个体对待信息的认识、思想、态度、观念的总和；信息知识是个体具有有关信息本质、特性、信息运动规律、信息系统的构成及原则、信息技术、信息方法等方面的基本知识；信息能力是个体对信息系统的使用以及获取、分析、加工、评价信息并创造新信息、传递信息的能力；信息道德则是在整个信息活动中，用以调节信息创造者、信息服务者、信息使用者之间相互关系的行为规范、社会准则和社会风尚的总和。从国内外有关信息素养的论述来看，主要侧重于如何获取和利用信息来解决问题，而忽视了当前信息安全形势严峻背景下如何有效防护各种信息安全威胁的讨论，而这可由信息素养概念引申为信息安全素养。信息安全素养理应在信息素养的概念体系中占据重要位置。国内明确提出信息安全素养并进行深入分析的较为少见，截至2011年10月，笔者在中国知网、万方数据库和百度搜索引擎检索“信息安全素养”的论文，发现题名包含“信息安全素养”的只有 3篇，分别是刘枫的《大学生信息安全素养分析与形成》、王厚奎等人的《从高校网络信息安全谈提升高校教师网络信息安全素养》和鲁亚华的《网络信息安全素养形成的课程化实践》。而以“信息安全意识”进行检索的结果稍多，但题名包含“信息安全意识”的也不多，理论研究成果更少。这和目前国内外信息安全研究的火热现状不相符合。以“信息安全”作为题名在中国知网中检索获得13859篇相关研究成果，而“信息安全意识”和“信息安全素养”的检索结果共为21篇，前后对比非常鲜明，反映了学术界对从技术层面解决信息安全问题投入较多精力，重技术轻管理的现象比较严重，而尚未真正重视信息安全意识和信息安全素养的研究和培养工作。

目前有关信息安全素养的定义主要源自信息素养，指人们在信息化条件下对信息安全的认识以及对信息安全表现的各种综合能力，包括信息安全意识、信息安全知识、信息安全能力、信息伦理道德等内容，该定义对信息安全素养的论述较为笼统，不够具体。信息安全意识的内涵较为狭窄。虽然信息安全意识包含关心和维护信息安全的意识取向，但尚未包含各项行动的实施环节。而信息安全素养的内涵更为丰富，包括后续各种防护能力、信息安全伦理道德和法律法规知识等环节。

3 国民信息安全素养低下的原因分析

3.1 信息安全素养培养主体不够重视

一方面，长期的和平淡化了人们对于信息安全风险的防范意识，保密意识缺乏，认为当前没有秘密需要保守，随意在网络上发布和转发各种信息，无意间泄露有关科技、金融、贸易甚至是军事和政治机密。另有一些人崇洋媚外心理作怪，可能主动给他人送上各种信息；另一方面，很多人会认为信息安全是保卫部门或保密人员、技术人员的事，与自己无关。有些人对国家安全的认识还停留在军事实力上，缺乏对信息安全在国家安全中重要地位的认识，缺乏对“非传统安全”“综合安全”的认识。

3.2 信息安全素养培养内容和培养形式有待完善

目前我国从事信息安全工作的人员比较少，很多都是从网络管理人员通过自学或短期培训后从事该方面工作的，这极大地制约了信息安全素养培养内容的完善，使得培养内容大多停留在传统保密安全的内容和信息安全技术理论方面的内容，比如军事安全、主权安全、反间谍、黑客攻防、密码学理论等，具体实例也大都是情报、间谍、网络黑客之类，切实贴近人们日常生活的信息安全案例较少，让非信息安全专业的人能够接受的内容更少。这可能更加剧了人们认为是否具有信息安全意识并不重要，信息安全和自身的责任、义务联系不上，信息安全与当前经济安全、文化安全、科技安全等其他非传统安全没有关系。同时，有关培养形式单一枯燥，仅限于有关文件和法规的说教与宣传，这只会让人们认为信息安全意识和素养的普及教育是一种单纯的课堂知识传授和宣传，只是和防火、防盗一样重要的安全教育，由此产生反感和排斥心理，降低预期培养效果。

3.3 各级、各类组织的作用有待进一步发挥

各级、各类党政机关、企事业单位、高校和其他组织并没有充分参与到信息安全素养培养中来。比如有些高校尚未认识到信息安全素养培养的重要性，或者认为信息安全素养培养只是计算机专业和信息安全专业教师的任务，其他学科的教师难以发挥作用，且主要对象只是计算机相关专业的学生。很多高校尚未开设与信息安全素养有关的课程。在新生军训期间，有些院校只进行军事训练和组织纪律训练，缺乏对大学生进行信息安全素养方面的教育，没有让学生一进校门就认识到信息安全的重要性。各级党团组织和协会的力量没有充分发挥出来，较少聘请相关职业部门对从业人员进行培训，让从业人员认清各行业的特殊性、组织性、纪律性和行业的保密要求以及信息安全在该行业中出现过的问题、危害等。

4 提升国民信息安全素养的有效途径

国民信息安全素养培养，应结合信息安全教育的特殊性，以广大国民为培养教育对象，以信息安全知识教育、信息安全素养培养为内容，以各种新的教育理念和教育方法为手段，充分发挥各级、各类组织的优势和作用，最大限度地提升国民的信息安全素养。国民信息安全素养培养主要依靠健全的国家法律保障、良好社会氛围的熏陶以及各级学校和机构教育功能的发挥：国家的法律保障是前提，只有有法可依，才有可能得到更多的重视，才能促进信息安全教育的正规化建设；良好社会氛围是天然的催化剂，一个人人关注信息安全、人人思考信息安全的社会，一定会对这个社会中的人们起到潜移默化的引导作用；学校和其他机构教育功能的充分发挥是关键，通过课堂可以对学生进行系统的信息安全教育，以便他们形成科学合理的信息安全意识，在遭遇各种信息安全威胁时，能够顺利予以化解。具体来说，主要有以下4个方面。

4.1 推进信息安全法规建设，依法加强信息安全管理

近年来，世界上一些发达国家相继出台了一系列有关信息安全的法律法规，比如美国的《联邦信息安全管理法案》《联邦电子通信隐私权法》，欧盟的《打击电脑犯罪国际公约》，日本的《个人信息保护法》等。我国也适时出台了一些法律，如《国家安全法》《保守国家秘密法（修订）》《中华人民共和国计算机信息系统安全保护条例》《计算机病毒防治管理办法》《信息安全等级保护管理办法》等，但与信息安全总体建设的要求还有不小差距。因此，应加快信息安全调研工作，抓紧制定完善信息安全工作条例和相关技术性法规，尽快出台《国家信息安全法》或《信息安全条例》，依法加强信息安全管理，提高国民信息安全素养。

4.2 建立多层次的国民信息安全素养培养体系

信息安全教育作为一种特殊教育内容，应该从政府层面进行大力倡导和支持，充分发挥各类媒体的宣传作用，尤其是网站和论坛的作用，进行全民宣传教育，使信息安全观念牢牢扎根于人们的大脑。把个人、企业、国家机关、事业单位等都纳入到信息安全素养教育的范围，并开发出有针对性和衔接性的培养计划。其中针对个人，应注重信息安全风险识别能力、信息安全常识和信息安全基本防护能力锻炼；针对国家机关、企事业单位人员，应重点学习法律法规、职业道德、信息安全案例和防护技术，提高信息安全综合素养。特别需要指出的是，要将信息安全教育纳入各级党校、行政学院等干部培训的体系中去，提升广大干部的信息安全素养，提高他们在日常工作中对信息安全工作的重视程度，以便今后推动各类信息安全教育工作。

4.3 加强信息安全素养教育的师资队伍、教学资源开发

在当前背景下，教育工作者自身素质必须要与时俱进。各类教育机构的教师，首先需要系统学习信息安全理论，了解新形势下信息安全的内容和特点。在掌握相关理论和技术的基础上，搜集、梳理相关案例，组织编写教材，做到理论讲解与具体案例相结合，充分发挥教师的主导作用和引导作用。教学资源建设是提升国民信息安全素养的现实保障。教学资源包括开设的各类信息安全课程，且要将这些课程与信息安全素养培养结合起来。目前，北京大学、清华大学、武汉大学等院校都相继设立了信息安全专业的硕士和博士点，并出版了各种相关书籍。武汉大学已从2005年开始在全校陆续开设了4门通识选修课，用于培养大学生的信息安全意识和提高他们基本的信息安全防护能力。

4.4 充分发挥党团、协会等各类组织优势，做好全民信息安全素养教育工作

各级党委、团委要从思想上高度重视信息安全工作，把信息安全素养教育和思想政治教育活动相结合，把信息安全素养培养工作贯穿党员的组织生活过程，组织起各种形式的信息安全教育活动。同时利用党委的权威性，不定期邀请国家信息安全部门、高等院校等相关人员结合自身工作经历，对党员进行信息安全教育。同时，还要发挥各种协会在信息安全普及工作中的作用，比如中国计算机协会计算机安全专业委员会积极参与国家信息安全的战略政策、法律法规、标准规范的研究与制定，积极开展信息安全领域的学术交流、技术研究、人才培训等活动。

5 结语

信息安全已成为信息时代国家总体安全的基石，中国共产党第十六届四中全会已将信息安全列入国家安全的4大重要组成部分之一。信息安全是当下中国必须认真严肃面对的一个重大问题，如果处理不慎，将严重威胁我国经济安全乃至国家安全。当前那些由最先进的信息安全设备组成的铜墙铁壁由于“人”的缺位很可能不堪一击。全社会应该充分认识到国民信息安全素养教育的重要性和必要性，尽快将国民信息安全素养教育纳入全民素质教育培养体系，同时从各个方面改善信息安全人才的培养环境，培养高层次的信息安全人才，维护国家的信息安全。◆