【网安智库】网络安全意识研究综述

0 引言

随着信息化的深入发展、互联网对社会生活的全面渗透，网络环境日益复杂多变，信息系统的脆弱性也逐渐凸显，而网民的网络素养仍处于较低层次，这些因素共同决定了网络威胁的客观存在。技术层面讲，网络安全是一种相对的安全，并不存在一劳永逸的技术，所以增强用户的网络安全意识就成为了实现网络安全的重要措施。欧洲网络信息安全局在一份题为《提高信息安全意识》的文件中指出，大量研究表明，在所有的信息安全系统框架中，人这个要素往往是最薄弱的环节。只有革新人们陈旧的安全观念、提高认知水平与认知能力，才能真正抵御网络威胁。因此，如何提高网络安全意识等问题逐渐进入了学者的视野。

在中国知网数据库中以篇名为“网络安全意识”为检索条件对 2000 年以来的期刊、硕博论文、会议论文、报纸进行检索，共获得中文文献共有 111 篇（截至 2019 年 1 月 15 日）。从总体趋势来看，2000—2014 年文献数量相对较少，2015 年开始明显增加，主题分布主要包括网络安全、网络安全意识、安全意识、信息安全意识等。

1 网络安全意识的相关概念研究

尽管网络安全意识研究的重要性已经被学界认同，也经常作为重要概念出现在研究中，但并没有清晰、系统性的理论发展脉络与明确的概念界定。网络安全是网络安全意识的目标与来源，而网络安全风险决定了网络安全意识的具体内涵。因此，本文总结了现有研究中关于“网络安全”与“网络安全风险”的相关研究，试图厘清网络安全意识这一概念的界限并明确其内涵。

早期的网络安全主要指数据内容安全、信息系统安全、网络结构安全等。在网络作为信息工具的时代，网络安全可以理解为传统的信息安全，强调信息（数据）本身的安全属性，包括信息的秘密性、完整性和可用性。2004 年，李炅等人提出，网络安全是一个系统性的概念，不仅包括计算机上信息储存的安全性，还要考虑信息传输过程的安全性，即通信安全和主机安全共同构成了网络安全。金雷聚焦电子商务面临的网络安全威胁，将网络安全目标的最小集合总结为身份真实性、信息机密性、信息完整性、服务可用性、不可否认性、系统可控性、系统易用性、可审查性。何德全提出，人是网络发展的基本动力和信息安全的最终防线，所以网络安全机制要面向用户，保障用户的网络应用。可见，虽然这个时期也有学者意识到“人”作为主体的重要性，但没有将“人”放在网络安全概念的核心位置进行深入研究。如今，网络安全的内涵正在不断变化，从最初的硬件安全扩展到包括全球、国家、社会、个人在网络空间中的安全状态。安静指出，目前，个人网络安全的重要性明显提升，这种个人的网络安全可以从个人财产安全、个人人身安全、个人心理安全三个方面来认识。

时至今日，互联网的作用早已超出了工具范畴，逐渐成为一种社会空间。随着相关领域研究的深入，网络安全的内涵也得到了丰富和扩展，与相关概念“信息安全”之间的关系辨析进入研究视野。张焕国认为，网络安全应当包含设备安全、数据安全、内容安全和行为安全四个层次，提出网络安全的基本思想是在网络的各个层次和范围内采取防护措施，以便能对各种网络安全威胁进行检测和发现，并采取相应的响应措施，确保网络环境的信息安全。然而，目前学者对于信息安全问题的研究已经不再局限于个人隐私，也涉及商业机密和国家安全的各个方面。例如，黄奕信结合国情将信息安全定义为保证信息主体（国家、组织和私人）的信息不受到内部和外部的威胁、侵害以及误导，确保信息的独立性和隐私性。正是由于“信息”这一概念的扩展，所以也有学者对上述分类持不同观点，刘仁认为网络安全的内涵比信息安全的内涵要狭义，因为信息的概念比较宽泛、更多元化，而网络安全是从网络环境出发，只需要保证使用者在网络环境中的信息得到保护，处于安全状态即可，故更多的是设计网络层面上的信息数据安全。可见，虽然学界对于“信息安全”与“网络安全”的范围存在争议，但不可否认的是，对于传统信息安全领域的研究奠定了如今网络安全研究领域的发展基础。

互联网的基本特点是全球性的广泛连接，这种广泛连接使信息资源的作用得到了充分的发挥，但也不可避免地导致了众多不安全因素的进入，这些网络安全风险决定了网民应当具备的网络安全意识的基本内容。因此，关于网络安全风险的研究成果对梳理网络安全意识的内涵具有重要意义。

在早期的研究中学者认识网络安全风险的主要视角为信息系统和网络本身的安全性，认为网络安全威胁主要来源有恶意攻击、安全缺陷、软件漏洞、结构隐患等几个方面，威胁产生的主要原因包括人为故意、偶然失误、自然灾害等。相应地，这一时期的研究热点包括新型加密技术、入侵检测 IDS、病毒识别与清除技术等，着力提升网络信息、网络数据安全的发展。目前，网络环境中的不安全现象除了包括上述技术方面的客观安全威胁，还包括主要受个人主观因素影响的网络诈骗、个人信息泄露、网络暴力、网络谣言、网络成瘾等问题。

在所有网民中，未成年人面临的网络安全风险又格外典型，引起了学者们的关注。对于他们而言，网络风险不一定会造成实际的伤害，而是会提高未成年人遭遇风险的可能性。政策条款不能够消除所有风险，其目的是管理风险，以便利用所有资源，将网络对未成年人的危害降至最低。2012 年，英国未成年人互联网安全理事会就倡议应该在 5 ～ 11 岁年轻人面临的网络风险方面加强研究，以便为学校、家长和青少年制定未来的教育策略。

DeMoor 等人将未成年人互联网利用中面临的风险用结构图进行表达（图 2），包括内容风险、接触风险和商业风险，成为多数学者接受并认可的一种模式。其中，内容风险指未成年人使用网络信息时可能受到的网络信息资源内容的负面影响，包括不良网络信息资源内容和错误、不可信的信息。联系风险包括在线联系风险与离线联系风险，如网络欺凌、性诱惑、隐私风险等。对于未成年人来说，其网络行为涉及到商业活动的主要包括参与电子商务或电子广告活动，其中一个相当隐蔽的风险就是对未成年人个人数据的收集和商业开发。

综合网络安全与网络安全风险的相关研究成果，网络安全意识的概念与内涵也逐渐清晰。

早期，网络安全意识的概念相对比较狭隘，Siponen 将网络安全意识定义为一种教育模式，使所有网民对各种各样的网络威胁、计算机和数据漏洞保持敏感。Shaw 等人在研究中将网络安全意识的内涵综合考量为用户理解信息安全重要性的程度、控制信息的能力、保护个人和组织信息的能力。互联网发展初期，我国学者对网络安全意识的最初认识体现在网络社会责任感，即用户作为主体对网上信息内容的发布和接受负有社会责任，要自觉抵制不良信息的传播，要有“网络安全人人有责”的观念。张卫清曾在网络文化和安全文化的基础上提出“网络安全文化”的概念，指人们对网络安全的理解和态度，以及对网络事故的评判和处理原则，是每个人对网络安全的价值观和行为准则的总和，包括网络安全物质文化、网络安全制度文化和网络安全精神文化三个层面。

网络安全是网络安全意识的目标，而网络安全风险决定了网络安全意识的实际内容，因此，网络安全意识的内涵随着上述两方面研究领域的深入逐渐得到扩展。当前的网络安全意识指遭遇网络不安全因素时所表现出来的判断、分析、应对等综合能力，体现在面对网络安全风险时“发现问题—应对难题—化解危机”的整个过程当中。具体来讲，包括对个人所处的网络或空间有一定的认知，对网络环境可能具备的危险性有一定认知，并且对网络空间中的不安全因素有一定认知。按照网络安全意识的对象划分，现有的研究主要包括网络设施安全意识、网络信息安全意识、网络运营安全意识和网络行为安全意识。在实证研究中，魏德才在调查大学生群体网络安全意识时选取了五项指标，包括网购时防侵权意识、网络安全知识的获取、注册网络用户信息是否留有真实信息、对待未证实的社会敏感消息的态度、在遭受网络侵权后的维权途径调查；王炎龙、邓倩通过未成年人对网络语言的使用的角度透视了未成年人的网络安全观，包括网络接触环境和途径、对网络不洁字眼的态度、对网络语言内涵的认知力、使用网络语言的目的、网络文明意识等。可见，在具体的实证研究中，研究者往往会根据自己的研究目的将“网络安全意识”概念的外延拆分成不同的层面，通过不同的表现形式进行测量和评估，缺少系统性的理论框架。

2 网络安全意识现状与问题研究

随着人们对于互联网的使用频率和嵌入程度越来越高，在享受互联网带来的生产、生活等方面的便利和优势的同时，网络安全意识也应该引起相应的重视，以免阻碍对互联网的进一步利用乃至个人的成长与发展。学者们开始通过实证方法对部分群体网络安全意识的现状进行了研究。

卢伟在 2009 年，通过问卷调查的方法，收集了 475 位在校大学生的网络安全知识掌握情况、网络安全经历和防范措施情况，并把网络安全知识划分为物理安全、网络系统安全、信息系统安全、信息基础设施安全和设施安全。调查结果显示，大学生平时已习惯并喜爱利用网络获取信息资料、与朋友交流、放松娱乐等，但与此同时他们对网络安全知识了解不足，并缺乏自我保护和防范意识，比如对文件加密、用户权限限制、提高密码设置的复杂程度等都不够重视。2011 年，刘新华、巢传宣对大学生网络安全意识和教育状况进行调查后认为，行为是意识的外在表现，所以外在行为和内在意识之间存在较高相关性，于是依据学生的网络危险行为，来评估学生的网络安全意识高低。二人把网络危险行为具体为 18 种：制造或传播网络病毒、在网上阅读或制作反动宣传资料、浏览“黄赌毒”站点、与别人色情聊天、上网时不利于防火墙软件监视数据流动、不定期升级杀毒软件、不及时修补系统漏洞、从网上下载的文件或软件使用前不杀毒、随意打开垃圾邮件、收到不明邮件后打开邮件中的链接、在公共场所上网后不及时关闭所登录过的网站、不定期更改 QQ 密码或电子银行登录口令、将自己的照片或其他真实资料发给陌生人或发布在网上、主动邀请网友见面、应邀与网友见面、收到虚假中奖信息后按要求登录指定网站填写信息、网上购物时不仔细核对网站地址和网络成瘾。并基于调查结果强调了网络安全意识教育的重要性。魏德才和陈胜男于 2015 年在海南省对大学生网络安全意识做了调查和研究，将网络安全意识分为网购时防范意识、获取安全知识途径、注册用户留存信息真实度、信息核实判断能力和被侵权后维权意识。问卷调查的结果表明，当代大学生在网络空间中言行随意，轻信虚拟世界中的言论，过度依赖虚拟世界中的交往，因此放松警惕，不注意隐私保护，并且在网购时，防范侵权意识差，高于六分之一的学生都曾在网购中被侵权。尽管如此，多数大学生依旧对于网络安全知识主动获取的意愿不高，能力不强，仅有 24.89% 的学生有意识地了解过网络安全知识。

近年来，网络安全意识的研究也开始向其他群体扩散。2017 年，刘志林对我国民众的网络安全意识现状进行调查和分析，结果显示，民众已开始重视网络安全，其中中老年群体的网络安全意识相对较差。据数据显示，18 ～ 29岁的年轻人对网络认识和理解程度较其他年龄段更高，50 岁以上的中老年群体由于年龄、学习能力和知识水平的限制，没有足够的意愿或能力接触和学习网络安全知识，此外，思想观念停留在被动接受而非主动防御，也是重要原因之一。因此，民众网络安全意识仍然需要进一步加强。

学者对网络安全意识的划分可归类为信息甄别、自我防范和行为伦理规范。信息甄别一方面指在不同环境下对个人信息披露的真实程度和尺度的把控能力；另一方面是指在芜杂泛滥的网络信息中过滤垃圾信息、虚假信息和有害信息，筛选有价值的信息的能力。自我防范指人们在运用网络时没有做到科学合理，而引起如网络攻击、病毒感染、网络篡改、信息泄密等网络安全事故频发。行为伦理规范是指人在缺乏网络礼仪的情况下产生的行为失范而影响自身乃至社会发展。网络的隐匿性、虚拟性使青少年容易规避现实社会的约束而成为网络的破坏者。轻者表现为发泄不满、肆意谩骂、散布谣言等，重者则包括参与实施网络诈骗、传播病毒、传播违法信息等犯罪活动。网络道德素养和网络法律意识等规范意识的缺失还有可能导致青少年被不法分子利用，无意识地成为不法信息的携带者、传播者和受害者，既危及自身发展，也伤害到他人和社会。值得一提的是，青少年群体是网络“非主流”文化的主要接触者和接受者。以图片、文字、网站为主的“非主流”文化以其个性化的特点，对青少年的网络安全意识产生着不可避免的消极影响。由于非主流文化具有一定的蒙蔽性，人们对非主流文化的价值标准和价值判断存在模糊不清的问题，加上网络安全知识缺乏，网络安全意识不强，制约着青少年整体网络安全水平的提升。

3 网络安全意识的教育与培训研究

教育是提升网络安全意识的最佳途径。我国近年来已愈加重视相关教育和培训，既有可圈可点之处，也存在一些不足。

3.1 网络安全意识教育存在的问题

网络安全意识的提高势在必行，凸显了网络安全意识教育的必要性和紧迫性。卢伟指出，我国大学生对信息安全知识掌握不到位，操作能力欠缺，但计算机应用基础课程中相应的网络知识不足，网络安全专题的活动、讲座很少。同年，肖红光、谭作文和周亚卉三人对比研究了中美两国信息安全教育的情况发现，美国在《信息系统保护国家计划》中制定了四个信息安全教育培训项目：联邦计算机服务（FCS）项目、服务奖学金（SFS）项目、中小学拓广项目和联邦范围内的培养项目。相比之下，我国的信息安全教育未得到足够重视，导致有如下问题：从政府到学校再到学生信息安全意识不足；从事信息安全工作的人员较少，且大多数都是网络管理人员通过短期自学或培训后上岗；信息安全专业的课程设置仍然停留在技术防护层面，难以涵盖信息安全的其他主要内容，比如有关网络安全的多数内容基本是相近学科的翻版或外延，缺少系统观点和方法，仅仅强调密码学、防火墙、入侵检测等安全理论和技术知识的教育；作为应用型教育，高质量的信息安全教材不足，大多是技术类和专业理论书籍；网络信息安全是一门实用性较强的学科，但是目前我国多数高校尚未建立高质量信息安全仿真环境，所以实验条件非常落后。2011 年，刘新华、巢传宣提到了几点我国高校网络安全教育的不足：一是未得到高度重视；二是网络安全教育不够完整，没有包含网络法治、道德、安全防范和心理健康四部分；三是网络安全教育没有针对性，随着学生的年级提升，网络安全法制教育应该更重要，不能简单地统一教学；四是网络安全教育不够深入，绝不能“头痛医头脚痛医脚”。

近年来，情况日渐改善。张俊强调，目前对于网络安全教育的认识，主要是对其重要性和紧迫性认识不足，足够透彻的认识才能正确指导行动，但是在某些地方政府或高校相关教育依然零散随意，甚至边缘化。网络安全教育的管理机制同样不够健全，很多高校都成立了网络安全教育领导小组，但分工不明、运转不力，或仅停留在文件层面没有实施，多数高校的方式僵化，比如开学时进行网络安全教育或举办一次讲座，之后分发传单介绍杀毒软件以及一些网络安全知识，这些举措显然收效甚微。除此之外，网络安全教育并未被真正纳入教学计划，多数课程依旧强调技术和理论，极少涉及网络安全乃至伦理道德问题。

当下我国网络安全教育存在的各类问题在不断发展和进步中已得到一定解决，但依旧存在问题：像国家教育部→省市教育单位→高校党政→二级院系→相关教学人员类似的管理负责机制未能明确建立，有关网络安全教育到的法规体系尚不成熟——包括从国家层面的法规到教育部层面的指导性文件再到各高校或单位层面根据自身实际情况制定的管理规定；积极主动的宣传引导不够，不论是高校用多种形式发声，还是社会组织以各种形式宣传。

3.2 网络安全教育的方式方法研究

研究显示，我国网络安全教育方式方法主要有：制度建设、优化管理、宣传知识。

制度建设主要有法律，政府和高校三种层次。法律层次是与网络安全教育和管理相关的法律法规的出台，例如《中华人民共和国计算机信息系统安全保护条例》等；政府层次是教育部、省市教育厅（局）出台指导性文件并进行指导督查；高校内部则是各自根据具体情况，建立多种计算机网络管理制度、宿舍管理制度、网上巡查制度网络言论引导制度等，规范学生的上网行为习惯，引导学生的使用网络规范和知法懂法守法。

优化管理，指大学生网络安全教育组织管理体系，秉承“谁主管谁负责，谁建设谁负责”的原则，建设中央到省市到高校到院系到老师的管理制度，比如高校中应当成立由校领导牵头，党委宣传部、网络管理中心、教务处、保卫处等部门负责人组成网络安全教育领导小组，逐步落实。成立学生网络安全委员会、校网宣联合会等组织团体来发挥学生主观能动性，引导学生自我管理，加强自律。

宣传知识，分为课堂讲学、知识讲座和活动与宣传。我国有关网络安全意识教育的材料和书籍在不断完善，课堂讲学从原先不规范，过于理论化和技术化，转向更深入、全面、具体的教学。知识讲座是目前大多数高校常用的网络安全意识教育的手段，通常在开学初期，邀请相关学者或业界专家来校为学生普及相关知识。活动与宣传既包括最广泛的布置橱窗展板宣传，也包括举行线下的网络安全知识竞赛、组织模拟法庭等网络安全法律的普法活动，以及部分高校建设的网络安全意识教育网站，来为大学生提供多种获取网络安全知识的渠道。

3.3 国外网络安全意识教育的经验研究

张慧敏梳理了国外全民网络安全意识教育的特点，归纳为以下四点：政府为主、各方合作；目标明确、保证投入；对象具体、方法多样；主题多元、内容丰富。对于大学生群体的网络安全意识教育，许多学者建议学校开设相关课程，或在现有课程中加入网络安全意识、网络道德规范、网络法律法规等相关内容。管理方面，学校应加强对校园网络的管理，包括 IP 地址管理、不良网站屏蔽、论坛实名制等，还要加强网络舆情分析，形成统一协调、反应灵敏、高效畅通的网上舆情收集反映回馈机制，化解潜在的隐患。对于未成年人的网络安全教育，王国珍梳理了新加坡中小学的网络素养教育模式，认为其核心内容是培养孩子们的自我保护能力，应当将引导学生自尊自重使用网络，不浏览有害网站、不参与非法网络活动作为教育重点，加强对网络潜在风险的辨识能力，学会如何保护自己。在此基础上，加强责任感的教育，要求学生们认清自己网络使用行为产生的后果，保护自己的同时也保护他人。

许畅和高金虎二人对美国的网络安全意识教育进行了研究，并对我国提出了一些建议。早在 1993 年，克林顿政府颁布了《国家信息基础设施条例》来规范信息基础设施的各项标准。之后历任政府不断完善和调整，增强对网络安全的重视。到奥巴马执政时期，网络安全上升到国家安全战略核心地位。奥巴马政府试图建立一个全方位多层次的网络安全环境，为达此目的，发起了多项全国性公民网络安全常识普及和教育活动，并吸引和雇佣了大量网络空间安全专家。2010 年，美国政府部署推行了“国家网络安全教育计划”，经过两年的反复征集意见和调整修改，主要面向在校学生、一般公民和网络空间从业人员推广，并尊重和强调差异化，针对不同区域、不同年龄阶层的公民的安全意识和技术水平做了详尽安排。

对我国而言，可以借鉴美国对顶层设计的重视，加快推进网络安全意识培养体系。此外应统筹社会资源，完善网络安全管理机制，尽快建设完善以政府管理为核心，社会力量为协作主力的架构，充分调动企业、行业协会、学校、科研机构等社会资源，针对专职人员、学生、中老年人群体等使用不同策略，丰富教育方式和载体如各类专门网站、网络信息安全大赛、课程和培训项目，从而全面提升国民网络安全意识。

通过以上的学习和借鉴，最终形成符合我国实际情况的全社会全方位多层次的网络安全意识实施体系，即安全（Security）—安全信息（Information）—安全知识（Knowledge）—安全认识（Perception）—安全行为（Behaviour）。