国民信息安全素养评价指标体系构建探究.doc

国民信息安全素养评价指标体系构建探究.doc国民信息安全素养评价指标体系构建探究摘要:信息安全已成为信息时代国家总体安全的基石,是当下中国必须认真严肃面对的一个重大问题。要想实现"以人为本”的信息安全管理,第一步就要重视国民信息安全素养。文章对信息安全和信息安全素养的内涵进行剖析,对国内外信息安全素养研究和推广项目进行回顾,指出信息安全素养应该包括信息安全意识、信息安全知识、信息安全能力、信息伦理道德等内容,信息安全素养应在信息素养的概念体系中占据重要位置。最后根据信息安全素养内涵,运用过程一目标结构法构建了国民信息安全素养评价指标体系。关键词:信息安全;信息安全素养;信息安全保障;评价指标体系中图分类号:C32文献标志码:A文章编号:10085831(2012)030081 06一、引言目前,随着中国社会信息化程度的全面提升,网络与信息系统已经成为国家的关键基础设施,其基础性、全局性作用进一步增强,信息资源在国民经济发展中的作用与日俱增,谁能够及时掌握丰富的信息资源,谁就能在政治、经济、军事和文化等方面占据优势地位。但与此同时,信息安全问题日益多样化、复杂化。针对网络和信息系统的攻击活动以及网络与信息系统自身的安全问题,严重影响着金融、电力、交通等关键基础设施的正常运转,病毒传播、网络攻击、网络泄密等案件逐年上升。信息安全问题已经不仅仅是一个技术问题,也不仅仅是一个社会问题,而是涉及到政治、经济、社会、文化、军事等方方面面,进而上升成为国家全局性战略问题。中共十六届四中全会已将信息安全列入国家安全的四大重要组成部分之一,另外三大部分为政治安全、经济安全和文化安全。据北京谷安天下科技有限公司发布的《2010企业员工信息安全意识调查报告》显示,428%的受访者认为个人信息安全意识不足是最大的信息安全隐患,然后依次是缺少安全制度或现有制度未落实、投入或人员不足或缺乏信息安全培训、安全产品功能不足和其他。而对于目前有效保护信息安全面临的最大障碍是普遍缺乏信息安全意识,其他依次是管理水平落后、技术不过关、法律不健全、信息安全人才不够和其他障碍。报告进一步显示,中国企业员工普遍缺乏信息安全意识[1]□另外在RSA2011信息安全大会上,不少信息安全专家不约而同地提出了一个引人关注的问题,即众多缺乏安全意识的员工,正在成为黑客突破企业安全防护时,最大也最难修补的漏洞[2]□2012年初CSDN和天涯等众多网站用户数据大规模泄露事件的主要原因是用户习惯使用一号多用的账户和密码,当个别网站个人资料泄露后,直接导致了多个网站的账户同时被曝光[3]□因此,加强对国民信息安全素养进行评价,让广大国民认识到自身信息安全素养的现状,并有效提升其信息安全素养是亟待解决的重要问题。二、信息安全与国民信息安全素养的内涵信息安全是一个既古老又年轻的话题,包含的范围很大,大到国家政治军事科技等机密安全,小到防范企业商业机密被窃取、个人信息泄露等。信息时代的到来更加凸显了信息安全的重要性和紧迫性。目前一般从狭义和广义两个方面理解信息安全。狭义的信息安全是指信息本身的安全问题本包括信息的保密性、完整性、可用性、可控性及可靠性五个方面。保密性是指确保信息仅为那些被授权者获取使用;完整性是指保护信息不被删除、修改、伪造、乱序等以确保其完整准确;可用性是指保证被授权者可以按需获取使用信;可控性是指信息和信息系统处于安全监控管理状态;可靠性