3.1 網絡安全意識基本概述

隨著國家“網絡安全宣傳周”活動的大力推進，網絡安全意識成為人們日常生活中較為常見的短語，加強網絡安全意識教育得到人們廣泛的認可和支持。雖然大家都知道應該提高個人網絡安全意識，但是很多人對提升什么，如何提升，效果如何檢驗卻很難作出回答，甚至對于網絡安全意識的基本概念都不甚了解。

中國信息安全認證中心的張劍等[2]對網絡安全意識做了基本的定義，他認為網絡安全意識是指人們能夠認識到可能存在網絡安全風險的敏感度，執行網絡安全行為規范的符合程度，以及響應網絡安全事件的靈敏程度，即網絡安全意識主要包含認知要素和行為要素。

對網絡安全意識的概念從信息安全防護角度進行解釋是最貼近本質的方法，所以才有PPB（Perception、Protection、Behavior）理論，即網絡安全意識理論。該理論中包含對網絡安全威脅的認知、維護網絡安全的知識技能，以及有效的操作行為。網絡安全意識[3][4]是指人們在網絡空間活動中為了保障個人、機構或國家的信息、財產安全而具備的一種發現潛在風險，判斷其危害性并及時預防或控制該種風險的能力。網絡安全意識的具體表現同個人具有的網絡安全知識和技能水平不存在必然聯系，即某人可能具備高水平的網絡安全知識和技能，但在網絡安全防范過程中并沒有表現出相應的網絡安全意識水平。所以，網絡安全意識測評要從知識、技能和模擬實測三個方面同時著手，培訓教育也要從加強網絡安全知識和技能，進行網絡安全事件的處置和恢復等多個角度共同促進。讀者在學習網絡安全意識相關內容時，不應狹義理解為基本常識，而應該是廣義的網絡安全素養，網絡安全知識和技能等的綜合體。

根據上述定義，可將網絡安全意識教育理解為，通過考試、測評、培訓等手段提高受教育者網絡安全意識的活動，旨在加強受教育者對網絡安全相關知識的掌握，提高發現、判斷、處理安全威脅的能力。因此，網絡安全意識教育一般分為網絡安全考試、網絡安全測評和網絡安全培訓三大模塊。

網絡安全考試是目前針對網絡安全意識中知識內容量化分析最多的方法，通過試卷等工具判斷被測人對網絡安全相關知識和技能的認知情況。但是由于網絡安全相關知識極其龐雜，目前又缺乏相對系統的體系，使得通常考試的內容無法準確量化被測人的意識狀態。

網絡安全測評是指通過網絡攻防對抗、仿真場景演練和威脅情報分析等手段對被測人的網絡安全素養進行客觀的測量與科學評價。由于缺乏知識體系的支撐，測試者通常采用簡單攻防對抗或者數據分析等測評手段，無法基于知識體系對測試結果做出細粒度的、定量的風險評估。

網絡安全培訓是指通過科學的方法提高人員網絡安全素質和能力而實施的有計劃、有系統的培養和訓練活動。通常是根據知識體系，按照劃分標準，分門別類系統教學，以達到查漏補缺、補齊短板的效果。就現狀來看，國內外培訓的內容大多既單獨割裂又交叉混合，知識點的分類學習很不系統。關于教育培訓方式，對于普通公民而言大多采用的是網站知識教育，有條件的可能參加過社區或政府相關部門組織的網絡安全培訓等；對于學生或機構職工而言，往往通過講座的形式被動接受網絡安全教育。我國網絡安全調研報告數據顯示，我國網絡安全培訓教育的實際反饋效果并不理想。